6165金沙总站软件定义的数据中心已经来临,如何应对层出不穷的虚拟化安全问题

虚拟化安全设备制造商也可以选择vPath
API,它可用于实现自定义虚拟交换机。思科系统最近发布了虚拟安全网关Virtual
Security Gateway
,VSG)产品,该产品可能整合传统非DVFilter)虚拟防火墙方法和流量流优化技术。思科宣布VSG只进行初始流量检测,并将卸载流量转发到虚拟以太网模块Virtual
Ethernet
Modules,VEM:虚拟机管理程序中改良的虚拟交换机),从而防止出现流量长号和性能问题。如果这一切是真的,那么VSG可能是工程师部署安全云服务的最理想工具。

Singhal和Tewari声称,他们的网络虚拟化解决方案已经在Azure数据中心的产品中进行了测试,“在4000个物理主机上,能够协同数以万计的虚拟机之间的通信”。
另一方面,VMware声称其解决方案是建立在开放标准之上的,可以将第三方服务(包括使用硬件和虚拟化设备)插入到虚拟网络的不同位置来访问流量,具体细节请参考其白皮书。

每一个物理服务器都必须运行一个防火墙VM。防火墙设备只能保护运行在同一台物理服务器上的虚拟机。如果希望保护所有物理位置的虚拟机,那么你必须在每一台物理服务器上部署防火墙VM。

自动化。正如虚拟机是服务器虚拟化的容器,虚拟数据中心(VDC,Virtual Data
Center)就是SDDC的容器。通过vCloud
Director,VDC可以完全自动化地部署,还可以基于策略来部署计算和存储资源,而将网络和安全的部署委托给vCloud的网络与安全子系统。一个集中的命令与控制机制(vShield
Manager)会列出所有的抽象与池,它还要负责管理功能,并将这些池映射到租户或应用等高层实体的需求之中,还要与高层的虚拟化容器进行配合。多租户、隔离、弹性,以及RESTful接口的可编程性,都是在这里处理的。

使用DVFilter和虚拟防火墙

本文转载自infoQ

所有流量都会被检测。你可能将DVFilter
API只应用到特定的vNIC上,只保护其中一些虚拟机,但是vShield产品并不支持这个功能。部署这些产品之后,所有通过虚拟机管理程序的流量都会被检测到,这增加了CPU使用率,降低了网络性能。

在最近的VMware World 2012大会上,VMware宣布,vCloud Suite
5.1为构建包括网络和安全在内的所有资源虚拟化、池化和自动化的数据中心提供了可能。vCloud的网络与安全层可以创建多租户虚拟化网络,该网络可以动态修改以适应新的需求,包括虚拟防火墙、VPN、负载均衡和VXLAN网络。VMware云基础设施事业部安全与网络部门的VP/CTO,Allwyn
Sequeira,解释到软件定义的网络有几个关键属性:

理想情况下,服务器应该足够稳定,能够抗御互联网的所有攻击,网络提供最优的端到端传输。但现实情况是,数据中心网络总是通过嵌入的防火墙实现主要的安全保护来减少暴力攻击造成的拒绝服务,对入站流量极少执行TCP端口过滤。

在最近的一篇博客文章中,微软的Windows网络团队的总经理Sandeep
Singhal,以及SCVMM团队的部门项目经理Vijay
Tewari,他们讨论了内置于Windows Server 2012和System Center 2012
SP1中的软件定义的网络能力,利用虚拟化网络,客户不需要修改IP地址,即可将其数据中心迁移到Windows
Azure云中,他们也解释了这是如何做到的:

相同流量流会执行多次检测。DVFilter
API在vNIC上检测流量。因此,即使虚拟机之间传输的流量属于同一个安全域,它们也会被检测两次,而传统防火墙则不会出现这种情况。

服务注入。为了使额外的抽象能直接注入到虚拟层中,平台必须是可扩展的。这些额外的抽象包括加密、入侵检测与防范、反病毒、应用交付控制器、数据泄露预防、广域网优化控制、监控工具和其他L4-7服务等。网络和安全虚拟化层为这类设备的直接注入提供了一个逻辑环境。

防火墙崩溃会影响到VM。防火墙VM的另一个问题是它会影响DVFilter
API。受到影响的物理服务器上所有虚拟机网络都会中断。然而,物理服务器仍然可以运行,并且连到网络;因此,高可用特性无法将受影响的VM迁移到其他物理服务器上。

Hyper-V虚拟化网络能够在一个共享的物理网上创建多租户虚拟网络,这为云带来了网络灵活性。
每个租户都有一个完整的虚拟网络,包括多个虚拟子网和虚拟路由。(有些现有的虚拟化解决方案假定租户只有一个子网!)在每个主机上,Hyper-V使用可以动态更新的SDN策略,将一个租户网络与其相应的直达目标的流量联系起来。SDN策略也决定了哪个虚拟机的这些租户虚拟机能够与其通信,此举提供了必要的隔离。因此,Hyper-V网络虚拟化允许将租户的负载放到物理数据中心内的任何地方。租户网络甚至可以使用私有的物理地址(可以复用其他租户使用的地址),通过使用自己的IP地址,租户可以将现有的负载快速迁移到云中。实际上,Windows
Server
2012支持可以互操作的cross-premise连接,所以你可以无缝地将公有云中的子网连接回你的本地网络。

