盧建平,劉錦鋒,楊波
(重慶通信學院 通信指揮系,重慶 400035)
摘要:云環境中網絡虛擬化已成為網絡技術演進的重要方向,虛擬化網絡環境面臨的網絡安全問題則成為當前網絡安全研究的熱點。虛擬化條件下的網絡既面臨傳統網絡中已存在的安全問題,也有引入虛擬化特性之后出現的一系列新問題。通過對網絡中的各要素及其關系進行描述,分析了虛擬化網絡環境的特性,進而分析了虛擬化網絡環境面臨的安全威脅,包括物理網絡威脅、虛擬局域網威脅和虛擬網絡威脅等。通過構建威脅矩陣進行網絡安全風險分析,指出高、中、低等不同級別安全威脅的類型。針對典型的網絡安全風險,給出了相應的安全防護對策。
關鍵詞:虛擬化;網絡安全;安全威脅;風險分析;對策
中圖分類號:TP393.08
文獻標識碼:A
DOI: 10.19358/j.issn.1674-7720.2017.11.001
引用格式:
盧建平,劉錦鋒,楊波.基于虛擬化的網絡安全問題研究[J].微型機與應用,2017,36(11):1-4.
0引言
云計算蓬勃發展,作為云環境構建重要支撐的虛擬化技術得到了廣泛應用[1]。在云環境中,安全問題一直是人們關注的焦點[23]。研究云環境中的安全問題,必然涉及虛擬化環境中的網絡安全問題研究。
虛擬化具有環境隔離、底層控制、接口兼容、動態配置等優勢,提供了一種有效的安全監控手段,為解決系統安全問題提供了新的思路[4]。但是,由于虛擬化技術并沒有從本質上解決傳統計算環境面臨的諸多安全問題,同時針對虛擬化技術自身的安全威脅也越來越多,尤其是在虛擬化網絡環境中,不僅包含原有傳統網絡的固有威脅,還引入了眾多新的安全威脅[57]。
1虛擬化網絡環境分析
網絡虛擬化主要包括網絡中計算節點的虛擬化、網絡設備的虛擬化和網絡互聯的虛擬化[8]。由于虛擬化平臺的存在,虛擬化網絡呈現出許多新的特性[9]:(1)網絡中計算資源實體由物理服務器變為虛擬機;(2)網絡中存在二元的網絡設備,包括傳統網絡固有的物理網絡設備和虛擬化平臺內部的虛擬網絡設備;(3)組網方式由純粹的物理互聯變為包括虛擬網絡和物理網絡共同作用的復合網絡。
網絡是由不同的對象及其之間互聯形成的各種關系的總和,此處基于該定義對虛擬化網絡環境進行分析。如圖1所示,在虛擬化網絡環境中,主要包括物理服務器、物理網絡設備(pSwitch)、網絡存儲設備、虛擬機監控器(Hypervisor)、管理虛擬機(Management VM)、客戶虛擬機(Guest VM)、虛擬網絡設備(vSwitch)以及外部網絡等對象,而對象之間在各類管理控制信息和數據信息的交互過程中建立連接關系,這些對象和連接關系的總和構成了虛擬化網絡環境。此處對各種對象及其連接關系說明如下(對照圖1中的編號):
(1)外部網絡連接:存在于各虛擬機和外部網絡及其之間。該連接主要為從外部網絡訪問各虛擬機所包含的網絡服務提供接口和鏈路支持。
(2)業務信息連接:存在于虛擬化環境中各虛擬機及其之間的各網絡設備。該連接主要用于虛擬化環境中各虛擬機之間的業務信息交互。
(3)物理管理連接:存在于管理虛擬機和物理服務器之間。該連接主要用于管理者遠程管理虛擬服務器,對部署在被管理虛擬機服務器上的虛擬化系統進行重啟、停止以及重新安裝部署等操作。
(4)虛擬管理連接:存在于管理虛擬機和虛擬機監控器之間。該連接主要用于管理者對虛擬化平臺上各虛擬機進行管理和配置,包括對虛擬機所提供的服務及其管理接口進行操作和控制,保障管理信息傳輸。
(5)受限的虛擬管理連接:存在于管理虛擬機和虛擬機監控器之間。與(4)不同的是,該連接所提供的管理信息通道,支持管理者在同一時刻內只能對某一臺虛擬機實施管理操作,而不能對整個虛擬化平臺進行管理,管理者不具備對虛擬網絡設備以及虛擬機遷移等進行操作的權限。
(6)虛擬機遷移連接:存在于各虛擬機監控器之間。該連接主要用于實現在各虛擬機服務器之間實施虛擬機遷移,快速部署虛擬機服務器。
(7)物理管理信息存儲連接:存在于虛擬化管理平臺和網絡存儲設備之間。該連接主要用于將管理數據存儲到網絡存儲設備之上,由于管理數據包含了眾多虛擬化環境中的敏感信息,必須得到妥善保存,該存儲設備需要和其他用于業務信息存儲的設備進行物理隔離。
