虚拟化的安全_叶润国

虚拟化的安全青山（叶润国）核心研究院2012-07-20启明星辰技术大练兵虚拟化环境安全需求数据安全•确保数据存储的安全•确保数据传输的安全•确保数据处理的安全数据安全保护传统安全产品解决虚拟化安全虚拟化环境安全产品解决方案设想ESX/Hypver-V/KVM/FronwareAPPOSAPPOSVMwarevCenter/SCVMM/oVirt/FronwarevCenter云安全产品管配平台(VSecManager)APPOSAPPOSAPPOSAPPOSAPPOSAPPOSSAN域间访问控制域内访问控制虚拟终端安全用户数据安全Vmware的虚拟化安全产品套件正在研发的云管配平台产品云管配服务器(vSecManager)安全产品虚拟器件库管理中心虚拟化平台虚拟化管理中心(vCenter)WebBrowser泰合团队：实现一个可对启明星辰的虚拟化安全产品进行自动部署、集中管理和集中监控的安全管理平台。第一版情况：支持VMWarevsphere；支持vUTM和vTDS管理域间访问控制解决方案•通过VLAN等技术实现虚拟域的隔离•然后通过网关形式虚拟安全产品实现两个或多个隔离的虚拟域之间的通信和访问控制。•VmwarevshieldEdge•VenustechvUTMvDSvSWvSWAPPOSAPPOSAPPOSAPPOSTenantA(VLAN101)publicnetworkpublicnetworkESX1ESX2vShieldedge网关一个标准虚拟机；拥有内外网卡；路由模式；端口组网络安全；提供边界防护安全服务。访问控制：vUTM虚拟机形态安全网关云端知识库Database安全网关控制中心Administration虚拟安全网关VMVMVMMvCenterVMVMVMM虚拟安全网关物理交换机虚拟化和云计算研究课题介绍一•虚拟机内省安全监控研究二•分布式虚拟防火墙研究三•虚拟环境覆盖网络研究四•虚拟磁盘加密研究项目五•离线VM安全检测项目基于内省API的虚拟安全产品研究•安全虚拟机为特权虚拟机，通过虚拟化层内省API实现对其它虚拟机的安全监控–允许安全虚拟机对其它虚拟机CPU、内存、网络流和磁盘I/O进行监控–安全虚拟机可高效实现各种安全功能，包括FW、HIPS、NIPS、AV等IDS/IPSWeb应用程序保护应用程序控制防火墙深度包检测日志审计保护Web应用安全漏洞减低攻击层面.防止DoS&产品瑕疵监察扫描从海量数据中优化以及辨识重要安全事件完整性监控在重要系统目录，文件，注册表项中检测恶意和未经授权的更改病毒查杀测并拦截恶意软件（网络威胁，病毒和蠕虫，木马）侦测和阻止透过安全漏洞发动的已知跟零日攻击在应用程序访问网络的过程中提供更高的可视性以及监控VmsafebasedDeepSecurity产品本项目在研情况•目前正和北航合作。•安全内省API设计（KVM内省API封装）•提供对应的虚拟机内存访问•对虚拟机提供保护机制（非法阻断和响应）•提高对虚拟机内存和磁盘和网络IO访问性能分布式虚拟防火墙研究课题•虚拟化环境下，虚拟域边界是动态的，传统网络防火墙不再适用，需要支持深层防御的分布式防火墙•目标：在虚拟网络级别实现ACL，实现虚拟化环境中虚拟域内各VM之间的访问控制。•支持的虚拟化环境–VMware环境(VMsafeDVFilter)–KVM和XEN环境(openvswitchopenflow)虚拟分布式防火墙：vShieldApp•基于VMsafeDVFilter实现，可以实现虚拟网卡级别的访问控制；提供域内VM间访问控制。