盧建平，劉錦鋒，楊波

　?。ㄖ貞c通信學院 通信指揮系，重慶 400035）

　　摘要：云環(huán)境中網(wǎng)絡(luò)虛擬化已成為網(wǎng)絡(luò)技術(shù)演進的重要方向，虛擬化網(wǎng)絡(luò)環(huán)境面臨的網(wǎng)絡(luò)安全問題則成為當前網(wǎng)絡(luò)安全研究的熱點。虛擬化條件下的網(wǎng)絡(luò)既面臨傳統(tǒng)網(wǎng)絡(luò)中已存在的安全問題，也有引入虛擬化特性之后出現(xiàn)的一系列新問題。通過對網(wǎng)絡(luò)中的各要素及其關(guān)系進行描述，分析了虛擬化網(wǎng)絡(luò)環(huán)境的特性，進而分析了虛擬化網(wǎng)絡(luò)環(huán)境面臨的安全威脅，包括物理網(wǎng)絡(luò)威脅、虛擬局域網(wǎng)威脅和虛擬網(wǎng)絡(luò)威脅等。通過構(gòu)建威脅矩陣進行網(wǎng)絡(luò)安全風險分析，指出高、中、低等不同級別安全威脅的類型。針對典型的網(wǎng)絡(luò)安全風險，給出了相應(yīng)的安全防護對策。

　　關(guān)鍵詞：虛擬化；網(wǎng)絡(luò)安全；安全威脅；風險分析；對策

　　中圖分類號：TP393.08

　　文獻標識碼：A

　　DOI： 10.19358/j.issn.1674-7720.2017.11.001

　　引用格式：

　　盧建平，劉錦鋒，楊波.基于虛擬化的網(wǎng)絡(luò)安全問題研究［J］.微型機與應(yīng)用，2017,36（11）：1-4.

0引言

　　云計算蓬勃發(fā)展，作為云環(huán)境構(gòu)建重要支撐的虛擬化技術(shù)得到了廣泛應(yīng)用［1］。在云環(huán)境中，安全問題一直是人們關(guān)注的焦點［23］。研究云環(huán)境中的安全問題，必然涉及虛擬化環(huán)境中的網(wǎng)絡(luò)安全問題研究。

　　虛擬化具有環(huán)境隔離、底層控制、接口兼容、動態(tài)配置等優(yōu)勢，提供了一種有效的安全監(jiān)控手段，為解決系統(tǒng)安全問題提供了新的思路［4］。但是，由于虛擬化技術(shù)并沒有從本質(zhì)上解決傳統(tǒng)計算環(huán)境面臨的諸多安全問題，同時針對虛擬化技術(shù)自身的安全威脅也越來越多，尤其是在虛擬化網(wǎng)絡(luò)環(huán)境中，不僅包含原有傳統(tǒng)網(wǎng)絡(luò)的固有威脅，還引入了眾多新的安全威脅［57］。

1虛擬化網(wǎng)絡(luò)環(huán)境分析

　　網(wǎng)絡(luò)虛擬化主要包括網(wǎng)絡(luò)中計算節(jié)點的虛擬化、網(wǎng)絡(luò)設(shè)備的虛擬化和網(wǎng)絡(luò)互聯(lián)的虛擬化［8］。由于虛擬化平臺的存在，虛擬化網(wǎng)絡(luò)呈現(xiàn)出許多新的特性［9］：（1）網(wǎng)絡(luò)中計算資源實體由物理服務(wù)器變?yōu)樘摂M機；（2）網(wǎng)絡(luò)中存在二元的網(wǎng)絡(luò)設(shè)備，包括傳統(tǒng)網(wǎng)絡(luò)固有的物理網(wǎng)絡(luò)設(shè)備和虛擬化平臺內(nèi)部的虛擬網(wǎng)絡(luò)設(shè)備；（3）組網(wǎng)方式由純粹的物理互聯(lián)變?yōu)榘ㄌ摂M網(wǎng)絡(luò)和物理網(wǎng)絡(luò)共同作用的復(fù)合網(wǎng)絡(luò)。