(8)物理業務信息存儲連接:存在于虛擬機監控器和網絡存儲設備之間。該連接主要用于將位于虛擬服務器磁盤空間上的特定用戶數據存儲到網絡存儲設備之上。
(9)虛擬存儲連接:存在于虛擬機和網絡存儲設備之間。該連接主要用于將特定虛擬機的用戶信息如虛擬磁盤信息存儲到網絡存儲設備之上,用作數據冗余,在需要對虛擬機數據進行回滾、恢復、備份等操作時使用。
在上述9種不同的連接中,都包含相應的網絡設備,包括實體網絡設備和虛擬網絡設備。
2虛擬化網絡環境面臨的威脅
網絡虛擬化帶來了諸多有用的特性,但它并未能提供如同物理網絡一般的安全級別,一定程度上反而降低了網絡的安全保護性能[10]。首先,傳統網絡中存在漏洞的情況也會在虛擬的網絡部件中體現出來[11],虛擬網絡中的流量可能會被重路由到非安全的路徑而導致信息泄露。其次,網絡威脅雖然能被虛擬化安全應用所緩和,但這些措施同樣會帶來如同傳統方式所引發的風險。再次,傳統網絡中二層的交換設備曾受困于VLAN跳躍攻擊、ARP欺騙、生成樹攻擊等威脅,已被很多安全產品成功解決,但在虛擬網絡中,這些安全產品無法生效,產生了新的安全威脅。
2.1對物理和虛擬局域網的威脅
無論是物理劃分還是虛擬劃分,網絡中每一個網段都有其設定目的和需求,因此網段間的隔離便成為保障基本網絡安全的關鍵。理論上講,所有的網絡通信都會進入特定的物理端口,但大部分情況下由于虛擬化服務器物理端口支持上的不足或其他條件限制,這種預期難以實現。在虛擬化平臺內部,來自各虛擬機屬于不同VLAN的流量都通過平臺中的虛擬交換機中繼,全部匯入某一公用物理端口,這就為攻擊者創造了從VLAN中逃逸進而威脅其他網絡通信安全的條件。與傳統網絡一樣,虛擬化網絡面臨著VLAN跳躍攻擊、CAM/MAC洪泛攻擊、ARP欺騙、生成樹攻擊、DoS攻擊、MAC地址欺騙等攻擊威脅,此處以VLAN跳躍攻擊為例進行說明。
VLAN跳躍攻擊的方法是:攻擊者從自身所處的VLAN段逃逸出來,攔截或修改其他VLAN的流量,從而達到跳躍攻擊多個VLAN段的目的。VLAN跳躍攻擊通常針對思科的專有協議即動態中繼協議DTP進行實施,主要目標是802.1q和中繼封裝協議。攻擊者創建其他VLAN標識的流量信息,這種方式在虛擬化環境中也有所體現。例如,在VMware ESX/ESXi平臺中[12],主機支持三種類型的VLAN標識,即外部交換標識EST、虛擬交換標識VST和虛擬客戶標識VGT,這些標識用于確定VLAN數據幀支持何種方式的傳輸,包括物理交換模式、虛擬交換模式和虛擬機方式等。在虛擬客戶標識模式下,當二層的數據幀和虛擬交換機進行交互時,VLAN標識存在于虛擬機網絡堆棧和物理交換機之間。如果虛擬客戶標識(VGT)被用于802.1q的中繼,則惡意的VM用戶將利用該機制產生一些類似的數據幀,偽造并篡改信息。攻擊者還可以模擬物理交換機或虛擬交換機的中繼協商,使得自身不僅用于發送,還可以接收來自其他VLAN的流量信息。
2.2對虛擬化網絡的威脅
針對虛擬化系統網絡的攻擊是虛擬化環境中出現的特有安全威脅,此處結合前文虛擬化網絡環境分析對一些主要的攻擊威脅進行說明。
(1)對物理管理連接的威脅
對物理管理網絡的訪問能力使得攻擊者可以威脅一套完整部署的虛擬化系統。攻擊者可以隨意關閉、重啟并對所有的物理服務器和虛擬機進行操控。這也是只有高權限的用戶通過特定的端口才能訪問管理接口并管理各主機設備的主要原因。
(2)對虛擬機遷移連接的威脅
由于虛擬機遷移涉及到眾多敏感的明文數據信息傳輸,在遷移時通常會分隔成一個獨特的LAN或VLAN,限制網絡數據的傳播。對虛擬機遷移網絡實施攻擊,攻擊者能夠竊取客戶機的敏感信息,甚至進一步去操控這些信息,而且由于大多數的遷移方案都沒有進行數據加密,因此這種威脅十分有效。當前VMware已經在其遷移產品vMotion中采用了SSL來解決這個問題,但仍只有少數的虛擬化環境中應用了該功能。
(3)對虛擬管理連接的威脅
