云計算安全隔離方案深度分析

時間：2022-10-05 22:34:42 信息安全畢業(yè)論文我要投稿

相關(guān)推薦

云計算安全隔離方案深度分析

　　在畢業(yè)前夕，很多大四的學(xué)生會為了寫畢業(yè)論文而苦惱，自己也是這樣走過來的。對于寫畢業(yè)論文，實踐操作很重要，為論文做好準(zhǔn)備是一項需要時間的工作。下面文書幫小編給大家?guī)硪黄撐姆段�，歡迎閱讀！

云計算安全隔離方案深度分析

【摘要】 在以虛擬化為主要技術(shù)平臺的云計算環(huán)境中，能夠提供有效可行的安全隔離方案，將直接決定整個云計算安全解決方案的安全防護(hù)能力。論文基于一般性的安全防護(hù)需求給出了一種較為通用的安全域規(guī)劃方法，并在此基礎(chǔ)上從虛擬機(jī)網(wǎng)絡(luò)驅(qū)動層、虛擬交換機(jī)層、虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)驅(qū)動層、二層物理網(wǎng)絡(luò)層、三層物理網(wǎng)絡(luò)層這五個不同的層面，針對可部署安全隔離防護(hù)設(shè)備的方案進(jìn)行了深入的分析，比較了方案之間的優(yōu)缺點，為用戶選擇合適的云安全隔離方案提供了有價值的參考。

　　【關(guān)鍵詞】 云計算;虛擬化;VLAN;Openflow;安全隔離

　　1 引言

　　隨著現(xiàn)在云計算市場競爭的激烈程度加劇以及用戶對云計算環(huán)境安全要求的提高，越來越多的集成商和云服務(wù)提供商開始注重基于其云計算環(huán)境的集成方案提供安全應(yīng)用的接入接口，并以此作為其競標(biāo)云計算集成方案的亮點之一。在云計算環(huán)境中實現(xiàn)網(wǎng)絡(luò)安全所要解決的一個重要技術(shù)問題就是對網(wǎng)絡(luò)安全域的邏輯劃分以及基于劃分的網(wǎng)絡(luò)安全域進(jìn)行不同域間的隔離。用戶所使用不同的云平臺、采用不同集成商的方案、選用不同廠家的網(wǎng)絡(luò)設(shè)備，都將會使得云環(huán)境中的安全域及虛擬機(jī)間的隔離方案有所不同。本文將針對在不同層面實現(xiàn)云計算安全隔離的方案進(jìn)行分析，對比各類技術(shù)方案的優(yōu)劣以及其對不同云計算環(huán)境安全需求的適應(yīng)性，為云計算使用者對云安全解決方案的選擇提供參考。

　　2 控制網(wǎng)絡(luò)流的途徑

　　這里我們所說的隔離，并不是讓屬于不同安全域間的虛擬機(jī)完全無法相互訪問和通信，而是讓被劃分在不同的安全域邊界內(nèi)的虛擬機(jī)間的通信必須經(jīng)過相應(yīng)的網(wǎng)絡(luò)安全設(shè)備的檢測和過濾，在網(wǎng)絡(luò)安全設(shè)備確認(rèn)數(shù)據(jù)包安全后，跨安全域間的通信才能夠進(jìn)行。這就對網(wǎng)絡(luò)安全提出了一個新的問題，即如何控制網(wǎng)絡(luò)流使之經(jīng)過實現(xiàn)部署在云計算環(huán)境中的虛擬或物理的安全設(shè)備。這個問題我們可以從三個更具體的方面來分析。

　　第一，用戶的安全需求是什么。傳統(tǒng)網(wǎng)絡(luò)環(huán)境下，用戶通常關(guān)心的是出入一個物理網(wǎng)絡(luò)邊界的流量的網(wǎng)絡(luò)安全問題，這個邊界是物理存在的，比如連接接入交換機(jī)和匯聚交換機(jī)的一根網(wǎng)線。當(dāng)外網(wǎng)的機(jī)器需要訪問內(nèi)網(wǎng)機(jī)器時，是無法繞過這個邊界直接訪問，因此在傳統(tǒng)物理環(huán)境下，用戶的需求通常是對這個物理存在的邊界上流量的安全監(jiān)控。在云計算環(huán)境中，整個網(wǎng)絡(luò)和其上所有虛擬機(jī)都存在于一個大二層的網(wǎng)絡(luò)環(huán)境中，為了實現(xiàn)邏輯上的隔離，通常使用劃分VLAN(或VXLAN)的方式來隔離具有不同安全需求的虛擬機(jī)，這時就出現(xiàn)了對虛擬機(jī)安全隔離的三種不同的安全需求：其一是只監(jiān)控外網(wǎng)到云計算環(huán)境內(nèi)部的通信;其二是只監(jiān)控不同VLAN間的虛擬機(jī)間的通信(包含第一種需求);其三是需要監(jiān)控任意兩臺虛擬機(jī)間的通信(包含前兩種需求)。