　　網(wǎng)絡(luò)是由不同的對象及其之間互聯(lián)形成的各種關(guān)系的總和，此處基于該定義對虛擬化網(wǎng)絡(luò)環(huán)境進行分析。如圖1所示，在虛擬化網(wǎng)絡(luò)環(huán)境中，主要包括物理服務(wù)器、物理網(wǎng)絡(luò)設(shè)備（pSwitch）、網(wǎng)絡(luò)存儲設(shè)備、虛擬機監(jiān)控器（Hypervisor）、管理虛擬機（Management VM）、客戶虛擬機（Guest VM）、虛擬網(wǎng)絡(luò)設(shè)備（vSwitch）以及外部網(wǎng)絡(luò)等對象，而對象之間在各類管理控制信息和數(shù)據(jù)信息的交互過程中建立連接關(guān)系，這些對象和連接關(guān)系的總和構(gòu)成了虛擬化網(wǎng)絡(luò)環(huán)境。此處對各種對象及其連接關(guān)系說明如下（對照圖1中的編號）：

　　（1）外部網(wǎng)絡(luò)連接：存在于各虛擬機和外部網(wǎng)絡(luò)及其之間。該連接主要為從外部網(wǎng)絡(luò)訪問各虛擬機所包含的網(wǎng)絡(luò)服務(wù)提供接口和鏈路支持。

　?。?）業(yè)務(wù)信息連接：存在于虛擬化環(huán)境中各虛擬機及其之間的各網(wǎng)絡(luò)設(shè)備。該連接主要用于虛擬化環(huán)境中各虛擬機之間的業(yè)務(wù)信息交互。

　?。?）物理管理連接：存在于管理虛擬機和物理服務(wù)器之間。該連接主要用于管理者遠程管理虛擬服務(wù)器，對部署在被管理虛擬機服務(wù)器上的虛擬化系統(tǒng)進行重啟、停止以及重新安裝部署等操作。

　?。?）虛擬管理連接：存在于管理虛擬機和虛擬機監(jiān)控器之間。該連接主要用于管理者對虛擬化平臺上各虛擬機進行管理和配置，包括對虛擬機所提供的服務(wù)及其管理接口進行操作和控制，保障管理信息傳輸。

　?。?）受限的虛擬管理連接：存在于管理虛擬機和虛擬機監(jiān)控器之間。與（4）不同的是，該連接所提供的管理信息通道，支持管理者在同一時刻內(nèi)只能對某一臺虛擬機實施管理操作，而不能對整個虛擬化平臺進行管理，管理者不具備對虛擬網(wǎng)絡(luò)設(shè)備以及虛擬機遷移等進行操作的權(quán)限。

　?。?）虛擬機遷移連接：存在于各虛擬機監(jiān)控器之間。該連接主要用于實現(xiàn)在各虛擬機服務(wù)器之間實施虛擬機遷移，快速部署虛擬機服務(wù)器。

　?。?）物理管理信息存儲連接：存在于虛擬化管理平臺和網(wǎng)絡(luò)存儲設(shè)備之間。該連接主要用于將管理數(shù)據(jù)存儲到網(wǎng)絡(luò)存儲設(shè)備之上，由于管理數(shù)據(jù)包含了眾多虛擬化環(huán)境中的敏感信息，必須得到妥善保存，該存儲設(shè)備需要和其他用于業(yè)務(wù)信息存儲的設(shè)備進行物理隔離。

　?。?）物理業(yè)務(wù)信息存儲連接：存在于虛擬機監(jiān)控器和網(wǎng)絡(luò)存儲設(shè)備之間。該連接主要用于將位于虛擬服務(wù)器磁盤空間上的特定用戶數(shù)據(jù)存儲到網(wǎng)絡(luò)存儲設(shè)備之上。

　　（9）虛擬存儲連接：存在于虛擬機和網(wǎng)絡(luò)存儲設(shè)備之間。該連接主要用于將特定虛擬機的用戶信息如虛擬磁盤信息存儲到網(wǎng)絡(luò)存儲設(shè)備之上，用作數(shù)據(jù)冗余，在需要對虛擬機數(shù)據(jù)進行回滾、恢復(fù)、備份等操作時使用。

　　在上述9種不同的連接中，都包含相應(yīng)的網(wǎng)絡(luò)設(shè)備，包括實體網(wǎng)絡(luò)設(shè)備和虛擬網(wǎng)絡(luò)設(shè)備。

