【云安全系列六】天融信云计算安全建设方案

天融信的解决思路和方法

设计思路
既然传统的安全防护措施无法有效的对虚拟机的安全进行防护,特别是在网络虚拟化后,同一主机内,不同虚拟机之间的网络访问控制层面上的安全防护。同时又由于虚拟化软件的引入,导致hypervisor层的安全显得至关重要。天融信提出了TopVSP三层防御体系,从网络层面,系统层面,管理层面三个层面对虚拟化环境进行安全保护。

 TopVSP三层防御体系架构图

网络层面
·虚拟机的网络安全,对虚拟机之间以及虚拟机与外网的通信进行访问控制、内容过滤、应用代理、QOS、DOS/DDOS防御、入侵检测、病毒查杀等。
·虚拟机的虚拟出口安全,防止虚拟机修改MAC地址、监听以及伪造包对其他虚拟机进行攻击的行为。
·安全策略迁移,借助集中管理平台,可以实现安全策略跟随虚拟机进行迁移,从而保证虚拟机即使迁移了能继续受到保护。

系统层面
·保护虚拟化平台的安全:在虚拟化环境下最重要的也是最需要保护的就是虚拟化平台自身,虚拟化平台一旦被攻破,那么所有虚拟机都将受到威胁。所以虚拟化安全平台针对虚拟化平台自身系统进行保护,控制虚拟化平台对外开放的端口,对虚拟化平台系统进行IDS,IPS,Ddos防御。虚拟化安全平台会针对不同的虚拟化平台进行漏洞扫描,最新漏洞跟踪,漏洞补丁管理等功能。
·限制虚拟机允许访问的系统资源:在虚拟化环境下所有虚拟机都集中在一起,并且虚拟机的控制权是分配给客户的,同时虚拟机的硬件是虚拟化平台提供的,一旦用户利用虚拟化平台的漏洞就有可能穿越虚拟机,从而获得虚拟化平台的其他资源,而这些资源是不应该被虚拟机访问到的。虚拟化安全平台针对不同的虚拟化平台可以限制虚拟机资源的访问,虚拟机的每个访问请求都会经过资源控制策略的检测,每个虚拟机只能访问分配给它的资源。
·虚拟机镜像加密:如果虚拟机镜像被恶意获得,那么其中的数据就有可能被泄露,所以通过虚拟机镜像加密技术可以保证即使镜像文件被获取也无法读取其中的内容。同时镜像的加密对于虚拟机自身来说是透明的。
·虚拟机日志分析:通过收集虚拟机客户系统的日志,并对日志进行分析,可以使管理员引起注意,察觉虚拟机的一些异常行为。
·虚拟机外设控制:虚拟化安全平台可以控制虚拟机访问所有外设的权限。比如虽然管理员给每个虚拟机分配了usb,但可以通过虚拟化安全平台来控制虚拟机是否可以读取usb。

管理层面
·管理通道的安全:通过IPSEC,VPN,SSH,TLS等技术保证管理通道的安全。
·虚拟化平台管理员的认证以及权限管理:通过对管理信令的监控可以对管理员操作虚拟机的权限进行控制。
·虚拟机操作事件审计:记录管理员操作虚拟机的每个事件,以便事后审计。
·虚拟安全策略:在虚拟化环境下,不同的虚拟机可能由不同的管理员管理,这就会需要配置不同的安全策略,类似传统的虚拟防火墙,虚拟安全策略能够使不同管理员可以配置不同的安全策略,并且安全策略之间相互独立。

技术实现
虚拟化安全平台系统组件

 TopVSP总体架构图

虚拟化安全平台由集中管理平台TopVSP Policy(TP),虚拟化安全网关TopVSP vGate,客户系统内安全代理TopVSP Desktop(TD),虚拟化平台接入引擎TopVSP Access engine(TAE),四个组件构成:

·集中管理平台TP负责安全策略的集中管理,并对安全策略的迁移功能提供支持。
·虚拟化安全网关TopVSP vGate是以虚拟机形式部署在虚拟化平台上,并通过虚拟化平台接入引擎TAE获得虚拟化平台的网络通信数据,从而实现对所有虚拟机之间以及虚拟化平台本身的网络通信进行防护。
·客户系统内安全代理TD是安装在客户操作系统内的服务,负责收集客户系统的日志信息,文件一致性保护,外设的权限控制等。
·虚拟化平台接入引擎TAE负责实现虚拟化平台的网络数据导流到虚拟化安全网关vGate,针对不同的虚拟化平台需要安装对应的接入引擎。同时针对不同的平台还可以对虚拟化平台自身系统进行安全加固,以及基于hypervisor层的各种权限控制,比如对虚拟机外设的控制,对虚拟机操作权限的控制等。