基于vNICACL的分布式虚拟防火墙VCenter虚拟网卡虚拟网卡虚拟网卡虚拟网卡流量控制规则流量控制规则流量控制规则流量控制规则虚拟化层虚拟交换机虚拟机1虚拟机2虚拟机3虚拟机4物理服务器互联网分布式虚拟防火墙策略管理中心虚拟防火墙全局策略翻译例子VM1-ACL（1.1.1.1）allowanytoport80;defaultdenyall;VM2-ACL(1.1.1.2)allow1.1.1.1toport8080;defaultdenyallVM3-ACL(1.1.1.3)allow1.1.1.2toport443;defaultdenyall;VM1(1.1.1.1)VM21.1.1.2VM31.1.1.3WebServerAppServerDBServerHTTP,80HTTP,8080TDS,443业务拓扑虚拟网络翻译后的vNIC级别ACLvSwitch/vDSACLACLACL本项目研究成果产品架构设想•包括虚拟化层内核模块和集中安全策略管理中心，其中内核模块实现基于虚拟网卡级别的ACL访问控制，集中安全策略管理中心则实现基于容器的面向业务的策略编辑和下发功能•支持VMwareDvfilter和OpenvSWitchopenFlow架构–中间层实现全局安全策略到下层具体安全策略的翻译网络虚拟化研究课题•虚拟网络和底层网络硬件分离，实现网络资源共享•虚拟网络具有物理L2网络全部功能•虚拟网络和物理网络地址空间隔离•虚拟网络中VM不受物理位置限制•虚拟网络具有完整生命周期当前的虚拟网络片层实现方案•采用Overlay技术实现虚拟网络与物理位置无关性；•采用SDN实现虚拟网络的全生命周期管理；•所有虚拟网络服务在边界智能网络设备上实现，不依赖于物理网络设备的网络功能；•物理IP网络提供连通能力，因而可以像计算和存储资源一样实现池化•当前可采用的两种L2-Over-L3隧道协议–VXLAN–NVGRENiciraDVNI架构NVP覆盖网络•NVPController•OpenvSwitch•NVPGateway基于隧道连接的虚拟网络单播实例VM1VM2VM4VM3VM5VM6VM7VM8192.1.1.1192.1.1.2192.1.1.3192.1.1.410.0.0.110.0.0.210.0.0.310.0.0.410.0.0.510.0.0.610.0.0.710.0.0.8vSWvSWvSWvSWVM1-VM710.0.0.1-10.0.0.7payload192.1.1.1-192.1.1.4VXLAN10.0.0.1-10.0.0.7payload基于隧道连接的虚拟网络单播实例VM1VM2VM4VM3VM5VM6VM7VM8192.1.1.1192.1.1.2192.1.1.3192.1.1.410.0.0.110.0.0.210.0.0.310.0.0.410.0.0.510.0.0.610.0.0.710.0.0.8vSWvSWvSWvSWVM1-VM710.0.0.1-10.0.0.7payload192.1.1.1-192.1.1.4VXLAN10.0.0.1-10.0.0.7payload网络虚拟化安全项目研究内容•基于软件定义网络的网络虚拟化研究–采用openvswitch和OpenflowController，在KVM或XEN平台上实现VXLAN虚拟网络管理平台。–在虚拟网络中部署各种虚拟化安全产品。虚拟化数据安全研究项目•三种类型的数据需要安全保护–休眠状态数据•当存储时就加密–移动中的数据•在内网内加密•当通过管理程序时马上加密–使用中的数据•数据使用时必须解密（同态加密除外）•数据访问控制模型三种虚拟环境数据加密实现方案虚拟机池加密网关密钥管理明文数据密文数据云存储系统密钥分发iSCSI协议虚拟机密钥管理中心密钥分发虚拟机加密驱动VM映像存储区VMM虚拟机密钥管理中心密钥分发虚拟机加密驱动VM映像存储区VMM磁盘驱动加密驱动SecureCloud系统架构28本项目研究目标•基于KVM平台和qemu-KVM模块，实现一个对KVM虚拟机的虚拟磁盘映像文件数据进行透明加解密的数据安全产品。•可实现虚拟桌面和服务器虚拟化场景中数据存储的安全。–采用libvirt实现VM管理，采用Qemu-img创建加密虚拟磁盘映像–修改qemu-KVM磁盘IO驱动，加载过程中从密钥管理中心获取所需要的密钥–需要设计一个集中密钥管理中心离线虚拟机安全检测项目•在虚拟机脱机情况下，直接对虚拟机磁盘进行安全检测•实现对离线虚拟机的批量、集中和统一杀毒•实现对离线虚拟机中OS和应用的统一补丁管理•实现对虚拟机中用户数据的集中备份和恢复基于虚拟磁盘SDK实现离线虚拟机杀毒和补丁管理•VmwareVDDK•Qcow2SDK谢谢欢迎讨论