2虛擬化網(wǎng)絡(luò)環(huán)境面臨的威脅

　　網(wǎng)絡(luò)虛擬化帶來了諸多有用的特性，但它并未能提供如同物理網(wǎng)絡(luò)一般的安全級別，一定程度上反而降低了網(wǎng)絡(luò)的安全保護性能［10］。首先，傳統(tǒng)網(wǎng)絡(luò)中存在漏洞的情況也會在虛擬的網(wǎng)絡(luò)部件中體現(xiàn)出來［11］，虛擬網(wǎng)絡(luò)中的流量可能會被重路由到非安全的路徑而導致信息泄露。其次，網(wǎng)絡(luò)威脅雖然能被虛擬化安全應(yīng)用所緩和，但這些措施同樣會帶來如同傳統(tǒng)方式所引發(fā)的風險。再次，傳統(tǒng)網(wǎng)絡(luò)中二層的交換設(shè)備曾受困于VLAN跳躍攻擊、ARP欺騙、生成樹攻擊等威脅，已被很多安全產(chǎn)品成功解決，但在虛擬網(wǎng)絡(luò)中，這些安全產(chǎn)品無法生效，產(chǎn)生了新的安全威脅。

　　2.1對物理和虛擬局域網(wǎng)的威脅

　　無論是物理劃分還是虛擬劃分，網(wǎng)絡(luò)中每一個網(wǎng)段都有其設(shè)定目的和需求，因此網(wǎng)段間的隔離便成為保障基本網(wǎng)絡(luò)安全的關(guān)鍵。理論上講，所有的網(wǎng)絡(luò)通信都會進入特定的物理端口，但大部分情況下由于虛擬化服務(wù)器物理端口支持上的不足或其他條件限制，這種預(yù)期難以實現(xiàn)。在虛擬化平臺內(nèi)部，來自各虛擬機屬于不同VLAN的流量都通過平臺中的虛擬交換機中繼，全部匯入某一公用物理端口，這就為攻擊者創(chuàng)造了從VLAN中逃逸進而威脅其他網(wǎng)絡(luò)通信安全的條件。與傳統(tǒng)網(wǎng)絡(luò)一樣，虛擬化網(wǎng)絡(luò)面臨著VLAN跳躍攻擊、CAM/MAC洪泛攻擊、ARP欺騙、生成樹攻擊、DoS攻擊、MAC地址欺騙等攻擊威脅，此處以VLAN跳躍攻擊為例進行說明。

　　VLAN跳躍攻擊的方法是：攻擊者從自身所處的VLAN段逃逸出來，攔截或修改其他VLAN的流量，從而達到跳躍攻擊多個VLAN段的目的。VLAN跳躍攻擊通常針對思科的專有協(xié)議即動態(tài)中繼協(xié)議DTP進行實施，主要目標是802.1q和中繼封裝協(xié)議。攻擊者創(chuàng)建其他VLAN標識的流量信息，這種方式在虛擬化環(huán)境中也有所體現(xiàn)。例如，在VMware ESX/ESXi平臺中［12］，主機支持三種類型的VLAN標識，即外部交換標識EST、虛擬交換標識VST和虛擬客戶標識VGT，這些標識用于確定VLAN數(shù)據(jù)幀支持何種方式的傳輸，包括物理交換模式、虛擬交換模式和虛擬機方式等。在虛擬客戶標識模式下，當二層的數(shù)據(jù)幀和虛擬交換機進行交互時，VLAN標識存在于虛擬機網(wǎng)絡(luò)堆棧和物理交換機之間。如果虛擬客戶標識（VGT）被用于802.1q的中繼，則惡意的VM用戶將利用該機制產(chǎn)生一些類似的數(shù)據(jù)幀，偽造并篡改信息。攻擊者還可以模擬物理交換機或虛擬交換機的中繼協(xié)商，使得自身不僅用于發(fā)送，還可以接收來自其他VLAN的流量信息。

　　2.2對虛擬化網(wǎng)絡(luò)的威脅

　　針對虛擬化系統(tǒng)網(wǎng)絡(luò)的攻擊是虛擬化環(huán)境中出現(xiàn)的特有安全威脅，此處結(jié)合前文虛擬化網(wǎng)絡(luò)環(huán)境分析對一些主要的攻擊威脅進行說明。

