主机虚拟化安全技术有哪些类型 虚拟化安全属于哪一层

摘要：本文简要介绍了网络虚拟化的发展，分析了网络虚拟化方面的一些安全问题，并给出了一些可行的措施

关键字
网络虚拟化
安全 SDN OpenFlow

 

经过多年的技术准备和商业模式探索，云计算已然进入快速发展的阶段。当前有不少大型数据中心和的企业IT系统可为云计算提供设施级别的强大支撑平台，然而业务快速增加给数据中心和大型企业的复杂网络管理带来了极大的挑战。网络虚拟化技术和软件定义网络（SDN，Software Defined Networking）技术以软件可编程的方式管理虚拟和实体网络资源，很大程度上解决上述问题，近年来得到了极大的关注。本文主要介绍了面向数据中心和企业级应用的网络虚拟化技术，并探讨网络虚拟化对于传统安全的挑战，与之可能的安全解决技术。

1网络虚拟化技术简介

在虚拟化应用中，大规模应用对计算和存储的天然需求使得计算虚拟化和存储虚拟化技术较为成熟，与之相比，网络虚拟化的相关技术还在开发阶段，远没有达到成熟的程度。不过随着应用规模不断变大和业务快速变化，实体和虚拟网络的融合、快速管理和可扩展性将成为巨大的挑战，网络虚拟化已受到越来越多的关注，可预计其发展会进入快车道。

网络虚拟化将物理和虚拟网络资源整合成一个可管理的虚拟网络，特别SDN的出现对网络管理带来了颠覆性的变化：可通过编程的方式迁移虚拟机、动态组网，大大加快变更网络拓扑的进度。ONF指出SDN具备三个核心特征^[1]：控制平面和数据平面相互分离、智能和状态在逻辑上集中以及底层网络基础设施从应用中抽象出来。SDN是层次化的集中控制架构，如图1所示：网络控制器处于SDN架构的中心，北向与应用连接，进行业务交互；南向连接底层的交换机，下发路由控制命令。功能上，网络中心的控制器掌握网络拓扑、数据转发的策略，而分布在各处的网络设备接受控制器的命令，执行数据转发和路由的行为。操作上，网络管理员可以随时更新网络拓扑、调整网络规模，或快速部署安全策略，如果操作失败或存在问题可方便的进行回滚恢复到原来的状态，可见SDN确实提供了快捷方便的网络管理途径。

图1 SDN的应用实例

需要说明的是网络虚拟化、SDN和OpenFlow三者不是等价的。网络虚拟化可以不使用SDN技术，SDN也不一定要用于虚拟化环境，但SDN的控制数据平面分离非常适合网络虚拟化的场景。同样地，OpenFlow是一种可实现SDN场景的控制器–设备协议，但非唯一的SDN实现方式，还如NVGRE等技术。本文在讨论网络虚拟化时都是基于SDN的，所采用的协议标准是OpenFlow。

主流的网络虚拟化解决方案

通过软件重构网络是大势所趋，不同厂商在SDN中根据自身情况制定各自的策略，总体来说，SDN的研发领域可能会出现三足鼎立的局面： OpenFlow标准的相关开源系、Cisco主导的Cisco One系和Vmware主导的SDN系，参与三个体系的厂商关系如图2所示。

图2 SDN厂商阵营图

1.2.1 OpenFlow/ONF

当前参与量最大的开放SDN阵营是由90多家公司组成的非盈利组织组成的ONF（Open Networking Foundation），其成员不乏IBM、Intel、Google等重量级的公司，还有BigSwitch、Citrix等专注虚拟化的公司，此外还有国内的企业如腾讯、华为和中兴等。ONF最重要的成果是OpenFlow，OpenFlow是网络控制器和交换机之间通信的协议，控制器通过统一的路由策略下发基于流的数据交换命令，实现了上层软件管理和更新路由表、底层交换机执行转发策略的软硬件分离模式。OpenFlow协议处理数据的过程如图3所示，交换机在遇到未知模式的数据包时，会向控制器上传相关特征，控制器检查自己的策略库，生成数据交换的模式，然后将这些模式以控制信息的形式下发到对应的交换机，从而底层的交换机可以根据全局的路由策略执行相应的数据交换。