TopVSP vGate技术实现
虚拟化安全网关的设计是基于天融信成熟的安全操作系统TOS,使TOS可以作为主流的完全虚拟化或半虚拟化的虚拟机管理器的Guest OS,同时进行系列升级改造使vTOS和安全引擎适应各种虚拟化平台并进行优化。
基于vTos架构的虚拟化安全网关的总体架构如下图所示:

 

虚拟化安全网关总体架构图

虚拟化安全网关由操作系统核心vTOS和多种可配置的安全引擎模块构成。安全引擎包括防火墙引擎、IPSEC/SSL VPN引擎、抗DOS攻击引擎、IDS/IPS引擎、WEB防护引擎等等。

vSwitch连接方式
如果不安装虚拟化接入引擎TAE,单纯的通过vswitch连接的形式也可以简单的部署vGate,使用vGate提供的网络安全功能来保护重要的安全域,部署形式如下:

通过vswitch连接vGate

Open vSwitch流重定向
以上通过手动配置vswitch的形式把流量导入到vGate的形式的缺点是部署比较复杂,而且不利于虚拟机的迁移。如果借助Open vSwitch的流重定向技术,可以解决此问题。

 

Open vSwitch流重定向技术

Open vSwitch是开源的分布式交换机,支持SDN,虚拟机流量标记,QoS,流重定向。Open vSwitch可以配置策略,实现虚拟机出口流量的重定向功能。这样就可以把每个虚拟机的流量先重定向到vGate,经vGate过滤后再进行转发。

虚拟化平台接入引擎TAE
即使不使用Open vSwitch的情况下通过TAE也可以实现流的重定向功能,借助VMM提供的API,还负责对VMM的系统层面进行保护。
比如kvm平台,使用了如下三种接口:

Open vSwitch流重定向技术

1)Netfilter框架
实现网络流的重定向,是VMM的所有网络流量重定向到vGate。
2)KVM控制层
借助KVM提供的hook框架,可以添加控制层,实现虚拟机的权限控制,操作记录。
3)LSM框架
实现VMM的系统安全,如:
限制每个虚拟机能够访问的资源,相当于把虚拟机限制在一个沙盒中,即使虚拟机被攻破也无法访问VMM的系统资源。
在LSM框架的基础上,通过cgroups技术防止虚拟机对cpu,内存,网络,diskio等共享资源的恶意竞争。

安全策略迁移
虚拟机迁移的时候,安全策略也要随之迁移,以保证虚拟机在迁移前后安全的一致性。

 策略迁移示意图

在虚拟机发起迁移时,TopVSP会从TP请求被迁移虚拟机的安全策略,推送到目标server上的TopVSP中,然后再启动虚拟机迁移。

虚拟化可信计算vTPM
目前TPM的发展还不支持硬件虚拟化,当前的解决方案都是基于软件实现。
目前,新的TPM规范即TPM.Next(微软称为TPM 2.0)尚在研究制定中,其中会加入对虚拟化的支持,以下是TPM.next正在考虑的问题:
1)应增强TPM支持虚拟化的能力:
2)改变原有密钥结构树,考虑为虚拟机建立一个伪存储根密钥PSRK;
3)与原有方案一样,将密钥绑定至伪SRK;伪SRK能够在VMM控制下迁移至目标平台;
4)位于硬件芯片中的密钥也应在可信第三方控制下,迁移至目标平台;
所以目前vTPM的实现方式还是软件模拟实现方式:

vTPM模型是在管理级VM中采用tpm emulator为每个VM建一个vtpm instance,由vtpm实例完成各个VM的可信计算操作,而vtpm实例是通过密码绑定到物理TPM,主要是物理TPM为vtpm颁发身份证书的方式,确定vtpm的真实性。VTPM模型的优势在于vtpm之间完全隔离,而且执行的TPM操作都是通过主CPU完成,效率非常高。但是不足之处也比较明显,物理TPM到vtpm的信任关系建立也很复杂,vtpm的数据、状态需要额外安全机制保护,否则vtpm的secret将会被泄露。

 

链接: http://pan.baidu.com/s/1i37g3Xj 密码: xg96

发表评论

电子邮件地址不会被公开。 必填项已用*标注