云虛擬化安全合規與行業實踐
云計算的快速發展顛覆了傳統IT模式,越來越多組織通過租用云服務來降低IT建設成本。本質上說云計算不是一種新技術,而是一種服務模式,通過網絡提供計算資源,并且讓云租戶可按需動態自助供給、管理各類計算資源。 云計算平臺通常由設施、硬件、資源抽象控制層、虛擬化計算資源、 軟件平臺和應用軟件等組成,這里面涉及大量的虛擬化技術,云計算平臺安全與虛擬化安全密不可分。
一.虛擬化發展趨勢
作為云計算的基礎,可以說沒有虛擬化就沒有云計算,如果沒有虛擬化技術,那么一臺物理服務器只能運行一臺服務器,虛擬化技術將一臺物理機可以虛擬為多個虛擬機,資源利用率高,再配合虛擬化平臺相關功能特性,可以提供更好的高可用性。
基礎設施即服務(IaaS)云上面的云主機其實都是虛擬機,但是在平常使用感覺不到,和真正服務器一樣,目前比較有代表性虛擬化技術有 Linux KVM、Vmware ESXi、思杰 Xen和微軟 Hyper-V。
典型虛擬化架構見圖1,宿主機是運行虛擬機監視器的物理服務器,虛擬機監視器 (hypervisor)是運行在基礎物理服務器和操作系統之間的中間軟件層,可允許多個操作系統和應用共享硬件。南北向流量通常指客戶端到虛擬機服務器的流量,東西向流量指虛擬機服務器之間流量。
圖1
虛擬化技術在應用過程中,也發現一些不足之處,例如操作繁瑣、性能衰減和資源利用率不夠等問題,于是一種新型技術Docker容器誕生了,與傳統虛擬化相比是輕量級虛擬化,在很多方面具有優勢,但是在資源隔離和安全性方面還有不足,虛擬化和容器未來在不同場景下互相配合將成為主流趨勢。
二.虛擬化面臨風險
虛擬化技術打破了傳統的網絡邊界的劃分方式,對傳統的安全技術產生了巨大挑戰,具體表現如下:
虛擬機之間的網絡流量不可見
在虛擬化環境中,多臺虛擬機都在一個硬件服務器內運行,虛擬機之間通過虛擬化平臺提供的虛擬交換機進行連接,通信流量并沒有通過外部交換設備,導致對這部分的流量失去監控。
虛擬機之間缺乏有效安全防護
虛擬化技術對東西向流量大部分都是裸奔狀態,沒有提供隔離和防護措施,如果某臺虛擬機出現安全問題,可能對整個云平臺產生嚴重的安全威脅。
邊界動態變化造成的安全威脅
在虛擬化環境中,虛擬機可能會隨時遷移到其他服務器上,當虛擬機遷移到新主機上,如果新主機上沒有對應的安全保護策略,就可能對遷移后的虛擬機造成安全威脅。
同主機上多虛擬機資源競爭
在虛擬化環境中,多臺虛擬機共享一套硬件資源,如果某一臺虛擬機遭受拒絕服務攻擊而惡意搶占資源,會影響同臺主機上的其他虛擬機的正常運行。在極端情況下同一個虛擬機同時在兩個hypervisor上面運行,從而出現這種爭用資源的場景即是所謂的“腦裂”,造成虛擬機故障。
虛擬化惡意軟件威脅
很多惡意軟件和病毒開始集成反虛擬化軟件技術,可通過查看內存和硬件屬性,內存位置、進程和函數的行為等,判斷是否在虛擬環境,會執行不同的動作和行為,甚至可以停止自身運行來逃避安全檢測。
虛擬化平臺系統自身安全威脅
Hypervisor為虛擬化的核心,負責管理底層硬件資源,并負責為上層虛擬機分配各種關鍵資源,一旦 Hypervisor被攻擊破解,Hypervisor上的所有虛擬機將無任何安全保障。目前虛擬化平臺已暴露出很多漏洞,可能會產生安全威脅包括虛擬機逃逸、虛擬機跳躍風險、病毒木馬惡意代碼感染,平臺系統篡改,平臺系統拒絕服務等。
三.虛擬化合規要求
等保2.0對云計算系統提出了云計算擴展要求,針對虛擬化安全要求主要如下:
可以實現不同云服務客戶虛擬網絡之間的隔離,支持檢測到虛擬機網絡內部的網絡攻擊行為和異常流量。
可設置不同虛擬機之間的訪問控制策略,在虛擬機遷移時,可以將針對該虛擬機設置的訪問控制策略一并遷移。
能夠檢測到虛擬機的資源隔離失效、非授權新建或重啟虛擬機、虛擬機間惡意代碼感染的等情況,并進行告警。
四.虛擬化最佳實踐