由于OpenFlow定义了控制器和交换机间的通信协议和安全通道，并规定交换机应遵循的规则，交换机只执行数据交换的功能，所以各厂商容易开发出支持OpenFlow的交换机，如Nicira的虚拟交换机Openvswitch和NEC和IBM等支持OpenFlow的实体交换机。对应地，控制器负责整个SDN中的网络拓扑管理、数据包路由决策、QoS管理和安全控制等复杂的功能，所以控制器是整个网络的核心，当前比较著名的控制器有BigSwitch的floodlight、Nicira的nox和NEC的ProgrammableFlow Controller等。

OpenFlow只定义了控制器–交换机的南向通信标准，没有给出应用–控制器的北向接口标准，所以相关厂商可以针对控制器开发自己的网络应用时，需要考虑不同控制器的应用接口。

图3 基于OpenFlow协议的数据交换

1.2.2 Cisco One

2012年7月，Cisco公司推出了自己的SDN计划“思科开放式网络环境
（Cisco ONE，Open Network Environment）“。Cisco ONE在实现网络环境的可编程性的同时，有更大的战略规划：它将SDN定位于五个目标市场：学术和研究、企业、服务提供商、云服务提供商和数据中心，并认为OpenFlow只是其中的学术和研究市场。Cisco ONE是对OpenFlow功能的扩展，包括Cisco onePK开发套件和Nexus 1000V等虚拟覆盖网等技术。其中Nexus 1000V包含了控制器Virtual supervisor module (VSM)和交换机Virtual Ethernet module (VEM) ，实现了完整的SDN功能。

1.2.3 VMWare/Nicira

老牌虚拟化巨头VMware在网络虚拟化方向也有大量投入。早在做研发服务器虚拟化时，VMware就使用虚拟网桥和NAT的方式建立了宿主机和虚拟机之间虚拟网络。在最新的企业级虚拟化产品vSphere中，网络虚拟化解决方案要有两方面：管理虚拟网络中的数据和流量的Network I/O Control，以及集中式管理、监控和可视化虚拟网络的Distributed Switch。

此外，VMware于2012年收购了Nicira Networks公司，后者主导开发了虚拟交换机项目Openvswitch。可预见Vmware将Nicira的网络控制器等产品集成到vSphere后，会在SDN方向进一步发力，保持其在虚拟化市场中领先的地位。

网络虚拟化面临的安全挑战

虚拟化给数据中心和企业网络带来了新的问题和挑战。一方面，传统的安全产品和安全解决方案无法解决在虚拟化后出现新的网络安全问题；另一方面，网络虚拟化自身也面临一些安全问题。网络在虚拟化后主要的问题有：

• 物理安全设备存在观测死角

虚拟机与外界存在数据交换，在虚拟化环境中的数据流有两类：跨物理主机的VM数据流和同一物理主机内部的VM数据流。前者一般通过隧道或VLAN等模式进行传输，现有的IDS/IPS等安全设备需要在所有的传输路径上进行监控，后者只经过物理主机中的虚拟交换机，无法被实体的安全设备监控到，成为整个安全系统的死角。攻击者可以在内部虚拟网络中发动任何攻击，都不会被安全设备所察觉。如图4中攻击者在虚拟机VM1中攻击VM2，数据流量没有经过物理交换机的，也不会传输到防火墙和IDS。所以虚拟化改变了数据的流向，增大了大量物理设备不可见的区域，增加了整个虚拟化网络的安全管理难度。

图4 物理安全设备无法观测到内部虚拟网络的数据交互

• 虚拟网络的数据流难以理解

虽然安全设备无法获得物理主机内部的VM间的数据包，但可以获取跨物理主机间VM的数据流。尽管如此，传统的安全设备还是不能理解这些数据流，也就无法应用正确的安全策略。例如在图5中，租户X和租户Y分别在两台物理主机上租用了一台虚拟机，当租户X从VM1向VM3发数据包时，防火墙能接收到物理主机1到物理主机2的数据包，但不知道到底是租户X还是租户Y的程序在发送数据包，也不知道是哪两台VM在通信。此外，很多虚拟机之间的数据包是经过GRE隧道传输的，所以传统的网络安全设施可能不能解析这些封装后的数据流。

