IDC虚拟化安全防护技术应用研究

来源 :中国新通信 | 被引量 : 0次 | 上传用户:txk42424242
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  【摘要】    近年来,虚拟化技术已普遍应用于各运营商,尤其是IDC资源应用较广多,但目前虚拟化资源池安全防护主要靠传统监控与防护手段,难以发现云资源池中恶意网络行为,缺乏发现与监控可疑行为的能力,同时工信部及国家对运营商互联网接入业务的各种考核要求越来越多。為了有效落实各项考核要求,有效解决虚拟化安全防护,本文结合虚拟化系统特点,提出了相关虚拟化导流、虚拟安全产品部署技术及实际案例,旨在提升运营商安全监管能力,进一步巩固和提升用户占有率。
  【关键词】    Hypervisor    云安全    虚拟化导流
  引言:随着云计算的广泛应用,作为其核心技术的虚拟化技术的安全性也成为了业界关注的焦点问题。在云环境下,流量的南北向和东西向较为明显,传统的安全设备可对南北向流量进行防护,却难以对东西向流量起作用。IDC虚拟资源池通常借助于防火墙等传统安全设备做出口接入控制和边界防护,缺乏深入到云内的应用层安全措施,租户缺乏安全接入管控和接入业务审计,无法有效应对来自互联网侧和云平台上不同租户之间的恶意扫描、DDOS攻击、SQL注入、病毒木马、及基于各种漏洞的入侵等行为。
  一、防护方法与技术
  1.1  虚拟化导流技术
  虚拟化导流技术包括策略控制中心和导流虚拟机。策略控制中心是虚拟化网络监控系统的管理控制中心,也是系统和用户的交互界面。用户通过策略控制中提供的交互界面可以从vCenter、ESXi中获取信息,可以向系统添加和管理网络安全设备;通过策略控制中心还可以划分和管理虚拟安全域,制定和下方安全域导流策略,查看导流虚拟机的统计信息等。
  导流虚拟机是虚拟化网络监控系统的数据报文处理组件。导流虚拟机接收来自策略控制中心下发的虚拟安全域策略;从虚拟交换机中抓取网络报文,依据策略对报文进行过滤,并将报文转发到指定的目标位置;导流虚拟机接收策略中心的控制,并向策略中心反馈统计信息。
  (1)通过端口组配置VLAN隔离方式导流
  由于虚拟交换机的VLAN端口组有独立的VLAN域,因此不同VLAN端口组在交换机的二层上是隔离的,即在不同VLAN端口组之间是不能互联互通。
  (2)通过VDS端口镜像抓取东西向流量
  配置VDS端口镜像抓取流量时,只需要在配置时选择要镜像流量的源虚机(VM1、VM2…)和目的虚机端口(VTAP),不需要开启虚拟交换机端口组的混杂模式,因此VTAP导流虚机发送出去的隧道报文不会再被抓取回来,不会形成流量环。
  (3)使用VEPA镜像导流
  采用刀框交换板将特定网口流量进行镜像配置,发送到交换面板另外一个网口,该网口与VEPA控制中心直连,或者该网口直接连接到SDN交换机,通过虚拟化威胁检测系统进行流量获取并汇总分析。
  1.2  虚拟化安全产品技术
  虚拟化安全产品将传统安全产品的众多产品的功能,例如:入侵防御IPS系统, WEB应用安全网关,数据库审计系统等,通过虚拟化部署的方式,实现对虚拟化中数据流的安全监测、检测与防护。在虚拟化安全管理平台中,可实现多种类型的检测产品、审计产品、网关产品集中部署与管理。
  二、实施方案
  3.1  建设思路
  (1)建设独立的虚拟化安全平台
  构建独立的虚拟化安全平台,将安全能力软件化,将虚拟化安全构建为平台化。虚拟化安全独立于云资源池部署,实现虚拟化安全与业务资源池的弱耦合,保证云平台升级切换时,安全不受影响。
  (2)实现流量分布式采集
  根据网络结构和平台软件部署的应用特点,应采用“流量分布式采集、安全虚拟化自主分流”的方式。
  (3)实现虚拟环境的安全域流量可视化
  展现虚拟安全域的网络流连接情况,使得网络安全管理人员可以从不同层次查看虚拟安全域的IP资产情况,资产之间的实际流量连接关系拓扑等。
  (4)实现虚拟化环境流量的入侵检测
  对虚拟流量中的病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等威胁进行检测能力,防止利用虚拟机被作为攻击跳板的行为。
  (5)实现虚拟化环境流量的数据库行为审计
  对虚拟化环境下的网络操作行为和数据库操作行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,促进核心资产数据库、服务器等的正常运营。
  3.2  网络实施
  IDC虚拟化安全平台与云平台之间采用虚拟导流技术将流量导出。流量经流转发平台编排后,以租户为区分交付给虚拟化安全里的各类安全单元,由各安全单元对流量进行分析处理,实现东西向流量安全防护与可视化。部署结构简化如下图1。
  流转发平台的流量交付有两种模型:流量的负载分担和流量的复制。流量的负载分担,是可将流量基于IP进行分流,分配至不同的网络接口,通常可用于将大流量分解为小流量,由多个低性能安全组件共同处理大流量的场景;流量的复制,是流调度平台可将流量复制多份到多个网络接口,通常可用于将流量复制给多个安全组件,同时进行对流量的多维度分析的场景。
  3.3  云资源池流量牵引
  通过云导流系统将需要监控的流量从虚拟网络环境中导出到物理安全设备中,具体的安全业务逻辑由物理安全设备来处理。这种方式对用户业务和网络影响小;用物理安全设备处理安全业务可以获取极高的性能,只需要占用少量的虚拟化资源即可。
  云导流系统是虚拟化网络监控系统的数据报文处理组件。云导流系统本质是一台具有特殊功能的虚拟机。云导流系统接收来自策略控制中心下发的虚拟安全域策略,从虚拟交换机中抓取网络报文,依据策略对报文进行过滤,并将报文转发到指定的目标位置;云导流系统接收策略中心的控制,并向策略中心反馈统计信息。当有虚拟机迁移时,与虚机配套的安全策略将先于虚机复制到目的导流虚机中,保障虚机迁移前后的策略一致。
  通过虚拟导流器,将需要监控的流量分流到虚拟化安全平台中,安全平台系统部署快捷简单,需要占用少量的虚拟化资源即可。可以在安全平台上根据需求以软件形态实现Floweye、IDS及审计类等产品。
  四、结束语
  目前所有已建的IDC虚拟化资源池,基本上采用物理常规安全产品,没有专业的虚拟化安全检测、审计产品,缺乏云资源池实时监控与防护技术手段,不能发现云资源池中恶意网络行为,缺乏实现发现与监控可疑行为的能力。本系统建设后,有效补充云资源池安全防护手段,提高发现和处理能力,对满足国家三级等保要求,做好网络信息安全保障工作有重要意义。
  参  考  文  献
  [1] 王笑帝,张云勇. 刘镝等. 云计算虚拟化安全技术研究[J].电信科学,2015154
  [2] 宫月,李超,吴薇. 虚拟化安全技术研究[J]. 信息网络安全,2016(9):73-78.
