网络虚拟化带来了诸多有用的特性,但它并未能提供如同物理网络一般的安全级别,怎样分析虚拟化的网络安全问题?
摘要:云环境中网络虚拟化已成为网络技术演进的重要方向,虚拟化网络环境面临的网络安全问题则成为当前网络安全研究的热点。虚拟化条件下的网络既面临传统网络中已存在的安全问题,也有引入虚拟化特性之后出现的一系列新问题。通过对网络中的各要素及其关系进行描述,分析了虚拟化网络环境的特性,进而分析了虚拟化网络环境面临的安全威胁,包括物理网络威胁、虚拟局域网威胁和虚拟网络威胁等。通过构建威胁矩阵进行网络安全风险分析,指出高、中、低等不同级别安全威胁的类型。针对典型的网络安全风险,给出了相应的安全防护对策。
关键词:虚拟化;网络安全;安全威胁;风险分析;对策
0引言
云计算蓬勃发展,作为云环境构建重要支撑的虚拟化技术得到了广泛应用[1]。在云环境中,安全问题一直是人们关注的焦点[2-3]。研究云环境中的安全问题,必然涉及虚拟化环境中的网络安全问题研究。虚拟化具有环境隔离、底层控制、接口兼容、动态配置等优势,提供了一种有效的安全监控手段,为解决系统安全问题提供了新的思路[4]。但是,由于虚拟化技术并没有从本质上解决传统计算环境面临的诸多安全问题,同时针对虚拟化技术自身的安全威胁也越来越多,尤其是在虚拟化网络环境中,不仅包含原有传统网络的固有威胁,还引入了众多新的安全威胁[5-7]。
1虚拟化网络环境分析
网络虚拟化主要包括网络中计算节点的虚拟化、网络设备的虚拟化和网络互联的虚拟化[8]。由于虚拟化平台的存在,虚拟化网络呈现出许多新的特性[9]:(1)网络中计算资源实体由物理服务器变为虚拟机;(2)网络中存在二元的网络设备,包括传统网络固有的物理网络设备和虚拟化平台内部的虚拟网络设备;(3)组网方式由纯粹的物理互联变为包括虚拟网络和物理网络共同作用的复合网络。网络是由不同的对象及其之间互联形成的各种关系的总和,此处基于该定义对虚拟化网络环境进行分析。如图1所示,在虚拟化网络环境中,主要包括物理服务器、物理网络设备(pSwitch)、网络存储设备、虚拟机监控器(Hy-pervisor)、管理虚拟机(ManagementVM)、客户虚拟机(GuestVM)、虚拟网络设备(vSwitch)以及外部网络等对象,而对象之间在各类管理控制信息和数据信息的交互过程中建立连接关系,这些对象和连接关系的总和构成了虚拟化网络环境。此处对各种对象及其连接关系说明如下(对照图1中的编号):(1)外部网络连接:存在于各虚拟机和外部网络及其之间。该连接主要为从外部网络访问各虚拟机所包含的网络服务提供接口和链路支持。(2)业务信息连接:存在于虚拟化环境中各虚拟机及其之间的各网络设备。该连接主要用于虚拟化环境中各虚拟机之间的业务信息交互。(3)物理管理连接:存在于管理虚拟机和物理服务器之间。该连接主要用于管理者远程管理虚拟服务器,对部署在被管理虚拟机服务器上的虚拟化系统进行重启、停止以及重新安装部署等操作。(4)虚拟管理连接:存在于管理虚拟机和虚拟机监控器之间。该连接主要用于管理者对虚拟化平台上各虚拟机进行管理和配置,包括对虚拟机所提供的服务及其管理接口进行操作和控制,保障管理信息传输。(5)受限的虚拟管理连接:存在于管理虚拟机和虚拟机监控器之间。与(4)不同的是,该连接所提供的管理信息通道,支持管理者在同一时刻内只能对某一台虚拟机实施管理操作,而不能对整个虚拟化平台进行管理,管理者不具备对虚拟网络设备以及虚拟机迁移等进行操作的权限。