图5 物理安全设备不能理解跨物理主机间数据流

• 安全策略难以迁移

虚拟化解决方案的重要优点是弹性和快速，例如当VM从一台物理主机无缝快速地迁移到另一台物理主机时，或当增加删除VM时，网络虚拟化管理工具可快速调整网络拓扑，在旧物理网络中删除VM的网络资源（地址、路由策略等），并在新的物理网络中分配VM的网络资源。相应地，安全解决方案也应将原网络设备和安全设备的安全控制（ACL和QoS）也跟随迁移，然而现有安全产品缺乏对安全策略迁移的支持，导致安全边界不能适应虚拟网络的变化。

• 网络流量不可见

在传统网络中，所有数据包经由交换或路由设备，这些设备具有可以感知并学习当前环境的数据流量，可以针对目前的网络状况动态调整路由策略。但基于OpenFlow的SDN架构中的网络控制器只会收到底层设备发来的部分的数据包，并不了解控制域中大部分直接被转发的数据流具体内容。

• 控制器的单点失效

除了传统网络升级到SDN后网络层的新问题外，SDN本身也会存在漏洞，特别是复杂的SDN的控制器。数据平面和控制平面的分离主要是由控制器实现的，所以控制器就成为了网络虚拟化的最重要的设施。

然而控制器需要应对各种动态的网络拓扑、解析各种类型的数据包、接收上层应用的信息，并控制底层网络设备的行为，所以功能实现将会非常复杂，也就可能存在不少漏洞。当攻击者攻破控制器，就可以向所有的网络设施发送指令，很容易瘫痪整个网络；或将某些数据流重定向到恶意VM，造成敏感信息的泄露。

• 多应用不一致策略导致绕过控制器

控制器控制整个网络的拓扑，处理几百甚至上千个应用的路由策略，每个应用的路由路径可能不同，那么如果这些不同应用产生的路由项之间存在不一致，就可能会出现非法路径。Porras等人提出图6的攻击场景^[2]，系统根据安全策略应禁止主机10.0.0.2与主机10.0.0.4通信，但如果控制器中有三项看似合法的不同应用需要的路由策略，那么当数据包从10.0.0.2传输到10.0.0.3，会在交换机上被替换掉源和目的地址，成为从10.0.0.1传输到10.0.0.4的数据包，最终被允许转发，而这原本应该是被禁止的。可见控制器中的路由项如果不一致，攻击者就有可趁之机绕过控制器实施攻击。

图6 控制器上三条合法策略组形成一条非法路径

• 控制信息难验证

除了攻击控制器外，控制器和网络设备间的通信也可能存在安全问题。虽然OpenFlow协议规定两者通信可使用加密的通道，但如何保证交互双方可信是一个问题。

一方面，攻击者假冒网络控制器，发送恶意控制命令即可改变网络拓扑、破坏安全策略，或修改数据流绕过防火墙。另一方面，攻击者也可以通过控制某些网络设施，向控制器发送伪造的数据包，影响控制器对网络流量的判断。

如果不解决网络虚拟化后产生的安全威胁，就可能会破坏整个网络的可用性和可靠性，造成租户的隐私泄露，并给攻击者后续攻击内部VM提供条件。

3 网络虚拟化的安全对策

本章主要针对探讨虚拟化环境中出现的安全问题，提出一些可行的安全对策。首先是确保新增的网络设施的安全，然后检测虚拟资源的安全性，最后设计自动高效的安全控制–网络控制联动机制。

3.1 保护SDN网络的虚拟资源

传统的网络安全认为被攻击目标有应用、服务器和实体网络，SDN场景还增加了网络控制器和虚拟网络设备，所以网络虚拟化安全的第一步就是要保证这些新资源的安全。

3.1.1 设计安全可靠的网络控制器

网络控制器是SDN网络的中心，也是其前置安全保证，所以保障网络虚拟化必须设计一个高可信、安全和健壮的网设计控制器。

首先，控制器需要加入审计机制，检查访问控制器的用户，保证是合法可信的，避免恶意攻击者发动各类攻击，并记录原始日志，做到定时或事后检测异常行为。

其次，保证控制器和交换设备的通信安全，如OpenFlow协议就要求两者通信必须存在一个加密通道，需防止中间人攻击。

最后，针对内部攻击或管理员不正确的配置，安全产品可实时或定时检测控制器的路由规则是否兼容并满足安全需求。如针对前面提到的”控制器不一致策略”问题，Porras等针对控制器Nox设计了一个第三方插件FortNox，可实时检测规则是否冲突。