由于管理信息的重要性,虛擬管理通信實體也應被放入一個單獨的網段。通過對虛擬管理通信信息的訪問,攻擊者可以修改虛擬網絡的拓撲結構,操縱端口到VLAN之間的映射,將虛擬交換機設置為混雜模式(用于在同一個VLAN對其他網絡的通信信息進行攔截),開放特定端口創建“后門”等。因此,虛擬管理網絡應該擁有一個足以防御二層攻擊的專用網段。此外,在部署虛擬化平臺如VMware ESX時,利用控制臺程序使用同一網絡接口啟用一些默認的虛擬機端口,使得虛擬機可以訪問純文本信息以及敏感的管理數據。
同樣, VMware中管理客戶端通過SSL訪問ESX主機構成了另一種威脅。由于自簽名證書并非由授信的第三方頒發,任何人都可以生成新的密鑰對,并對公鑰進行簽名,不知情的用戶會簡單地接收這樣的證書,由于證書的不可信,造成了嚴重的安全問題。
(4)對存儲連接的威脅
存儲虛擬化同樣具有強安全性需求。首先,存儲數據可能包含各種敏感應用數據;其次,存儲數據可能包含可供攻擊者利用進而威脅虛擬化環境的系統數據。首先需要重視的是對本地存儲的攻擊威脅,例如當對虛擬化平臺之上的vmdk文件進行訪問時,可能會導致客戶機到主機的逃逸等隱患的發生。此外,對虛擬存儲網絡而言,最大的安全威脅來源于惡意用戶對傳輸數據的嗅探攻擊。造成這種問題的根源在于,無論硬件還是軟件都沒有從根本上提供相應的解決方案。例如,光傳輸通道以明文形式傳輸所有數據,因此必須通過其他途徑對未授權資源的訪問進行控制和隔離。此外,軟件提供商如VMware提供的存儲遷移解決方案(Storage vMotion),以及Xen環境中使用的基于IP的存儲服務,存儲信息流往往是非加密的格式化數據,攻擊者很容易竊取或修改整個磁盤的信息。另外,在共享存儲的虛擬磁盤上,具備特定權限的攻擊者可以對其進行非法訪問[13]。
(5)對業務信息連接的威脅
業務信息連接用于傳輸用戶的特定流量數據,如網絡服務訪問、VPN等,這些數據可能包含著眾多的用戶相關敏感信息,一旦泄露將為惡意用戶實施網絡攻擊創造條件,例如通過獲取相應的合法口令信息訪問特定的網絡服務,進入虛擬機服務器,然后通過挖掘相應網絡服務的漏洞加以利用,利用技術手段提升自身的用戶權限,進而威脅虛擬化平臺的安全。因此,對業務信息連接也需要進行有效的防護。
3安全對策
虛擬化網絡環境面臨的安全威脅,對各類網絡用戶的信息安全造成了嚴重影響,必須采取針對性的措施,增強網絡安全。
3.1安全風險分析
風險分析是進行安全管理的一個必要過程[14],因此,應當對虛擬化網絡環境中各網絡元素及用戶可能面臨的侵擾或破壞風險進行評估,為實施網絡安全管理提供有益借鑒。進行風險分析的一個有效方法是構建威脅矩陣,用來表示各個部分潛在的各類威脅。在表1中,H表示高度威脅,M表示中度威脅,L表示低度威脅。一般來講,風險分析必須包含網絡中的所有有關成分,此處的威脅矩陣重點對虛擬化相關的元素及其面臨的各類網絡威脅進行對照分析,給出威脅等級。參考威脅矩陣,網絡用戶和管理
者應當重點關注高度威脅,對中度威脅和低度威脅也應采取相應的防護措施。
3.2安全措施建議
通過對虛擬化網絡環境面臨的各類安全威脅實施風險分析,針對典型的安全威脅給出相應的安全措施建議:
(1)針對虛擬機遷移和虛擬存儲網絡的信息嗅探和截取攻擊,可以通過構建相應的安全通信通道來改進,例如使用SSL和IPsec等技術。
(2)傳統的二層網絡和節點部署了眾多的措施來防御攻擊,但由于網絡組成中的各種軟件組件,包含各類缺陷,并不能從設計層面全面解決所有安全威脅,因此在軟件設計時應采用安全的程序設計并加強測試,減少漏洞出現。
(3)VLAN跳躍攻擊可以通過禁止GVT并配置端口轉發模式為Trunk,同時限制只傳輸特定標記的數據幀來解決。此外,內部VLAN傳輸關鍵數據時應當使用另一個VLAN來進行,與其他數據進行隔離,杜絕攻擊者對相應端口進行操作進而訪問內部的關鍵傳輸數據。
(4)生成樹攻擊可以通過傳統的一些措施如BPDU防護來解決,因此虛擬交換機應當支持這種特性并進行配置部署,這需要在虛擬化軟件設計時予以考慮。
(5)為減輕DHCP地址范圍不足的風險,物理交換機和虛擬交換機必須配置為只允許特定的IP/MAC地址訪問該網絡。對于MAC地址欺騙風險,也是可以通過相應的措施預防,例如在VMware ESX中,管理員禁用客戶機改變虛擬MAC地址的權限,確保在虛擬化平臺中注冊的MAC地址不被修改,虛擬網絡設備則不會接收來自該客戶機的數據包,防止了MAC地址欺騙的發生。
