對于云數(shù)據(jù)中心，在實施等保的過程中，如何防范安全區(qū)域邊界環(huán)境的攻擊往往是難點。有別于傳統(tǒng)的攻擊方式，由于增加了虛擬化層面的部署，邊界受攻擊的范圍也隨之增加。為此，我們必須要考慮三個方向的攻擊。

　　一是由外向內(nèi)的攻擊：由外部網(wǎng)絡向云數(shù)據(jù)中心內(nèi)部發(fā)起的攻擊;

　　二是由內(nèi)向外的攻擊：由云數(shù)據(jù)中心向外部網(wǎng)絡發(fā)起的攻擊;

　　三是由內(nèi)向內(nèi)的攻擊：云數(shù)據(jù)中心內(nèi)部同一臺物理服務器VM(虛擬機)之間的攻擊。

　　對于“由外向內(nèi)的攻擊”和“由內(nèi)向外的攻擊”，采用傳統(tǒng)網(wǎng)絡環(huán)境中網(wǎng)絡設備、服務器等物理設備之間較成熟的邊界安全控制機制即可實現(xiàn)(這就是常說的云數(shù)據(jù)中心南北向流量)。

　　但對于“由內(nèi)向內(nèi)的攻擊”這種特殊的新環(huán)境(這就是常說的數(shù)據(jù)中心東西向流量)，由于在云計算環(huán)境中同一臺物理設備中各VM間的網(wǎng)絡通信都是采用虛擬以太網(wǎng)交換技術VEB(Virtual Edge Bridge)在虛擬化平臺內(nèi)部來處理，各VM之間的網(wǎng)絡流量不會經(jīng)過物理網(wǎng)絡環(huán)境，這就導致在物理網(wǎng)絡安全設備上對這部分不可見網(wǎng)絡流量的檢測、分析和控制措施將完全失效。這樣的后果就是在各VM之間可能形成隱蔽信道而被攻擊者利用。因此，如何解決VM之間流量可見性問題，是需要探討的。目前業(yè)界面對該問題主要有兩類思路。

　　安全設備虛擬化

　　把安全設備虛擬化，部署到虛擬環(huán)境中，使其在虛擬平臺內(nèi)部解決流量可視化的問題，在虛擬平臺內(nèi)部做防護。對此，VMware已經(jīng)有了解決思路，它把對虛擬環(huán)境下安全問題的研究方向集中在了其數(shù)據(jù)中心虛擬化平臺VMware vSphere的兩個套件上：VMsafe和vShield。

　　VMware VMsafe是一組特殊的應用程序通用接口組件(API)，專門構建于VMware ESXi中。利用它可以使合作伙伴或者第三方安全廠商開發(fā)相應的虛擬化安全產(chǎn)品(如虛擬化Firewall、虛擬化IDS/IPS等)。這些虛擬化的安全產(chǎn)品直接部署于Hypervisor上的一個具備特殊權限的VM中，該VM可以直接訪問Hypervisor中的數(shù)據(jù)，因此，可用來監(jiān)視和控制各VM之間接收和發(fā)送的網(wǎng)絡流量。

　　VMware vShield是為了保護虛擬化數(shù)據(jù)中心平臺VMware vSphere免遭攻擊和誤用而基于VMsafe API開發(fā)的關鍵安全組件，我們可以理解為保護VM和分析虛擬平臺內(nèi)部網(wǎng)絡流量的虛擬化防火墻。安全管理員可以利用vShield各個安全模塊部署配置虛擬機環(huán)境中的各項安全策略。比如： vShield Zones(虛擬防火墻防護)、vShield APP(VM之間入侵防御、流量分析等應用層防護)、vShield Edge(VM外圍網(wǎng)絡安全邊界防御)、vShield agents(虛擬機掃描終端)等。

　　另外，Xen虛擬化平臺也有類似的安全機制，在Xen Hypervisor上有一個具備管理接口的特權VM(Domain 0)。作為Xen Hypervisor的擴展，Domain 0可以直接訪問Hypervisor中的數(shù)據(jù)，同時監(jiān)視和控制其它VM實例(Domain U)之間的網(wǎng)絡流量。

