如何实现虚拟化数据中心的东西向访问控制 | 社区成长营分享回顾
SmartX 社区成长营
在 SmartX 用户社区,我们将通过系列成长营活动,持续分享技术干货内容与行业解决方案,与社区成员共同成长。
第一期分享由 SmartX 高级产品营销经理张涛提供,聚焦网络与安全话题,以下为内容回顾。
大家晚上好,我是来自 SmartX 的张涛。我今天将围绕如何实现虚拟化数据中心的东西向访问控制这一主题进行分享。分享内容主要包括以下五个部分:
第一部分 企业领导人如何看待 “网络安全”?
第二部分 什么是网络安全等级保护?
第三部分 虚拟化安全的特点。
第四部分 虚拟化环境安全威胁的例子。
第五部分 虚拟化环境下东西向安全的指导思路。
第一部分:企业领导人如何看待 “网络安全”
企业中,“C 级别” 领导者,关心的不是具体技术,而是未来发展方向,确保公司在能够持续盈利的模式下运行。但这并不意味着 “C 级别” 领导者不关心信息安全和网络安全。
Gartner 的统计调查(如下图)表明,涉及到安全相关事务时,88% 的董事会成员会把网络安全归类为业务风险。也就是说,当 IT 系统中出现安全问题时,他们认为这对公司的业务是种伤害,而不仅仅是技术风险。
CEO/CTO/CFO 这几类不同角色的高管考虑网络安全问题时,角度是不一样的。
例如 CEO 可能会考虑,如网络安全出现问题,导致公司业务瘫痪,网上和社交媒体可能会传出去诸如 “某某公司的业务瘫痪了、被攻破了、被病毒感染了、被勒索了……” 等不利言论,这对公司的声誉和股价将产生严重影响。
这可能是 CEO 对网络安全问题的视角,其他 C 级别的领导者考虑的角度也许不一样。但是,安全问题在他们眼里也绝不仅仅是一种技术风险。
而真正把安全问题还原为技术问题,去考虑怎样解决安全隐患的,则是首席信息官(CIO)、首席信息安全官 (CISO)和 IT 经理的职责。
随着数字化不断渗透到我们生活的方方面面,数字化转型也已成为企业业务发展的重要助推力,而信息系统安全是企业在这条高速道路上能够不断前行的必备保障 —— 就像是驾驶员要开快车,必须首先重视刹车和安全带是否能够发挥作用。
第二部分:什么是网络安全等级保护
在如何落实信息和网络安全的具体措施方面,有很多的概念、方法和理论。
我们下面将聚焦 “等保” 这一国内的安全规范,展开进行说明。等保的全称是 “网络安全等级保护”,根据被保护对象的不同,安全保护的要求、方法也不同,可划分为从 “一级” 至 “五级” 的不同等保级别。
从第一级安全要求开始,就明确提出了要保障虚拟机之间访问的安全,而且要求在虚拟机迁移时,访问控制策略要随着虚拟机进行迁移。对于更高的等保级别,也应同时满足低级别的所有要求。
到了等保三级时,增加了要求,即应当能够检测到虚拟机与宿主机之间、虚拟机与虚拟机之间的通信,应当能够看到它们之间相互访问的流量,去进行汇总分析,如果有异常流量的话,要进行报警。
由此可知,等保规范明确提出了,如果信息系统是基于虚拟化的,就不能只在物理设备之间进行安全防护,也必须进行虚拟化世界内部的安全防护,这是等保 2.0 和之前的等保 1.0 之间的非常大的区别。
等保 2.0 之所以强调应对虚拟化方面进行强化,是因为在等保 1.0 规范制定时,虚拟化还未普及,还没有这么多虚拟化系统的部署和实现。而在等保规范 2.0 中,则根据近年来虚拟化和云计算技术的发展,补充了这个部分。
归纳为一句话,等保 2.0 要求在保障虚拟化平台的安全时,一定要实现虚拟机之间的访问控制策略,要能够做到访问控制策略随虚拟机迁移,要能够检测到虚拟机与虚拟机之间的异常的流量。
下图为中国国家标准 《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019),第 6 章,第一级安全要求(虚拟机访问控制策略及随迁),以及第 8 章, 第三级安全要求(虚拟机之间流量检测)。
第一级安全要求(虚拟机访问控制策略及随迁)
第三级安全要求(虚拟机之间流量检测)
第三部分:虚拟化安全的特点
等保 2.0 如此重视虚拟化环境下的安全性,是因为虚拟化世界中的复杂性加大了安全管控的难度。那么,虚拟化环境中的访问安全有哪些新的挑战呢?