　　第二，網(wǎng)絡(luò)安全域的邊界如何劃分。為了從網(wǎng)絡(luò)層面保證虛擬機(jī)間的有效隔離，網(wǎng)絡(luò)安全域的劃分需要消除與VLAN間的多對一關(guān)系，即不能存在多個不同的網(wǎng)絡(luò)安全域劃分在同一個VLAN下的情況，這樣在這些不同網(wǎng)絡(luò)安全域間的虛擬機(jī)間的通信將可以通過虛擬交換機(jī)直接交換機(jī)而不被轉(zhuǎn)發(fā)到物理網(wǎng)絡(luò)上，使得安全監(jiān)控產(chǎn)品的部署受到很大的局限性。

　　第三，安全設(shè)備的部署方式是什么。從安全設(shè)備的部署方式上，我們可以將其分為兩類：一類是透明部署在二層網(wǎng)絡(luò)環(huán)境中;另一類是以網(wǎng)關(guān)形式部署在三層網(wǎng)絡(luò)環(huán)境中。通常透明部署的方式更多的被應(yīng)用在實際的生產(chǎn)環(huán)境中，因為透明部署將不需要修改用戶已有的業(yè)務(wù)網(wǎng)絡(luò)的配置。而將安全設(shè)以網(wǎng)關(guān)方式部署在三層網(wǎng)絡(luò)環(huán)境中的好處是，可以利用路由規(guī)則使得需要被監(jiān)控的網(wǎng)絡(luò)流量經(jīng)過安全設(shè)備。

　　綜合考慮以上三點，我們可以得出一個較為合理且應(yīng)用較廣的云計算環(huán)境中的安全需求定義和規(guī)劃模型，即以VLAN劃分需要隔離的業(yè)務(wù)網(wǎng)絡(luò)，安全域的劃分需要消除安全域與VLAN間的多對一關(guān)系，通過監(jiān)控VLAN或安全域邊界上的網(wǎng)絡(luò)流量實現(xiàn)安全監(jiān)控和隔離，安全設(shè)備通常工作在二層網(wǎng)絡(luò)模式下，以透明方式進(jìn)行部署。那么回到最初的問題，即在這樣的安全需求和規(guī)劃模型下，如何控制網(wǎng)絡(luò)流，使之能夠在出入VLAN或安全域邊界時經(jīng)過部署在云環(huán)境中的安全設(shè)備。

　　3 網(wǎng)絡(luò)流控制方法

　　云計算是一個龐大而復(fù)雜的系統(tǒng)，這就使得我們可以在多個位置上尋找到合適的網(wǎng)絡(luò)流控制方法來解決安全隔離問題。我們需要先了解云計算的技術(shù)架構(gòu)，才能夠更好地選擇適合的安全隔離方案。在云計算環(huán)境中，它的軟件系統(tǒng)的核心顯然是虛擬化平臺，而硬件環(huán)境的支持主要是實現(xiàn)虛擬化的硬件服務(wù)器和支撐整個云計算環(huán)境的網(wǎng)絡(luò)。安全作為云計算環(huán)境中的另外一個重要的組成部件，想要順利的集成進(jìn)云計算這個系統(tǒng)中，無法避免將面臨三種技術(shù)選擇：與虛擬化平臺整合、與網(wǎng)絡(luò)環(huán)境整合或完全解耦合的獨(dú)立存在。從云計算和虛擬化的整體技術(shù)架構(gòu)進(jìn)行剖析，可以在五個不同的層面通過對網(wǎng)絡(luò)流的控制實現(xiàn)虛擬機(jī)間的安全隔離。如圖1所示，這五個不同的層面分別是虛擬機(jī)網(wǎng)絡(luò)驅(qū)動層、虛擬交換機(jī)層、虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)驅(qū)動層、二層物理網(wǎng)絡(luò)層、三層物理網(wǎng)絡(luò)層。其中虛擬機(jī)網(wǎng)絡(luò)驅(qū)動層和虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)驅(qū)動層需要系統(tǒng)提供API級的支持，其他三層則需要交換機(jī)和網(wǎng)絡(luò)協(xié)議級的支持實現(xiàn)。