在深入剖析虛擬化環境各個層面問題,從宿主機、虛擬機監視器、虛擬網絡和虛擬機四個層面闡述虛擬化安全實踐方案,為日常安全工作提供參考。
宿主機
宿主機主要是利用傳統安全保護機制,采用機房環境訪問控制和服務器物理硬件設備控制等安全措施。
虛擬機監視器(Hypervisor)
Hypervisor是底層組件,可以當成單獨操作系統進行安全加固和優化配置,針對不同平臺,目前已經有很多成熟加固優化措施,主要如下:
補丁修復: 把Hypervisor當成操作系統打補丁加固系統,例如在VMware平臺上發現很多重大漏洞可以使用VMware更新管理器給ESXI系統打補丁。
優化默認配置: 許多管理平臺默認配置存在安全隱患,需要更改設置或刪除默認內容,例如管理平臺自帶的證書都不安全,在使用前可以替換為安全證書,實現管理平臺與客戶端安全通信,部分虛擬化管理程序還存在很多Liunx網絡組件和不需要賬戶。
保護關鍵配置文件: 管理平臺配置文件非常重要,對其權限進行設置并監控修改情況。
虛擬網絡
虛擬網絡安全主要實現虛擬機南北向流量防護和東西向流量安全防護
南北向流量防護: 虛擬機南北向流量防護通常采用傳統的防火墻和入侵防御等安全設備實現,部署在云平臺邊界或虛擬化平臺與物理網絡邊界處。
東西向流量防護: 數據中心大約80%流量都是東西向的,東西向流量是虛擬化防護重點,目前常見3種主流方案。
1、外部引流: 如圖2,由于傳統安全設備很難部署虛擬化平臺中,通過修改網絡配置將虛擬機之間流量引流到外部硬件安全設備上,這種方案網絡配置復雜而且經過多個網絡節點通信效率低,也無法實現二層流量控制和策略動態遷移,實際應用效果不好。
圖2
2、虛擬網絡引流: 如圖3,將防火墻等安全系統部署到虛擬機上,通過改變虛擬網絡結構,可將虛擬機劃分到不同VLAN,將虛擬機之間流量牽引到虛擬化防火墻上實現安全防護和隔離,雖然解決虛擬機之間東西向訪問控制,但是改變網絡結構配置復雜,無法實現安全策略動態遷移,還很容易形成單點故障和網絡環路。
圖3
3、流量重定向: 前兩種方案都存在各自問題,后來又出現分布式虛擬化防火墻方案,如圖4,虛擬化分布式防火墻調用虛擬機化平臺API接口,實現虛擬機流量在虛擬網卡上重定向到虛擬化防火墻,經過虛擬化防火墻過濾后流量再發送到虛擬機交換機。防火墻策略應用到每個虛擬機網卡,即使二層流量也可以執行安全策略,通過統一的管理界面來管理所有的虛擬防火墻,集中配置所有防火墻的安全策略,可以自動與虛擬機一起遷移。
這種方案優點完美解決東西向流量精細化控制、網絡轉發效率和策略動態遷移問題,但是常常需要根據版本定制開發或組件支持,成本相對較高,例如VMware平臺需要購買NSX虛擬化平臺。
圖4
虛擬機
除了對其進行進行操作系統和應用軟件加固外,部署防病毒措施是常見做法。在虛擬化環境部署防病毒措施有三種方案,1、代理模式,和傳統主機部署防病毒客戶端一樣,在虛擬主機上部署防病毒軟件,優點是技術成熟適配簡單,病毒查殺率高,缺點是部署復雜,統一查殺會占用大量資源。2、無代理模式,防病毒軟件直接和hyervisor層對接,通過調用API接口讀取虛擬機文件,對虛擬機上的文件進行實時防護和病毒掃描。優點是部署簡單、運維方便、占用資源少效率高,缺點是需要與云平臺適配,病毒查殺率低。3、輕代理模式,在虛擬機上部署精簡的反病毒代理,很多功能在服務器端或云端實現,對系統影響小資源占用低,能保證查殺率情況下減少資源占用。
五.總結
虛擬化是未來網絡的重要支撐技術,安全必須適應虛擬化環境,通過對虛擬化技術風險分析,可以清晰看到,面對越來越復雜的云計算虛擬化環境,隨著Hypervisor暴露出的漏洞越來越多,Hypervisor 的安全加固和優化是必不可少,虛擬網絡和虛擬機安全可根據使用場景和投入采取合適方案,采取差異化技術作為互相補充,確保滿足云計算虛擬化平臺合規要求同時實現整體系統的安全性,進而為建設云安全提供的支撐。
