云计算虚拟化环境下的安全防护(3)

基于虚拟机的安全防护

在虚拟化技术推进的过程中，一些厂商很敏锐的观察到了VM之间直接交换流量无法通过外部防火墙等设备进行检测，因此想通过直接在服务器内部部署虚拟机安全软件，通过对VMware开放的API接口的利用，将所有VM之间的流量交换在进入到vSwitch之前，先引入到虚拟机安全软件进行检查。此时可以根据需求将不同的VM划分到不同的安全域，并配置各种安全域间隔离和互访的策略。同时，一些技术能力强的软件厂商，还考虑在软件中集成IPS深度报文检测技术，判断VM之间的流量交换是否存在漏洞攻击。这种方式的优点是部署比较简单，只需要在服务器上开辟资源并运行虚拟机软件运行即可，但是其不足之处也很明显：

不足一：每个服务器需要有专门的资源来安装该软件，服务器流量越大，开启的功能如IPS深度检测越多，对系统的资源占用就越大，不仅可能影响其它VM的性能，同时也导致服务器投资的增加;以常见的酷睿2双核双CPU服务器【4核】为例，虚拟化情况下服务器的CPU利用率得到有效提升，对外可以提供的应用吞吐量有望达到800Mbps以上;同时根据现有的经验，基于双核CPU处理器的IPS应用其吞吐量维持在300Mbps左右;可以预见：如果利用该服务器进行虚拟化划分并使能安全虚拟机软件的话，至少需要划分出2个核来做安全虚拟机，才可以保证对300M的流量进行深度报文检测，而真正的应用虚拟机将只能利用剩余的2个核，这也意味着整个服务器的吞吐量将下降到300Mbps左右;要达到原定的应用交付性能，用户必须部署更多的服务器才能满足要求。

不足二：由于该防护模型需要安全软件厂商在Hypervisor层进行代码开发，其开发水平的差异将导致Hypervisor出现潜在的安全漏洞，并危及到整个虚拟机的正常运转。可以预见虚拟化厂商将不可能完全开放该API接口，这也意味着只有很少的厂商才能获得虚拟化厂商的许可并进行严格受控的软件集成;目前我们并没有看到具有影响力的安全厂商的成熟的虚拟化产品，整个生态系统未来如何发展将取决于虚拟机厂商对于API的开放程度以及安全软件厂商的成熟的开发能力，这些都存在很大的不确定性。

基于重定向技术的防护模型

既然VM之间的流量交换一直在服务器内部，不利于安全策略的部署，也不利于管理界限的明晰，因此正在进行标准化EVB技术，计划通过VEPA等技术实现将这些流量引入到外部的交换机。在接入交换机转发这些流量之前，可以通过镜像或者重定向等技术，将流量先引入到专业的安全设备进行深度报文检查、安全策略配置或是允许/拒绝其访问。

这种实现方式的优点在于外置硬件安全设备的高性能，在不损失服务器能力的情况下，可以使用数目较少的高端安全设备来实现万兆甚至十万兆的安全检测能力,管理员也可以充分利用先前的经验，很容易实现对这些外置安全设备的管理维护。同时因为该标准的相对开放性，相关的网络安全厂商都可以参与到这个方案当中来，减少了客户对于单一网络安全厂商的依赖。

对于该方式下安全策略跟随VM迁移的问题，在网络管理组件及时感知到VM虚拟机迁移时，通过内部的消息传送，安全管理组件可以及时获取到此次迁移的相关参数如新的接入交换机ID及端口VLAN等属性;此时再比对自身保存的拓扑关系图定位到新的虚拟机迁移位置所对应的安全产品ID，从而实现虚拟机的安全策略profile的迁移，这也是一种简单易行的解决方案。如表1对比了两种方式的差异。

三、 结束语

综上所述，现阶段基于虚拟机的安全软件部署方式，在小型的虚拟化环境中，更容易得到较好的用户体验，但是在大规模高性能的应用环境中，基于高性能的专业硬件设备来搭建安全防护层，更容易满足对性能的要求，在总的投资上也更有优势。未来一段时间内，这两种方式将作为主要的技术方式而存在，用户可以根据自身的实际应用环境进行选择。