　　4 安全隔離方案

　　我們逐層分析在不同層面實現(xiàn)安全隔離時的實現(xiàn)原理和部署方式，以及此類安全隔離方案的優(yōu)缺點。

　　方案一：在虛擬機(jī)網(wǎng)卡驅(qū)動層實現(xiàn)安全隔離的方案，如圖2所示，利用安裝在虛擬機(jī)內(nèi)的網(wǎng)絡(luò)驅(qū)動層代理程序截獲進(jìn)出該虛擬機(jī)的網(wǎng)絡(luò)流，實現(xiàn)將需要被監(jiān)控的流量牽引至部署在云環(huán)境內(nèi)的虛擬或物理安全設(shè)備上，由安全設(shè)備完成檢測和過濾后，送回代理程序，再送至虛擬機(jī)的業(yè)務(wù)程序中。該方案的優(yōu)勢是能夠?qū)崿F(xiàn)任意虛擬機(jī)間的通信隔離和監(jiān)控，并且完全與虛擬化環(huán)境解耦合，不依賴于任何虛擬化平臺，可跨平臺部署，比較適合安全公司在用戶已經(jīng)完成云計算環(huán)境的建設(shè)后，追加相應(yīng)的安全功能。但該方案也存在明顯的缺陷，即需要在每臺虛擬機(jī)上安裝代理，管理復(fù)雜，且有可能影響業(yè)務(wù)虛擬機(jī)的穩(wěn)定性，并且對整個虛擬化環(huán)境的計算和網(wǎng)絡(luò)資源消耗也較高。方案二：在虛擬交換機(jī)層實現(xiàn)安全隔離的方案，如圖3所示，虛擬交換機(jī)通常是工作在二層模式下，無法進(jìn)行對其內(nèi)部交換的流量的任意控制和牽引，但若虛擬交換機(jī)開啟了Openflow協(xié)議的支持，則可以實現(xiàn)基于Openflow流表對其內(nèi)部流量的控制，通常需要將被監(jiān)控的流量都牽引至部署在同一臺物理機(jī)上的安全虛擬機(jī)中進(jìn)行檢測和過濾。

　　該方案的優(yōu)勢仍然是支持任意兩臺虛擬機(jī)間的安全隔離，相對于方案一，在虛擬交換機(jī)層面實現(xiàn)的網(wǎng)絡(luò)流控制功能具有更好的性能和健壯性，且VMware平臺的5.5以上基于NSX的虛擬網(wǎng)絡(luò)實現(xiàn)和Open vSwitch都直接支持Openflow模式。該方案需要安全管理平臺或安全設(shè)備的管理中心與虛擬交換機(jī)的控制中心相耦合，但安全設(shè)備自身與虛擬化平臺并沒有耦合性，因此能夠支持安全設(shè)備直接虛擬化后的部署。該方案所存在的問題是需要在虛擬交換機(jī)上打開Openflow協(xié)議支持，這將使得網(wǎng)絡(luò)管理和配置和傳統(tǒng)模式大相徑庭，目前還不被所有用戶接受，并且在安全虛擬機(jī)中執(zhí)行安全隔離任務(wù)也會消耗較高的虛擬化系統(tǒng)資源。該方案屬于跟虛擬網(wǎng)絡(luò)層耦合的方案，因為在虛擬化環(huán)境中，虛擬交換機(jī)通常為可替換的組件，但網(wǎng)絡(luò)流量的牽引需要通過調(diào)用虛擬交換機(jī)的配置接口修改Openflow規(guī)則來實現(xiàn)，因此虛擬交換機(jī)能否提供此類接口將影響方案實施的可行性。

　　方案三：在虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)驅(qū)動層實現(xiàn)安全隔離的方案，圖4給出了VMware平臺上的VMSafe Net API的實現(xiàn)原理圖，進(jìn)入虛擬機(jī)監(jiān)控器的網(wǎng)絡(luò)流在進(jìn)入虛擬交換機(jī)前，將被虛擬機(jī)監(jiān)控器所提供的VMSafe Net API導(dǎo)入到安全虛擬機(jī)中，安全虛擬機(jī)使用特殊的驅(qū)動來獲取由VMM快通道驅(qū)動模塊提供的數(shù)據(jù)包，而安全功能的實現(xiàn)則需要基于安全接口封裝層來實現(xiàn)，該層封裝了通過特殊驅(qū)動層獲取數(shù)據(jù)包的操作，相當(dāng)于對安全業(yè)務(wù)實現(xiàn)層提供了相應(yīng)的庫函數(shù)。

