广东省保密协会

前沿技术

私有云环境下的安全管理
2020-01-15 05:29:42

私有云环境安全面临的挑战 1.云平台内部流量不可见在虚拟化环境中，多台VM (Virtual Manufacturing )在内部交互的流量都通过虚拟交换机直接转发，因此所有内部的交互流量都变得无法可视。在没有深度可视化内部流量的情况下，无法发现内部的威胁，更谈不上对威胁的控制。在出口部署的传统防火墙不可能对 VM 间的流量进行识别。当新的内部流量激增或者变化时，出口的防火墙无法感知其内部的变化，进而也不能采取相关措施。 2.虚拟机间缺乏安全隔离在同一物理服务器上的多台 VM 间，可通过服务器内部的虚拟网络之间通信，这会使传统的数据中心防火墙的安全防护出现短路。在传统的数据中心内，不同的应用分布在不同的物理服务器上，在靠近物理服务器的位置会部署安全设备，比如防火墙，用以提供隔离、状态防护、入侵检测等安全保护。当服务器虚拟化后，在物理服务器内部存在多个虚拟机 VM，每个虚拟机承载不同应用; 同时，物理服务器内部，由于虚拟化引入了新的虚拟网络层，即同一物理服务器内部的不同虚拟机间的流量可以通过内部的虚拟交换机直接通信，不再通过外部的物理防火墙，因此原有的安全防护机制会失效。并且，导致我们在管理上希望监控应用间的通信情况的期望，在私有云的场景下也变得无法实现。 3.云平台弹性扩展、动态迁移给安全带来新挑战在同一数据中心内的不同服务器间迁移、或者跨数据中心站点迁移时，传统的数据中心防火墙上预先配置的安全策略无法跟随，这会带来安全漏洞。在传统数据中心里，为服务器提供安全防护的防火墙等设备，都是基于安全策略、针对具体服务器做好固定的配置。而在虚拟化的数据中心里，出于负载均衡、资源动态调整、高可用性、服务器硬件维护甚至是节约电源的目的，虚拟机会在数据中心内从一台物理服务器手工或者动态地向另一台物理服务器迁移，此时外部防火墙无法感知虚拟机的位置变化，因此针对具体应用的安全策略无法跟随，这又导致了新的安全漏洞。基于虚拟机的计算规模呈现爆发式增长的趋势，对云计算安全提出了更高的要求，表现为：高性能要求: 要求有更高的运行效率以支撑不断膨胀的数据中心；性能弹性扩展: 现有的安全方案能够提供更好的弹性扩展能力，以适应云数据中心虚拟化不断提升的性能要求；全面的可靠性保障: 能够提供更好的冗余设计，最大限度地满足数据中心业务的连续性要求；虚拟化: 可为不同业务或者虚拟机提供独立的安全业务平面；多业务隔离: 在虚拟交换层上实现多业务隔离，为不同业务之间互访提供安全可控的保障。面向私有云环境的安全技术 1.软件定义安全软件定义安全（Software Defined Security，SDS）是从软件定义网络（Software Defined Network，SDN）引申而来，原理是将物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行解耦，底层抽象为安全资源池里的资源，顶层则统一通过软件编程的方式进行智能化、自动化的业务编排和管理，以完成相应的安全功能，从而实现一种灵活的安全防护。传统的网络安全防护方法通常是根据网络的拓扑情况，以手动方式在安全域边界串联或旁路部署安全设备，对进出安全域的流量进行监控。如果将这种与接入模式、部署方式紧密耦合的防护方法沿用到复杂的网络环境（例如，物理与虚拟网络共存的数据中心）中，会存在诸多的不适应性，例如：安全设备部署过程繁复不能区别处理流经的流量安全防护范围僵化安全设备成为单一故障点借鉴软件定义网络（SDN）的思想，一种灵活的网络安全防护方法——SDS应运而生，在对复杂网络的安全防护上表现出更强的适应性。就工作机制而言，SDS可以分解为软件定义流量、软件定义资源、软件定义威胁模型，三个举措环环相扣，形成一个动态、闭环的工作模型。软件定义流量：由软件编程的方式来实现网络流量的细粒度定义及转发控制管理，通过将目标网络流量转发到安全设备上，来实现安全设备的逻辑部署和使用。软件定义资源：通过管理中心对安全资源进行统一注册、池化管理、弹性分配，在虚拟计算环境下，管理中心还要支持虚拟安全设备模板的分发和设备的创建。软件定义威胁模型：对网络流量、网络行为、安全事件等信息进行自动化的采集、分析和挖掘，实现对未知的威胁甚至是一些高级安全威胁的实时分析和建模，之后自动用建模结果指导流量定义，实现一种动态、闭环的安全防护。 2.微隔离广义上讲，微隔离就是一种更细粒度的网络隔离技术，主要面向虚拟化的数据中心，重点用于阻止攻击在进入企业数据中心网络内部后的横向平移（或者叫东西向移动），是软件定义安全的一种具体实践。流可见技术（注意：不是可视化技术）则与微隔离技术伴生，因为要实现东西向网络流的隔离和控制，必先实现流的可见性（Visibility）。