　?。?）對物理管理連接的威脅

　　對物理管理網(wǎng)絡(luò)的訪問能力使得攻擊者可以威脅一套完整部署的虛擬化系統(tǒng)。攻擊者可以隨意關(guān)閉、重啟并對所有的物理服務(wù)器和虛擬機進行操控。這也是只有高權(quán)限的用戶通過特定的端口才能訪問管理接口并管理各主機設(shè)備的主要原因。

　?。?）對虛擬機遷移連接的威脅

　　由于虛擬機遷移涉及到眾多敏感的明文數(shù)據(jù)信息傳輸，在遷移時通常會分隔成一個獨特的LAN或VLAN，限制網(wǎng)絡(luò)數(shù)據(jù)的傳播。對虛擬機遷移網(wǎng)絡(luò)實施攻擊，攻擊者能夠竊取客戶機的敏感信息，甚至進一步去操控這些信息，而且由于大多數(shù)的遷移方案都沒有進行數(shù)據(jù)加密，因此這種威脅十分有效。當前VMware已經(jīng)在其遷移產(chǎn)品vMotion中采用了SSL來解決這個問題，但仍只有少數(shù)的虛擬化環(huán)境中應(yīng)用了該功能。

　?。?）對虛擬管理連接的威脅

　　由于管理信息的重要性，虛擬管理通信實體也應(yīng)被放入一個單獨的網(wǎng)段。通過對虛擬管理通信信息的訪問，攻擊者可以修改虛擬網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，操縱端口到VLAN之間的映射，將虛擬交換機設(shè)置為混雜模式（用于在同一個VLAN對其他網(wǎng)絡(luò)的通信信息進行攔截），開放特定端口創(chuàng)建“后門”等。因此，虛擬管理網(wǎng)絡(luò)應(yīng)該擁有一個足以防御二層攻擊的專用網(wǎng)段。此外，在部署虛擬化平臺如VMware ESX時，利用控制臺程序使用同一網(wǎng)絡(luò)接口啟用一些默認的虛擬機端口，使得虛擬機可以訪問純文本信息以及敏感的管理數(shù)據(jù)。

　　同樣， VMware中管理客戶端通過SSL訪問ESX主機構(gòu)成了另一種威脅。由于自簽名證書并非由授信的第三方頒發(fā)，任何人都可以生成新的密鑰對，并對公鑰進行簽名，不知情的用戶會簡單地接收這樣的證書，由于證書的不可信，造成了嚴重的安全問題。

　?。?）對存儲連接的威脅

　　存儲虛擬化同樣具有強安全性需求。首先，存儲數(shù)據(jù)可能包含各種敏感應(yīng)用數(shù)據(jù)；其次，存儲數(shù)據(jù)可能包含可供攻擊者利用進而威脅虛擬化環(huán)境的系統(tǒng)數(shù)據(jù)。首先需要重視的是對本地存儲的攻擊威脅，例如當對虛擬化平臺之上的vmdk文件進行訪問時，可能會導致客戶機到主機的逃逸等隱患的發(fā)生。此外，對虛擬存儲網(wǎng)絡(luò)而言，最大的安全威脅來源于惡意用戶對傳輸數(shù)據(jù)的嗅探攻擊。造成這種問題的根源在于，無論硬件還是軟件都沒有從根本上提供相應(yīng)的解決方案。例如，光傳輸通道以明文形式傳輸所有數(shù)據(jù)，因此必須通過其他途徑對未授權(quán)資源的訪問進行控制和隔離。此外，軟件提供商如VMware提供的存儲遷移解決方案（Storage vMotion），以及Xen環(huán)境中使用的基于IP的存儲服務(wù)，存儲信息流往往是非加密的格式化數(shù)據(jù)，攻擊者很容易竊取或修改整個磁盤的信息。另外，在共享存儲的虛擬磁盤上，具備特定權(quán)限的攻擊者可以對其進行非法訪問［13］。