　　但此類方案的缺點在于：安全設備占用服務器的資源，且受制于虛擬操作系統(tǒng)，因此在靈活性上受到很大的制約。

　　虛擬環(huán)境內(nèi)部流量牽引至物理網(wǎng)絡

　　如果能把虛擬平臺內(nèi)部的“不可見”流量牽引至物理環(huán)境，那么這部分流量對于傳統(tǒng)安全防護設備來說就“可見”了，就可以采用傳統(tǒng)的安全防護措施處理虛擬平臺內(nèi)部的攻擊。而且這樣做的好處是安全設備不會占用服務器自身的計算資源，且安全設備有著更高的可擴展性，從而實現(xiàn)更經(jīng)濟、更有效的安全隔離與防護，這種思路在業(yè)界也已經(jīng)有了多種方案。

　　1. vSwitch引流方案

　　在VMware ESX/ESXi環(huán)境下，我們也可以使用內(nèi)置的vSwitch(虛擬交換機)來實現(xiàn)流量牽引。vSwitch是由VMware ESX/ESXi內(nèi)核提供，是一個虛擬化的交換機，主要用于同一臺物理服務器VM之間互聯(lián)。一個ESX/ESXi環(huán)境下可以配置多個vSwitch，每個vSwitch可以使用一塊或多塊物理服務器的物理網(wǎng)卡，但是一塊物理網(wǎng)卡只能對應一個專屬的vSwitch。ESX/ESXi部署后會默認安裝第一臺虛擬交換機vSwitch0，用于虛擬機主控臺。

　　利用vSwitch的上述特性，如果為同一個物理服務器上的多個VM分別配置給不同的vSwitch，那么每一個vSwitch之間的通信流量肯定都是相互隔離的。如圖2所示，如果一個vSwitch上的VM需要與同一臺物理服務器上的另一個vSwitch上VM通信，那么這部分流量就必須經(jīng)過所對應的物理網(wǎng)卡，從而將流量牽引至物理網(wǎng)絡，這樣就能使用傳統(tǒng)的網(wǎng)絡安全防護機制來對VM之間的流量進行監(jiān)控與防護。

　　2. VEPA引流方案

　　利用vSwitch與物理網(wǎng)卡配合的方式可以牽引出虛擬平臺內(nèi)部不同vSwitch下VM之間流量，那么同一個vSwitch下各VM之間的網(wǎng)絡流量如何處理，是否能夠牽引出物理網(wǎng)絡?這又是一個新問題。

　　目前業(yè)界已經(jīng)有了邊緣虛擬橋接EVB(Edge Virtual Bridging)標準，即IEEE 802.1Qbg標準。標準中的虛擬以太端口匯聚器VEPA(Virtual Ethernet Port Aggregator)技術就是解決將VM之間產(chǎn)生的網(wǎng)絡流量全部牽引至與服務器外部上聯(lián)的物理交換機進行處理轉發(fā)的問題。也就是說在VEPA環(huán)境下，虛擬環(huán)境內(nèi)部VM之間網(wǎng)絡通信流量不會再采用VEB(可以理解為vSwitch)機制在虛擬化平臺內(nèi)部來處理，而是被強制牽引至服務器物理網(wǎng)卡外部，由網(wǎng)卡上聯(lián)的VEPA交換機接收并處理后才轉發(fā)回虛擬平臺內(nèi)部。

　　與vSwitch技術方案類似，VEPA牽引流量的方案采用純軟件方式即可實現(xiàn)。

　　3. VN-Tag引流方案

　　除了VEPA技術之外，思科的私有虛擬化網(wǎng)絡控制協(xié)議VN-Tag(目前是IEEE 802.1 Qbh)也能夠實現(xiàn)將虛擬平臺內(nèi)部VM之間流量牽引至外部物理交換機來處理轉發(fā)，實現(xiàn)方式主要是在傳統(tǒng)以太網(wǎng)幀基礎上增加VN-Tag幀頭以標識每個VM所綁定的虛擬接口。但是與VEPA技術方案不同的是，VN-Tag技術的實現(xiàn)會受到服務器物理網(wǎng)卡和交換設備硬件支持的制約。 

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：在云數(shù)據(jù)中心中實施等級保護

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839715230.html