  唐建军(1980.04.24—),男,汉族,新疆人,研究生(硕士),通信工程师  现任职务:通信咨询设计师,研究方向:网络与信息安全
  刘帅辰(1984.03.02—),男,汉族,新疆人,本科,助理工程师  现任职务:通信咨询设计师,研究方向:IT支撑网、核心网
其他文献
【摘要】 管理系统中,分布式数据库的应用,有助于完善系统数据存储方式,提高数据存储的可靠性与安全性。为增强管理信息系统性能,本文首先介绍了分布式数据库的类型。其次,重点从设计、安全策略等方面出发,具体阐述了分布式数据库的应用方法。  【關键词】 管理信息系统 分布式数据库 数据存储 用户权限  前言:近年来,国家各领域的发展速度逐渐加快,每日所产生的数据量显著增加,管理难度不断加大。传统数
【摘要】 构建系统共管的按病种分值付费的监测平台有效的整合院内个系统的信息,医生可以通过合理的平台进行参考选择诊治方式,管理部门系统直观进行监控,有利于减轻参保人员医疗费用负担,提高医院内部成本管理。  【关键字】 监测平台 诊治方式 分值付费  一、构建平台依据  现阶段在我国普遍存在看病难、看病贵的问题,以此背景下,进一步保障医疗保险的使用率,具有很好的现实意义。现实情况下,随着我国医疗
【摘要】 电子信息工程专业虽然作为新兴专业,但却是一项科技含量非常高的专业,它在电子计算机、通信系统技术、集成电路技术、信息系统技术等各领域都能用得到。在现在信息产业迅速发展的环境下,电子技术的核心地位显得越来越高,又由于电子信息技术跟实际的运用紧密联系,人们关于电子信息工程技术的应用也是非常重视,电子信息技术的应用渐渐的影响了人类科技发展的步伐,对生活、经济的影响也是逐渐变大。接着将会简述当下
通过大量重复性实验寻求MEMS器件或结构的最佳工艺参数不仅代价昂贵、周期长、不确定因素多,而且难以对工艺的机理准确理解。MEMS工艺模拟很好地弥补了实验的不足,同时也方便设
【摘要】 自二战至今,支撑海上强国掌控海上霸权的主要是其装备的搭载大量先进舰载战斗机的航母。这些舰载战斗机不仅是现在更是未来主宰海战的关键。本文通过对美国舰载战斗机的发展历程进行综述,并对其主要技术指标进行总结,进而,对舰载战斗机的发展进行技术展望。  【关键词】 舰载战斗机 发展历程 技术展望  一、美国舰载战斗机发展历程  1)二战期间第一代舰载战斗机。二战初期,由于美国装备的F2A“
光合作用是地球上最重要的生物化学反应。通过光合作用,以高等植物为代表的大量光合生物将太阳能转化为化学能,同时将空气中的CO2固定为糖类,为包括人在内的其他大量生物提供最
【摘要】 改革开放以来,我国科学技术水平取得大突破,这其中计算机技术的发展更是突飞猛进,在后续的发展中,国家必须加大对通信工程安全管理体系的建设,才能为信息化时代的发展提供坚实基础。但是从以往的建设来看,尚存在很多不足之处,因此需要进行深入思考,找到解决方式。我们就通信工程安全管理体系的建设进行深入分析,旨在为今后的发展提供参考。  【关键词】 通信工程 安全管理 体系  随着计算机技术不断
【摘要】 当今随着城市的不断发展扩大,使得城市交通变得日趋紧张,地铁的出现却极大缓解了整个城市交通运行的压力,同时也对城市的经济发展起到良好的促进作用。为了能够更好的体现出地铁正常稳定的运转,需要进行充分合理的车辆调式,以此才能够发挥车辆应用效益的最大化,同时也是对整个的运行安全做出重大的保护,从而能够实现地铁高效稳定的运转,为国家的交通行业发展能够做出突出的贡献。  【关键词】 地铁车辆调试
由于WCDMA系统是一个自干扰系统,容量与覆盖,干扰之间密切相关,同时WCDMA系统是一个多业务,多速率系统,不同业务对系统容量的占用时一个动态分配的过程,因此WCDMA网络的容量规划教
学位