流可见性技术使得安全运维与管理人员可以看到内部网络信息流动的情况，使得微隔离能够更好地设置策略并协助纠偏。云计算的典型场景是多共享，和传统IT架构相比，原来传统的可信边界彻底被打破了，因此重新实现云资源之间的隔离是云安全的基础需求。目前云安全解决方案往往采用Agent代理方式实现物理机间隔离以及其内的虚拟机隔离。Agent是一个非常轻量级的软件实现，运行于虚拟机之内，由云安全服务平台CSSP进行统一管理。轻量级的端点Agent可以安装在任意需要进行安全防护的终端服务器上，这包括所有的物理主机、虚拟机、云主机等。端点探针记录大量主机和网络事件，并将这些数据发送到管理平台，然后由管理平台进行全面的安全分析，根据已知攻击指示器(IOC)、行为分析和机器学习等技术来检测安全攻击行为，并对这些攻击做出快速的响应动作。对主机进行持续的安全检测，并对发生的安全事件进行自动响应加固。 3.安全组件池及安全组件自动编排安全资源池安全资源池是指基于虚拟化技术架构提供的各种安全资源，包括防火墙、IPS、WAF、数据库审计、VPN、漏洞扫描、配置核查、日志审计、运维审计等安全组件，利用网络功能虚拟化，通过Overlay技术和安全服务链技术，实现安全组件自动编排，为客户提供方便快捷的安全服务交付。安全资源池的存在形式可以是集中部署在几台云计算节点上，也可以分布在云平台的各个计算节点上，如图 1所示。图 1 安全资源池部署形式网络功能虚拟化以开放取代封闭，以通用替代专有——将原本传统的专业网元设备上的网络功能提取出来虚拟化，运行在通用的硬件平台上，业界称这种变化为NFV（Network Functions Virtualisation，网络功能虚拟化），目标是通过广泛采用的硬件承载各种各样的网络软件功能，实现软件的灵活加载，在数据中心、网络节点和用户端等各个位置灵活的配置，加快网络部署和调整的速度，降低业务部署的复杂度及总体投资成本，提高网络设备的统一化、通用化、适配性。虚拟化技术架构实现了NFV网络功能虚拟化，因此安全资源池可以利用NFV来创建各种网络功能，例如防火墙（FW）、入侵防御系统（IPS）、负载均衡（LB）等等，有了这些虚拟网络功能，就能够组建出用户业务所需要的各种安全组件池。 Overlay技术 Overlay是在传统网络上虚拟出一个虚拟网络，是一种叠加虚拟化技术模式。直观点理解就是一种隧道封装技术，像IPv4inIPv4、GRE、MPLS等都是典型的隧道技术，相当于直接在源网络和目标网络之间直接拉了一根“光纤”。不过，现有的这些隧道技术都是点到点的隧道协议，只能点对点建立隧道。Overlay技术是通过点到多点的隧道封装协议，完全忽略中间网络的结构和细节，把整个中间网络虚拟成一台“巨大无比的二层交换机”，实现虚拟机在数据中心网络里随时随地迁移。具有以下特点: Overlay网络是指建立在已有网络上的虚拟网，由逻辑节点和逻辑链路构成。 Overlay网络具有独立的控制和转发平面，对于连接在overlay边缘设备之外的终端系统来说，物理网络是透明的。 Overlay网络是物理网络向云和虚拟化的深度延伸，使云资源池化能力可以摆脱物理网络的重重限制，是实现云网融合的关键。 VXLAN技术 VXLAN（Virtual eXtensible LAN）技术是当前最为主流的Overlay标准，其基于IP网络、采用“MAC in UDP”方式进行隧道封装。相比传统的VLAN技术有4096字节的最大限制，而VXLAN的VNI有24个bit，足够16M的多共享，极大了扩展了隔离数量。另外，通过UDP封装可以穿越三层网络，也比VLAN有更好的扩展性。 VXLAN是一种隧道封装技术，其需要一种边缘设备来对数据包进行封装和解封装，这种边缘设备就是VTEP（VXLAN Tunnel End Point，VXLAN隧道端点）。通过VTEP实现虚拟网络和物理网络的隔离，在VTEP之间建立隧道，在物理网络上传输虚拟网络的数据帧，物理网络不感知虚拟网络。VTEP将从虚拟机发出/接受的帧封装/解封装，而虚拟机并不区分VNI和VXLAN隧道。安全组件自动编排利用安全组件池，实现安全组件自动编排，响应来自态势感知系统、业务需要为私有云提供方便快捷的安全自动编排，如图2 所示：图 2 安全组件自动编排伴随着私有云承载业务系统的不断增加，以及安全威胁的不断变化，构建有效的联动防御体系变的极为重要。通过云环境内部的深度检测和大数据关联技术，利用异常访问关系梳理，为私有云提供主动防御的依据，并结合联动响应机制，为资源池提供安全编排的依据，最终实现基于安全资源池构建的主动防护体系。基于安全资源池的私有云云安全解决方案，为编排后的安全能力提供统一管理、流量可视，安全可视、安全服务等功能，从而保证基于安全监测和主动防护的体系建设，是一种有效的私有云环境下安全监测和主动防御解决方案。（来源：中国保密协会科学技术分会，作者：史林港于鹏达）