　　由于底層驅(qū)動級別的特殊API的支持，因此該方案最大的優(yōu)勢是可提供零拷貝的數(shù)據(jù)包截獲，從而獲得更高的監(jiān)控性能，并且能夠和虛擬化平臺較好的整合而不會影響虛擬化平臺的穩(wěn)定性。但同時由于對虛擬機(jī)監(jiān)控器底層API的依賴，使得該方案與虛擬化平臺緊密耦合，因此通常不具有跨平臺性，并且通常需要全新的開發(fā)相應(yīng)的支持虛擬機(jī)監(jiān)控器API的安全功能，而無法直接使用從硬件安全設(shè)備移植代碼。在安全業(yè)務(wù)實現(xiàn)層面，該方案必須把所有安全功能都集中在一臺虛擬機(jī)內(nèi)實現(xiàn)，使得該虛擬機(jī)比較容易成為安全產(chǎn)品性能的瓶頸。

　　方案四：在二層接入物理交換機(jī)層實現(xiàn)安全隔離方案，在基于MAC地址學(xué)習(xí)的物理交換機(jī)上是無法實現(xiàn)安全隔離功能的，因此必須讓二層接入物理交換機(jī)層支持Openflow協(xié)議，通過關(guān)閉MAC地址學(xué)習(xí)功能，開啟Openflow來實現(xiàn)在物理接入層上對需要隔離的流量的牽引。

　　這里存在兩種不同的實現(xiàn)思路，其一是使用全SDN網(wǎng)絡(luò)，即虛擬交換機(jī)和二層接入物理交換機(jī)都要開啟Openflow協(xié)議支持，這樣完全控制任意兩臺虛擬機(jī)間的通信路徑，但是這就使得安全隔離方案在網(wǎng)絡(luò)流的轉(zhuǎn)發(fā)路徑控制時要同時跟虛擬化平臺中的虛擬交換機(jī)和物理交換機(jī)的管理中心進(jìn)行交互和整合。由于在實際項目中，不能保證虛擬化平臺的提供商和網(wǎng)絡(luò)提供商是同一廠商，且不能保證他們在網(wǎng)絡(luò)建設(shè)方案上就安全隔離方案的選擇和使用達(dá)成一致，甚至?xí)霈F(xiàn)需要虛擬化平臺提供商、網(wǎng)絡(luò)提供商和安全提供商三方共同構(gòu)建安全解決方案的情況，因此基于虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)全SDN實現(xiàn)安全隔離的方式較難實施。

　　第二種思路是在虛擬網(wǎng)絡(luò)層通過VLAN對虛擬機(jī)進(jìn)行隔離，在物理接入交換機(jī)上開啟Openflow協(xié)議。相對于全SDN網(wǎng)絡(luò)的模式，只在物理網(wǎng)絡(luò)開啟Openflow在管理上相對簡單和高效，但該方案無法對在同一臺物理機(jī)上屬于同一VLAN內(nèi)的不同虛擬機(jī)進(jìn)行有效的隔離，并且在二層環(huán)境下，缺乏有效的流量匯聚能力，若完全通過接入交換機(jī)把屬于同一安全域邊界的流量向一個物理端口進(jìn)行匯聚，會因為虛擬機(jī)的物理位置的分布而造成接入交換機(jī)網(wǎng)絡(luò)帶寬的極大占用。

　　方案五：在三層匯聚物理交換機(jī)層實現(xiàn)安全隔離方案，由于虛擬交換機(jī)和接入交換機(jī)都工作在二層模式下，因此所有跨VLAN的網(wǎng)絡(luò)流量都將上行至三層匯聚物理交換機(jī)進(jìn)行交換，即三層匯聚交換機(jī)是整個網(wǎng)絡(luò)中所有跨VLAN流量的匯聚點，而這種特性與虛擬化平臺無關(guān)，因此當(dāng)用戶的安全需求滿足前文所給出的安全需求定義和規(guī)劃模型時，都可以應(yīng)用該方案實現(xiàn)對安全域邊界流量的網(wǎng)絡(luò)安全隔離。該方案的最大優(yōu)勢是充分解耦合了安全隔離方案的實施與虛擬化環(huán)境的關(guān)系，僅需要在三層匯聚層與網(wǎng)絡(luò)環(huán)境相整合，能夠充分利用硬件安全設(shè)備的性能和功能優(yōu)勢，完全不占用虛擬化環(huán)境的資源，穩(wěn)定性和性能都超過前面的各種方案。在三層網(wǎng)絡(luò)環(huán)境中，靜態(tài)路由或Openflow都是可以控制網(wǎng)絡(luò)流量通過串行安全設(shè)備的方式，為了滿足之前給出的安全設(shè)備工作在二層透明模式的需求，利用Openflow實現(xiàn)流量牽引是更好的解決方案。