  虚拟机防火墙的缺点:

为了提供一个完全自动化的数据中心,VMware和微软正在进行最后的努力。完全自动化的数据中心可以作为云解决方案的基础,不管是公有云、私有云还是混合云。VMware将该技术称作软件定义的数据中心(SDDC,Software-defined
Datacenter),而微软称之为软件定义的网络(SDN,Software-defined
Networking),后者指的是数据中心谜题中需要实现自动化的最后一部分。计算、存储和可用性等资源实现自动化已经有很多年了,但是各大公司仍然一直致力于网络的虚拟化和自动化,以及与之相关的策略和安全等问题。目前有两个典型的解决方案,一个是VMware的vCloud
Suite,另一个是微软的Windows Server 2012和System Center 2012
SP1,Virtual Machine Manager。

虚拟交换机在虚拟化安全中的作用

池化。vSwitches池化到虚拟分布式交换机(VDS,virtual distributed
switches)中。端口池化到端口组中。逻辑网络调节这些接口组,它们可以跨数据中心实例化(VXLAN)。端口防火墙在vShield
App或Edge中实现。基于虚拟机的安全可以通过vShield
Endpoint以及端点安全合作伙伴的产品来实现。因为向外扩展这种部署方式的特性,这些池是弹性的,而且是数据中心范围的,可以按需分配给租户或应用的所有者。

并列防火墙自动保护虚拟机的概念似乎是完美的,但是由于DVFilter
API的构架原因,它只能运行在虚拟机管理程序中,所以它也有一些潜在的缺点。

抽象。网络抽象为一组网络端口(以及虚拟的网络接口卡与虚拟机端)。而安全抽象为一组端口防火墙和端点内省。这些抽象分别通过虚拟交换机(vSwitch)和虚拟防火墙(vShield)实例化,并以一种向外扩展的方式部署在每个主机管理程序上。网络和安全虚拟化层有效地将VDC从底层的物理网络和防火墙架构中解脱了出来,也为创建栈体系提供了逻辑基础。

使用防火墙来保护数据中心网络的物理服务器已经很难了,把它用于保护虚拟服务器,或者私有云环境,那么难度会更大。毕竟,虚拟服务器会经常迁移,所以防火墙不需要必须位于服务器物理边界内。有几种策略可以为虚拟环境提供防火墙保护。

VMware和微软提供了软件定义的数据中心的解决方案。在软件定义的数据中心中,所有的资源——包括计算、存储、可用性、网络和安全等——都实现了虚拟化和自动化。本文主要关注的是其中新加入的特性:虚拟化网络与安全。

我们的SDN解决方案更进了一步,在Hyper-V虚拟交换机上,支持丰富的流量控制策略。以每个虚拟机为基础,你可以配置安全策略用以限制流量类型(和目标)。为了确保关键任务服务总能够使用必要的网络容量,你还可以为特定的虚拟机预留带宽。为了避免流量饥饿,或者支持各种计费模型,你甚至可以申请带宽上限。更重要的是,这些网络控制策略是动态的,因此可以实时调整。

基于DVFilter的网络安全设备的工作方式与典型的防火墙不同。它不强迫流量必须通过基于IP路由规则的设备,而是明确地将防火墙插入到虚拟机的网卡vNIC)和虚拟交换机vSwitch)之间。这样,不需要在虚拟机、虚拟交换机或物理网络上进行任何配置,防火墙就能够检测所有进出vNIC的流量。vShield通过一个特别的配置层进一步扩充这个概念:你可以在数据中心、集群和端口组安全域)等不同级别上配置防火墙规则,在创建每个vNIC的策略时防火墙会应用相应的规则。

虚拟网络安全

几年前,VMware开发了一个虚拟机管理程序DVFilter
API,它允许第三方软件检查网络和存储并列虚拟机的流量。有一些防火墙和入侵检测系统
IDS)供应商很快意识到它的潜在市场,开始发布不会出现过度行为的虚拟防火墙。VMware去年发布了vShield
Zones和vShield App,也成为这类供应商的一员。

虚拟网络设备能够让你在网络中任何地方快速部署防火墙、路由器或负载均衡器。但当你开始部署这样的虚拟网络设备时,上述问题会越来越严重。这些虚拟化设备可以在物理服务器之间任意移动,其结果就是造成更加复杂的流量流。VMware的vCloud
Director就遇到这样的设计问题。

传统数据中心架构的网络安全设计众所周知:如果服务器的物理边界属于同一个安全域,那么防火墙通常位于聚合层。当你开始实现服务器虚拟化,使用VMware的vMotion和分布式资源调度Distributed
Resource
Scheduler)部署虚拟机移动和自动负载分发时,物理定界的方式就失去作用。在这种情况下,服务器与剩余的网络之间的流量仍然必须通过防火墙,这样就会造成严重的流量长号,并且会增加数据中心的内部负载。