3.1.2 保证虚拟网络设备安全

在大二层交换网络中，虚拟网络设备主要是指支持OpenFlow的虚拟交换机，如果交换机出现异常，会造成网络拓扑变化，甚至会影响控制器的正常工作。

为保护虚拟交换机，需要及时更新Hypervisor软件，防止攻击者逃逸虚拟机后利用被攻破的虚拟交换机发送恶意或异常的消息。

此外，应设计网络设备配置的一致性检查，避免发生网络风暴，减少控制器端收到的非必要PacketIn数据包请求。

3.1.3 保证控制器和网络设备的通信安全

当前OpenFlow协议中规定控制器和交换机之间的通信使用TCP或TCP/TLS协议，如果使用不加密的TCP方式，攻击者很容易伪造交换机的消息，扰乱控制器所获知的网络拓扑；但如果使用认证的加密方式，在大规模网络中控制器容易遭受拒绝服务攻击。所以设计一个轻量级可认证的通信方式，保证控制器收到的消息秘密性、完整性和可用性，将是一个重要的研究课题。

3.2 推出支持虚拟化的安全产品

针对传统安全产品对内部网络不可见的缺点，安全厂商需推出支持虚拟化的安全产品，这些安全产品以软件的形式存在，并兼容主流的虚拟化解决方案，可监控内部虚拟网络中的数据流。一般而言，支持虚拟化的安全产品通常有虚拟机形态和Agent形态。前者可以不对网络拓扑和计算节点不进行任何改动，非常方便，但缺点是安全产品容易遭到被感染的虚拟机的攻击，配置也比较复杂；后者可感知虚拟机和网络变化并应用策略，而且产品部署在VM不可见的Hypervisor层面，在很大程度上减少了对安全产品的攻击，但需要修改物理主机的系统。可预见虚拟机形态和Agent形态会相互配合，与安全控制器协同，完成较完备的安全功能。

3.3 设计软件定义的安全解决方案

要想达到真正的软件定义安全（SDSec, Software-Defined Security），就需要在保护现有和新增设备，以及内部虚拟网络的基础上，深刻理解SDN的工作模式，提出松耦合但与之匹配的安全架构，设计网络控制器和安全控制器联动的安全机制，建立基于环境的数据传输决策模型。

SDN网络与传统网络的最大不同是可编程化（programmable），整个网络的数据流和拓扑都是在控制器的指令下快速变化，那么安全产品必须理解这种变化，并能程序化地快速自动调整底层设备策略。对于虚拟化场景下的主体，Vmware公司首席安全和网络架构师Rob Randell认为可被分成三级^[3]：虚拟数据中心vDC、虚拟应用vApp和虚拟机VM（如图7所示），然后将各类安全应用根据功能组成策略模板，最后多个策略模板可以组成若干个安全组。安全组间能组成复杂的策略，应对不同级别的主体。那么对于一个虚拟化应用而言，不管其VM分布在何处，也不管其数据流的路径是什么，总能建立安全组的结构，使之能处理该应用的工作流（workload），实现安全管理的功能。

图7 虚拟化场景下安全策略的分解

 

结论

SDN和OpenFlow将网络的逻辑视图与物理视图分离，使得网络配置更加灵活，硬件设备成本大大下降，是计算机网络的又一次革命。SDN带来了巨大的便利的同时，也带来了大量尚未解决的安全问题。本文在分析了SDN的安全挑战后，给出了一些安全对策。

虽然网络虚拟化为数据中心和企业的网络安全带来了巨大的挑战，但也给网络安全防护带来了提供了新思路和新方法，如SDN集中式控制提高产品防护能力、为快速重定向可疑的DdoS流量、快速自动地构建攻防实验网络，并降低安全产品的成本。所以研究虚拟环境下的安全问题，研发支持SDN的安全产品对保护整个虚拟化网络是必要且有益的。

 

 

1 F5 Networks：SDN与ADN 竞争还是合作？

2 Phillip Porras, Seungwon Shin, Vinod Yegneswaran, Martin Fong, Mabry Tyson, Guofei Gu. A Security Enforcement Kernel for Openflow Networks. Proceedings of the ACM Sigcomm Workshop on Hot Topics in Software-Defined Networking (HotSDN), August 2012.

3 Rob Randell, How the software defined datacenter is turning security on its head, RSA conference, 2013