　?。?）對業(yè)務(wù)信息連接的威脅

　　業(yè)務(wù)信息連接用于傳輸用戶的特定流量數(shù)據(jù)，如網(wǎng)絡(luò)服務(wù)訪問、VPN等，這些數(shù)據(jù)可能包含著眾多的用戶相關(guān)敏感信息，一旦泄露將為惡意用戶實施網(wǎng)絡(luò)攻擊創(chuàng)造條件，例如通過獲取相應(yīng)的合法口令信息訪問特定的網(wǎng)絡(luò)服務(wù)，進入虛擬機服務(wù)器，然后通過挖掘相應(yīng)網(wǎng)絡(luò)服務(wù)的漏洞加以利用，利用技術(shù)手段提升自身的用戶權(quán)限，進而威脅虛擬化平臺的安全。因此，對業(yè)務(wù)信息連接也需要進行有效的防護。

3安全對策

　　虛擬化網(wǎng)絡(luò)環(huán)境面臨的安全威脅，對各類網(wǎng)絡(luò)用戶的信息安全造成了嚴重影響，必須采取針對性的措施，增強網(wǎng)絡(luò)安全。

　　3.1安全風險分析

　　風險分析是進行安全管理的一個必要過程［14］，因此，應(yīng)當對虛擬化網(wǎng)絡(luò)環(huán)境中各網(wǎng)絡(luò)元素及用戶可能面臨的侵擾或破壞風險進行評估，為實施網(wǎng)絡(luò)安全管理提供有益借鑒。進行風險分析的一個有效方法是構(gòu)建威脅矩陣，用來表示各個部分潛在的各類威脅。在表1中，H表示高度威脅，M表示中度威脅，L表示低度威脅。一般來講，風險分析必須包含網(wǎng)絡(luò)中的所有有關(guān)成分，此處的威脅矩陣重點對虛擬化相關(guān)的元素及其面臨的各類網(wǎng)絡(luò)威脅進行對照分析，給出威脅等級。參考威脅矩陣，網(wǎng)絡(luò)用戶和管理

　　者應(yīng)當重點關(guān)注高度威脅，對中度威脅和低度威脅也應(yīng)采取相應(yīng)的防護措施。

　　3.2安全措施建議

　　通過對虛擬化網(wǎng)絡(luò)環(huán)境面臨的各類安全威脅實施風險分析，針對典型的安全威脅給出相應(yīng)的安全措施建議：

　　（1）針對虛擬機遷移和虛擬存儲網(wǎng)絡(luò)的信息嗅探和截取攻擊,可以通過構(gòu)建相應(yīng)的安全通信通道來改進，例如使用SSL和IPsec等技術(shù)。

　?。?）傳統(tǒng)的二層網(wǎng)絡(luò)和節(jié)點部署了眾多的措施來防御攻擊，但由于網(wǎng)絡(luò)組成中的各種軟件組件，包含各類缺陷，并不能從設(shè)計層面全面解決所有安全威脅，因此在軟件設(shè)計時應(yīng)采用安全的程序設(shè)計并加強測試，減少漏洞出現(xiàn)。

　?。?）VLAN跳躍攻擊可以通過禁止GVT并配置端口轉(zhuǎn)發(fā)模式為Trunk，同時限制只傳輸特定標記的數(shù)據(jù)幀來解決。此外，內(nèi)部VLAN傳輸關(guān)鍵數(shù)據(jù)時應(yīng)當使用另一個VLAN來進行，與其他數(shù)據(jù)進行隔離，杜絕攻擊者對相應(yīng)端口進行操作進而訪問內(nèi)部的關(guān)鍵傳輸數(shù)據(jù)。

　?。?）生成樹攻擊可以通過傳統(tǒng)的一些措施如BPDU防護來解決，因此虛擬交換機應(yīng)當支持這種特性并進行配置部署，這需要在虛擬化軟件設(shè)計時予以考慮。

　?。?）為減輕DHCP地址范圍不足的風險，物理交換機和虛擬交換機必須配置為只允許特定的IP/MAC地址訪問該網(wǎng)絡(luò)。對于MAC地址欺騙風險，也是可以通過相應(yīng)的措施預(yù)防，例如在VMware ESX中，管理員禁用客戶機改變虛擬MAC地址的權(quán)限，確保在虛擬化平臺中注冊的MAC地址不被修改，虛擬網(wǎng)絡(luò)設(shè)備則不會接收來自該客戶機的數(shù)據(jù)包，防止了MAC地址欺騙的發(fā)生。

