云计算虚拟化环境下的安全防护(2)

VM之间产生新安全访问风险

和传统的安全防护不同，虚拟机环境下同一个服务器上不同的VM可能属于同一个物理VLAN内，如果相邻VM之间的流量交换不通过外部交换机，而是基于服务器内部的虚拟交换网络解决，此时在不可控的情况下，网络管理员将面临两个新的安全问题：

1) 如何判断VM之间的二层流量交换是规则允许范围内的合法访问还是非法访问？

2) 更进一步，即使不同VM之间的流量允许交换，如何判断这些流量是否存在诸如针对应用层安全漏洞的网络攻击行为？

二、 虚拟化环境下安全防护的方法

在利用现有的经验模型解决好当前存在的普遍性安全威胁后，现阶段虚拟化环境下的安全防护还需要重点考虑VM之间的流量安全。分析流量的转发路径，我们可以将用户流量划分成纵向流量和横向流量两个维度，并基于每个维度的安全需求提供有针对性的解决方案。

1. 纵向流量的安全防护

这部分纵向流量包括从客户端到服务器侧的正常流量访问请求，以及不同VM之间的三层转发的流量。这些流量的共同特点是其交换必然经过外置的硬件安全防护层，我们也称之为纵向流量控制层。

一方面，这些流量的防护方式，和传统的数据中心的安全防护相比没有本质区别，用户可以直接借鉴原有经验进行。如防护的设备类型仍然是以防火墙和入侵防御系统等产品为主，在部署的方式上要求防火墙或入侵防御设备具备INLINE阻断安全攻击的能力，部署的位置可以旁挂在汇聚层或者是串接在核心层和汇聚层之间，同时对于设备的性能可扩展和稳定性等常规指标也完全适用。

另一方面，在虚拟化环境下的云安全部署，因为可能存在多租户*的服务模型，因此对于设备的虚拟化实现程度又有了更高的要求，除了常规的虚拟化实例进行转发隔离和安全策略独立配置外，还要求实现对于不同租户的独立的资源管理配置和策略管理.每个虚拟实例的管理员可以随时监控、调整本租户的策略的配置实现情况等。这些新的技术要求，对于虚拟化环境下的纵向流量防护有着重要的影响。

2. 横向流量安全防护

VM之间的横向流量安全是在虚拟化环境下产生的特有问题，在这种情况下，同一个服务器的不同VM之间的流量将直接在服务器内部实现交换，导致外层网络安全管理员无法对这些流量进行监控或者实施各种高级安全策略如防火墙规则或者入侵防御规则。

在服务器的虚拟化过程中，以VMware为代表的虚拟化厂商，通过在服务器Hypervisor层集成vSwitch虚拟交换机特性，也可以实现一些基本的访问允许或拒绝规则，但是并没有也很难集成更高级的安全检测防护引擎，以实现VM之间的流量漏洞攻击的行为检测。要做到更深度的安全检测，目前主要有两种技术方式：基于虚拟机的安全服务模型，以及利用EVB技术实现流量重定向的安全检测。(责任编辑：admin)