2020-01-15 05:29:42

私有云环境安全面临的挑战

1.云平台内部流量不可见

在虚拟化环境中，多台VM (Virtual Manufacturing )在内部交互的流量都通过虚拟交换机直接转发，因此所有内部的交互流量都变得无法可视。在没有深度可视化内部流量的情况下，无法发现内部的威胁，更谈不上对威胁的控制。在出口部署的传统防火墙不可能对 VM 间的流量进行识别。当新的内部流量激增或者变化时，出口的防火墙无法感知其内部的变化，进而也不能采取相关措施。

2.虚拟机间缺乏安全隔离

在同一物理服务器上的多台 VM 间，可通过服务器内部的虚拟网络之间通信，这会使传统的数据中心防火墙的安全防护出现短路。在传统的数据中心内，不同的应用分布在不同的物理服务器上，在靠近物理服务器的位置会部署安全设备，比如防火墙，用以提供隔离、状态防护、入侵检测等安全保护。当服务器虚拟化后，在物理服务器内部存在多个虚拟机 VM，每个虚拟机承载不同应用; 同时，物理服务器内部，由于虚拟化引入了新的虚拟网络层，即同一物理服务器内部的不同虚拟机间的流量可以通过内部的虚拟交换机直接通信，不再通过外部的物理防火墙，因此原有的安全防护机制会失效。并且，导致我们在管理上希望监控应用间的通信情况的期望，在私有云的场景下也变得无法实现。

3.云平台弹性扩展、动态迁移给安全带来新挑战

在同一数据中心内的不同服务器间迁移、或者跨数据中心站点迁移时，传统的数据中心防火墙上预先配置的安全策略无法跟随，这会带来安全漏洞。

在传统数据中心里，为服务器提供安全防护的防火墙等设备，都是基于安全策略、针对具体服务器做好固定的配置。而在虚拟化的数据中心里，出于负载均衡、资源动态调整、高可用性、服务器硬件维护甚至是节约电源的目的，虚拟机会在数据中心内从一台物理服务器手工或者动态地向另一台物理服务器迁移，此时外部防火墙无法感知虚拟机的位置变化，因此针对具体应用的安全策略无法跟随，这又导致了新的安全漏洞。