(6)虚拟机迁移连接:存在于各虚拟机监控器之间。该连接主要用于实现在各虚拟机服务器之间实施虚拟机迁移,快速部署虚拟机服务器。(7)物理管理信息存储连接:存在于虚拟化管理平台和网络存储设备之间。该连接主要用于将管理数据存储到网络存储设备之上,由于管理数据包含了众多虚拟化环境中的敏感信息,必须得到妥善保存,该存储设备需要和其他用于业务信息存储的设备进行物理隔离。(8)物理业务信息存储连接:存在于虚拟机监控器和网络存储设备之间。该连接主要用于将位于虚拟服务器磁盘空间上的特定用户数据存储到网络存储设备之上。(9)虚拟存储连接:存在于虚拟机和网络存储设备之间。该连接主要用于将特定虚拟机的用户信息如虚拟磁盘信息存储到网络存储设备之上,用作数据冗余,在需要对虚拟机数据进行回滚、恢复、备份等操作时使用。在上述9种不同的连接中,都包含相应的网络设备,包括实体网络设备和虚拟网络设备。
2虚拟化网络环境面临的威胁
网络虚拟化带来了诸多有用的特性,但它并未能提供如同物理网络一般的安全级别,一定程度上反而降低了网络的安全保护性能[10]。首先,传统网络中存在漏洞的情况也会在虚拟的网络部件中体现出来[11],虚拟网络中的流量可能会被重路由到非安全的路径而导致信息泄露。其次,网络威胁虽然能被虚拟化安全应用所缓和,但这些措施同样会带来如同传统方式所引发的风险。再次,传统网络中二层的交换设备曾受困于VLAN跳跃攻击、ARP欺骗、生成树攻击等威胁,已被很多安全产品成功解决,但在虚拟网络中,这些安全产品无法生效,产生了新的安全威胁。2.1对物理和虚拟局域网的威胁无论是物理划分还是虚拟划分,网络中每一个网段都有其设定目的和需求,因此网段间的隔离便成为保障基本网络安全的关键。理论上讲,所有的网络通信都会进入特定的物理端口,但大部分情况下由于虚拟化服务器物理端口支持上的不足或其他条件限制,这种预期难以实现。在虚拟化平台内部,来自各虚拟机属于不同VLAN的流量都通过平台中的虚拟交换机中继,全部汇入某一公用物理端口,这就为攻击者创造了从VLAN中逃逸进而威胁其他网络通信安全的条件。与传统网络一样,虚拟化网络面临着VLAN跳跃攻击、CAM/MAC洪泛攻击、ARP欺骗、生成树攻击、DoS攻击、MAC地址欺骗等攻击威胁,此处以VLAN跳跃攻击为例进行说明。VLAN跳跃攻击的方法是:攻击者从自身所处的VLAN段逃逸出来,拦截或修改其他VLAN的流量,从而达到跳跃攻击多个VLAN段的目的。VLAN跳跃攻击通常针对思科的专有协议即动态中继协议DTP进行实施,主要目标是802.1q和中继封装协议。攻击者创建其他VLAN标识的流量信息,这种方式在虚拟化环境中也有所体现。例如,在VMwareESX/ESXi平台中[12],主机支持三种类型的VLAN标识,即外部交换标识EST、虚拟交换标识VST和虚拟客户标识VGT,这些标识用于确定VLAN数据帧支持何种方式的传输,包括物理交换模式、虚拟交换模式和虚拟机方式等。在虚拟客户标识模式下,当二层的数据帧和虚拟交换机进行交互时,VLAN标识存在于虚拟机网络堆栈和物理交换机之间。如果虚拟客户标识(VGT)被用于802.1q的中继,则恶意的VM用户将利用该机制产生一些类似的数据帧,伪造并篡改信息。攻击者还可以模拟物理交换机或虚拟交换机的中继协商,使得自身不仅用于发送,还可以接收来自其他VLAN的流量信息。