　　圖5給出了在啟明星辰泰合云安全管理平臺管理下的云安全隔離方案，在方案中，該方案要求在物理網(wǎng)絡(luò)環(huán)境中開啟Openflow協(xié)議支持，云安全管理平臺基于用戶在其上所定義的安全域劃分規(guī)則，通過網(wǎng)絡(luò)環(huán)境中SDN控制器提供的API修改服務(wù)鏈(Service Chain)，使得跨安全域邊界的網(wǎng)絡(luò)流被牽引至安全資源池，如圖中所示，VLAN100和VLAN200被劃分在了安全域1，VLAN300在安全域2。那么當(dāng)VLAN100和VLAN200內(nèi)的任意虛擬機(jī)間進(jìn)行通信時，我們認(rèn)為屬于同一安全域內(nèi)的通信，可不隔離，而當(dāng)VLAN100或VLAN200內(nèi)的虛擬機(jī)和VLAN300內(nèi)的虛擬機(jī)通信時，這部分流量將被通過安全管理平臺下發(fā)給SDN控制器的服務(wù)鏈修改策略進(jìn)行修改，使得這部分流量被牽引到串行安全資源池中，并在安全資源池中基于流量的業(yè)務(wù)特性進(jìn)行進(jìn)一步的細(xì)分，使得相應(yīng)的業(yè)務(wù)流量通過對應(yīng)的安全設(shè)備(如http流量通過WAF設(shè)備)。該方案存在兩個方面的局限，其一是需要物理網(wǎng)絡(luò)環(huán)境支持Openflow，其二是無法隔離粒度在虛擬機(jī)級別的通信。5 結(jié)束語

　　綜上所述，在云計算環(huán)境中，網(wǎng)絡(luò)安全隔離方案的實施過程中，需要考慮到包括虛擬化、網(wǎng)絡(luò)和安全等不同供應(yīng)商合作問題，虛擬化平臺API支持問題，用戶對網(wǎng)絡(luò)配置方式的接受問題(如是否使用SDN模式)，網(wǎng)絡(luò)平臺網(wǎng)絡(luò)流管控接口支持問題，安全隔離控制粒度問題(如虛擬機(jī)級別還是網(wǎng)絡(luò)安全域邊界級別的控制)，安全隔離方案性能、功能和穩(wěn)定性問題等。

　　特別是由于云環(huán)境建設(shè)和安全建設(shè)的不同期，往往造成安全廠商后介入，而只能采用與云平臺和網(wǎng)絡(luò)環(huán)境都完全解耦的解決方案，而對于云平臺和網(wǎng)絡(luò)環(huán)境的建設(shè)方，往往或不承擔(dān)安全建設(shè)的任務(wù)或希望整合打包更多自有安全產(chǎn)品而并未開放足夠的可用安全管理調(diào)用的管理控制接口，這些都使得云安全特別是云安全隔離解決方案的實施困難重重。我們也期待更多的云服務(wù)商和網(wǎng)絡(luò)服務(wù)商更加重視對云計算環(huán)境安全的支持，為安全提供更多標(biāo)準(zhǔn)的管控接口，使得安全解決方案能夠很好的被整合進(jìn)整個云環(huán)境中。

　　參考文獻(xiàn)

　　[1] 魯松.計算機(jī)虛擬化技術(shù)及應(yīng)用[M].北京：機(jī)械工業(yè)出版社，2008.3.

　　[2] 胡嘉璽.虛擬智慧VMware Vsphere運(yùn)維實錄[M].北京：清華大學(xué)出版社，2011.2.

　　[3] 王春海.虛擬化技術(shù)與動手實驗[M].機(jī)械工業(yè)出版社，2008.3.

　　[4] 張東.大話存儲-網(wǎng)絡(luò)存儲系統(tǒng)原理精解與最佳實踐[M].清華大學(xué)出版社，2008.11.

　　[5] 李明.網(wǎng)絡(luò)虛擬化技術(shù)在云計算數(shù)據(jù)中心的應(yīng)用[J].2012.2.

　　[6] 孟靜.云計算[J].中國信息化，2008.

　　[7] 林立宇，陳云海，張敏.云計算技術(shù)及運(yùn)營可行性分析[J].通信熱點，2008.

　　[8] 姜國華，李曉林，季英珍.基于SOA的框架模型研究[J].電腦與信息技術(shù)，2007.

　　[9] 宋坤，周智海.面向服務(wù)的軟件體系結(jié)構(gòu)[J].海洋技術(shù)，2007.

【云計算安全隔離方案深度分析】相關(guān)文章：

信息安全影響在云計算環(huán)境下的對策分析論文10-08