基于虚拟机的计算规模呈现爆发式增长的趋势，对云计算安全提出了更高的要求，表现为：

高性能要求: 要求有更高的运行效率以支撑不断膨胀的数据中心；

性能弹性扩展: 现有的安全方案能够提供更好的弹性扩展能力，以适应云数据中心虚拟化不断提升的性能要求；

全面的可靠性保障: 能够提供更好的冗余设计，最大限度地满足数据中心业务的连续性要求；

虚拟化: 可为不同业务或者虚拟机提供独立的安全业务平面；

多业务隔离: 在虚拟交换层上实现多业务隔离，为不同业务之间互访提供安全可控的保障。

面向私有云环境的安全技术

1.软件定义安全

软件定义安全（Software Defined Security，SDS）是从软件定义网络（Software Defined Network，SDN）引申而来，原理是将物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行解耦，底层抽象为安全资源池里的资源，顶层则统一通过软件编程的方式进行智能化、自动化的业务编排和管理，以完成相应的安全功能，从而实现一种灵活的安全防护。

传统的网络安全防护方法通常是根据网络的拓扑情况，以手动方式在安全域边界串联或旁路部署安全设备，对进出安全域的流量进行监控。如果将这种与接入模式、部署方式紧密耦合的防护方法沿用到复杂的网络环境（例如，物理与虚拟网络共存的数据中心）中，会存在诸多的不适应性，例如：

安全设备部署过程繁复

不能区别处理流经的流量

安全防护范围僵化

安全设备成为单一故障点

借鉴软件定义网络（SDN）的思想，一种灵活的网络安全防护方法——SDS应运而生，在对复杂网络的安全防护上表现出更强的适应性。

就工作机制而言，SDS可以分解为软件定义流量、软件定义资源、软件定义威胁模型，三个举措环环相扣，形成一个动态、闭环的工作模型。

软件定义流量：由软件编程的方式来实现网络流量的细粒度定义及转发控制管理，通过将目标网络流量转发到安全设备上，来实现安全设备的逻辑部署和使用。

软件定义资源：通过管理中心对安全资源进行统一注册、池化管理、弹性分配，在虚拟计算环境下，管理中心还要支持虚拟安全设备模板的分发和设备的创建。

软件定义威胁模型：对网络流量、网络行为、安全事件等信息进行自动化的采集、分析和挖掘，实现对未知的威胁甚至是一些高级安全威胁的实时分析和建模，之后自动用建模结果指导流量定义，实现一种动态、闭环的安全防护。

2.微隔离

广义上讲，微隔离就是一种更细粒度的网络隔离技术，主要面向虚拟化的数据中心，重点用于阻止攻击在进入企业数据中心网络内部后的横向平移（或者叫东西向移动），是软件定义安全的一种具体实践。流可见技术（注意：不是可视化技术）则与微隔离技术伴生，因为要实现东西向网络流的隔离和控制，必先实现流的可见性（Visibility）。流可见性技术使得安全运维与管理人员可以看到内部网络信息流动的情况，使得微隔离能够更好地设置策略并协助纠偏。

云计算的典型场景是多共享，和传统IT架构相比，原来传统的可信边界彻底被打破了，因此重新实现云资源之间的隔离是云安全的基础需求。目前云安全解决方案往往采用Agent代理方式实现物理机间隔离以及其内的虚拟机隔离。Agent是一个非常轻量级的软件实现，运行于虚拟机之内，由云安全服务平台CSSP进行统一管理。

轻量级的端点Agent可以安装在任意需要进行安全防护的终端服务器上，这包括所有的物理主机、虚拟机、云主机等。端点探针记录大量主机和网络事件，并将这些数据发送到管理平台，然后由管理平台进行全面的安全分析，根据已知攻击指示器(IOC)、行为分析和机器学习等技术来检测安全攻击行为，并对这些攻击做出快速的响应动作。对主机进行持续的安全检测，并对发生的安全事件进行自动响应加固。