　?。?）為緩和對虛擬存儲網(wǎng)絡(luò)的攻擊威脅，系統(tǒng)管理者應(yīng)當將存儲流量與其他流量進行區(qū)分，并利用IPSec和SSL等技術(shù)支持的安全通道來傳輸數(shù)據(jù)，防止嗅探和會話劫持攻擊。

　　（7）對于業(yè)務(wù)信息連接的防護，最好的方法是對其進行隔離。由于業(yè)務(wù)信息連接一般通過數(shù)據(jù)管理區(qū)域（Data Management Zone，DMZ）連接內(nèi)部網(wǎng)絡(luò)，因此必須對DMZ進行重點防護，從而限制惡意用戶的攻擊行為。

　　總之，對虛擬網(wǎng)絡(luò)而言，應(yīng)當借鑒傳統(tǒng)網(wǎng)絡(luò)中的安全防護措施進行安全體系構(gòu)建，同時也應(yīng)重視虛擬化特性自身的特點，加強對虛擬化基礎(chǔ)設(shè)施的安全防護，構(gòu)建多重防護體系，增強系統(tǒng)安全防護能力。

4結(jié)論

　　本文通過對虛擬化網(wǎng)絡(luò)環(huán)境的特性分析，指出其面臨的網(wǎng)絡(luò)安全威脅，通過構(gòu)建威脅矩陣實施風險分析，給出相應(yīng)的安全對策。研究虛擬化條件下的網(wǎng)絡(luò)安全問題，不應(yīng)僅僅關(guān)注網(wǎng)絡(luò)本身，而應(yīng)從底層出發(fā)審視誘發(fā)各類網(wǎng)絡(luò)安全威脅的根本原因，加強對虛擬化基礎(chǔ)設(shè)施的安全防護，這是保障虛擬化系統(tǒng)安全的基礎(chǔ)，也是進行網(wǎng)絡(luò)安全防護的前提和關(guān)鍵。

　　參考文獻

　?。?］ 陳康，鄭偉民.云計算：系統(tǒng)實例與研究現(xiàn)狀［J］.軟件學報，2009,20（5）：13371448.

　?。?］ 易濤.云計算虛擬化安全技術(shù)研究［J］.信息安全與通信保密，2012(5):6365.

　　［3］ IDC. New IDC IT cloud services survey: top benefits and challenges［EB/OL］.［2016-05-06］.http://blogs.idc.com.

　?。?］ Zhao Xin, BORDERS K, PRAKASH A.Virtual machine security systems［EB/OL］.(2012-06-09)［2016-12-22］.http://web.eecs.umich.edu/~aprakash/eecs588/handouts/virtualmachinesecurity.pdf. 2009.

　　［5］ 秦中元，沈日勝，張群芳，等.虛擬機系統(tǒng)安全綜述［J］.計算機應(yīng)用研究，2012，29（5）：1618-1622.

　?。?］ SALAUN M. Practical overview of a Xen covert channel［J］.Journal in Computer Virology,2010,6(4):317-328.

　?。?］ PRICE M. The paradox of security in virtual environment［J］.Computer，2008，41（11）：22-28.

　?。?］ CHOWDHURY M, BOUTABA R. A survey of network virtualization［J］. Computer Networks, 2010，54（5）:862-876.

　?。?］ 盧建平，馮婷，秦天文.虛擬化環(huán)境下網(wǎng)絡(luò)管理研究［J］.重慶通信學院學報，2013，32(6):23-27.

　?。?0］ 黃瑛，石文昌.云基礎(chǔ)設(shè)施安全性研究綜述［J］.計算機科學，2011,38（7）：24-30.

　?。?1］ 譚文輝.基于VMware虛擬化的安全分析［J］.艦船電子工程，2012,32（5）：113-115.

　?。?2］ VMware INC. VMware ESX and VMware ESXi［EB/OL］.(2013-09-17)［2016-12-22］.http://www.vmware.com/files/pdf/VMwareESXandvmwareESXiDSEN.pdf.

　?。?3］ VMware INC. VMWare vSphere 4.1 security hardening guide［EB/OL］. ［2016-04-09］.http://www.VMWare.com/resources/techresources/10198,2011.

　　［14］ 郭軍.網(wǎng)絡(luò)管理［M］.北京：北京郵電大學出版社，2009.