(6)為緩和對虛擬存儲網絡的攻擊威脅,系統管理者應當將存儲流量與其他流量進行區分,并利用IPSec和SSL等技術支持的安全通道來傳輸數據,防止嗅探和會話劫持攻擊。
(7)對于業務信息連接的防護,最好的方法是對其進行隔離。由于業務信息連接一般通過數據管理區域(Data Management Zone,DMZ)連接內部網絡,因此必須對DMZ進行重點防護,從而限制惡意用戶的攻擊行為。
總之,對虛擬網絡而言,應當借鑒傳統網絡中的安全防護措施進行安全體系構建,同時也應重視虛擬化特性自身的特點,加強對虛擬化基礎設施的安全防護,構建多重防護體系,增強系統安全防護能力。
4結論
本文通過對虛擬化網絡環境的特性分析,指出其面臨的網絡安全威脅,通過構建威脅矩陣實施風險分析,給出相應的安全對策。研究虛擬化條件下的網絡安全問題,不應僅僅關注網絡本身,而應從底層出發審視誘發各類網絡安全威脅的根本原因,加強對虛擬化基礎設施的安全防護,這是保障虛擬化系統安全的基礎,也是進行網絡安全防護的前提和關鍵。
參考文獻
[1] 陳康,鄭偉民.云計算:系統實例與研究現狀[J].軟件學報,2009,20(5):13371448.
[2] 易濤.云計算虛擬化安全技術研究[J].信息安全與通信保密,2012(5):6365.
[3] IDC. New IDC IT cloud services survey: top benefits and challenges[EB/OL].[2016-05-06].http://blogs.idc.com.
[4] Zhao Xin, BORDERS K, PRAKASH A.Virtual machine security systems[EB/OL].(2012-06-09)[2016-12-22].http://web.eecs.umich.edu/~aprakash/eecs588/handouts/virtualmachinesecurity.pdf. 2009.
[5] 秦中元,沈日勝,張群芳,等.虛擬機系統安全綜述[J].計算機應用研究,2012,29(5):1618-1622.
[6] SALAUN M. Practical overview of a Xen covert channel[J].Journal in Computer Virology,2010,6(4):317-328.
[7] PRICE M. The paradox of security in virtual environment[J].Computer,2008,41(11):22-28.
[8] CHOWDHURY M, BOUTABA R. A survey of network virtualization[J]. Computer Networks, 2010,54(5):862-876.
[9] 盧建平,馮婷,秦天文.虛擬化環境下網絡管理研究[J].重慶通信學院學報,2013,32(6):23-27.
[10] 黃瑛,石文昌.云基礎設施安全性研究綜述[J].計算機科學,2011,38(7):24-30.
[11] 譚文輝.基于VMware虛擬化的安全分析[J].艦船電子工程,2012,32(5):113-115.
[12] VMware INC. VMware ESX and VMware ESXi[EB/OL].(2013-09-17)[2016-12-22].http://www.vmware.com/files/pdf/VMwareESXandvmwareESXiDSEN.pdf.
[13] VMware INC. VMWare vSphere 4.1 security hardening guide[EB/OL]. [2016-04-09].http://www.VMWare.com/resources/techresources/10198,2011.
[14] 郭軍.網絡管理[M].北京:北京郵電大學出版社,2009.