3.安全组件池及安全组件自动编排

安全资源池

安全资源池是指基于虚拟化技术架构提供的各种安全资源，包括防火墙、IPS、WAF、数据库审计、VPN、漏洞扫描、配置核查、日志审计、运维审计等安全组件，利用网络功能虚拟化，通过Overlay技术和安全服务链技术，实现安全组件自动编排，为客户提供方便快捷的安全服务交付。

安全资源池的存在形式可以是集中部署在几台云计算节点上，也可以分布在云平台的各个计算节点上，如图 1所示。

图 1 安全资源池部署形式

网络功能虚拟化

以开放取代封闭，以通用替代专有——将原本传统的专业网元设备上的网络功能提取出来虚拟化，运行在通用的硬件平台上，业界称这种变化为NFV（Network Functions Virtualisation，网络功能虚拟化），目标是通过广泛采用的硬件承载各种各样的网络软件功能，实现软件的灵活加载，在数据中心、网络节点和用户端等各个位置灵活的配置，加快网络部署和调整的速度，降低业务部署的复杂度及总体投资成本，提高网络设备的统一化、通用化、适配性。

虚拟化技术架构实现了NFV网络功能虚拟化，因此安全资源池可以利用NFV来创建各种网络功能，例如防火墙（FW）、入侵防御系统（IPS）、负载均衡（LB）等等，有了这些虚拟网络功能，就能够组建出用户业务所需要的各种安全组件池。

Overlay技术

Overlay是在传统网络上虚拟出一个虚拟网络，是一种叠加虚拟化技术模式。直观点理解就是一种隧道封装技术，像IPv4inIPv4、GRE、MPLS等都是典型的隧道技术，相当于直接在源网络和目标网络之间直接拉了一根“光纤”。不过，现有的这些隧道技术都是点到点的隧道协议，只能点对点建立隧道。Overlay技术是通过点到多点的隧道封装协议，完全忽略中间网络的结构和细节，把整个中间网络虚拟成一台“巨大无比的二层交换机”，实现虚拟机在数据中心网络里随时随地迁移。具有以下特点:

Overlay网络是指建立在已有网络上的虚拟网，由逻辑节点和逻辑链路构成。

Overlay网络具有独立的控制和转发平面，对于连接在overlay边缘设备之外的终端系统来说，物理网络是透明的。

Overlay网络是物理网络向云和虚拟化的深度延伸，使云资源池化能力可以摆脱物理网络的重重限制，是实现云网融合的关键。

VXLAN技术

VXLAN（Virtual eXtensible LAN）技术是当前最为主流的Overlay标准，其基于IP网络、采用“MAC in UDP”方式进行隧道封装。相比传统的VLAN技术有4096字节的最大限制，而VXLAN的VNI有24个bit，足够16M的多共享，极大了扩展了隔离数量。另外，通过UDP封装可以穿越三层网络，也比VLAN有更好的扩展性。

VXLAN是一种隧道封装技术，其需要一种边缘设备来对数据包进行封装和解封装，这种边缘设备就是VTEP（VXLAN Tunnel End Point，VXLAN隧道端点）。通过VTEP实现虚拟网络和物理网络的隔离，在VTEP之间建立隧道，在物理网络上传输虚拟网络的数据帧，物理网络不感知虚拟网络。VTEP将从虚拟机发出/接受的帧封装/解封装，而虚拟机并不区分VNI和VXLAN隧道。

安全组件自动编排

利用安全组件池，实现安全组件自动编排，响应来自态势感知系统、业务需要为私有云提供方便快捷的安全自动编排，如图2 所示：

图 2 安全组件自动编排

伴随着私有云承载业务系统的不断增加，以及安全威胁的不断变化，构建有效的联动防御体系变的极为重要。通过云环境内部的深度检测和大数据关联技术，利用异常访问关系梳理，为私有云提供主动防御的依据，并结合联动响应机制，为资源池提供安全编排的依据，最终实现基于安全资源池构建的主动防护体系。

基于安全资源池的私有云云安全解决方案，为编排后的安全能力提供统一管理、流量可视，安全可视、安全服务等功能，从而保证基于安全监测和主动防护的体系建设，是一种有效的私有云环境下安全监测和主动防御解决方案。

（来源：中国保密协会科学技术分会，作者：史林港于鹏达）