相较于基于物理服务器的传统架构,虚拟化环境中,一个物理服务器上会运行多个虚拟机,这就给数据中心内部带来了三个主要变化:
1) 被管理对象总体上增多了(如下图):从若干台物理服务器增加为十倍以上数量的虚拟化服务器。
2) 被管对象的位置不再是长期确定的:每一台虚拟机可能在不同的时间运行在不同的物理服务器上。
3) 被管对象数量和属性的变动更快了:对虚拟机的创建/启动/关闭/删除等操作频率远远高于物理服务器。
这些变化不仅让虚拟化环境变得复杂,也给新形势下安全策略的编写和管理出了难题:
1) 传统数据中心架构下,网络安全策略主要部署在数据中心的边界上,难以对数据中心内部的物理服务器之间、虚拟机之间的通信进行管控。
2) 由于虚拟机数量相比物理服务器数量大幅增加,它们之间的访问控制策略数量必然随之 “爆发式”增长,想要人为设置、管理十分困难。
常见的安全策略,是通过 IP 地址来标识被保护和被拒绝的通信对象,但由于虚拟机更加频繁地被创建、删除、关闭、启动,IP 地址的变动频率也更高了 —— 这些都要求对应的安全策略都必须及时更新。
如上所说,南北向防火墙主要用于拦截外部攻击,而虚拟机之间由于内部通信联系复杂,东西向安全需要基于分布式防火墙。
第四部分:虚拟化环境安全威胁的例子
谈到数据中心内部网络流量的安全管理,常常要分为 “南北向” 和 “东西向” :“南北向” 安全措施用于防范由外向内对数据中心进行的攻击;“东西向” 安全措施则主要是应用在数据中心内部的服务器、虚拟服务器之间。
以下两个典型的 “东西向” 安全威胁例子:
1) 2017 年 5 月 12 日,WannaCry 蠕虫通过 MS17-010 漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。WannaCry 利用 Windows 操作系统 445 端口存在的漏洞,主要在主机/虚拟机之间进行横向扩散,并具有自我复制、主动传播的特性。
2) 2021 年 12 月,Apache Log4j 2 被发现存在远程代码执行漏洞,该漏洞允许攻击者在目标服务器上执行任意代码,可导致服务器被黑客控制,并可能以此为跳板,继续侵入并控制数据中心内部其他服务器 —— 有些服务器不能从外网进行访问,忽视了安全防护措施,导致它们更容易从内网被侵入。
这两个例子的共同特点是 “先南北,后东西” :新型病毒、未知类型攻击利用了未能被 “南北向” 防御设备识别的短暂空档,首先侵入某台虚拟机/服务器。设备识别的短暂空档,首先侵入某台虚拟机/服务器。
也许此时 “南北向” 防御设备快速学习并部署了新的拦截方法,但那台已被攻陷的虚拟机/服务器,在数据中心内部进行的 “东西向” 安全威胁扩散,却很难通过 “南北向” 防御设备进行抑制,由此造成虚拟机/服务器的连锁沦陷,损失无法估量。
一个不可忽视的趋势是,“未知安全威胁” 的数量在不断增加。特别是在应用的敏捷化、云原生化、微服务化大趋势下,开源代码/工具被广泛地内嵌在各种应用中。
例如,Apache Log4j 普及度很高,新发现并公布一个基于它的漏洞,瞬间就对全球数亿服务器构成了潜在威胁。
“未知安全威胁” 在 “种类” 和 “受影响的服务数量” 两个维度上的大幅增长,使得 “南北向” 防御措施难免 “百密一疏”。
因此,需要通过 “东西向” 安全防御措施,以避免外部安全威胁通过 “南北向” 方式获得单点突破后,进而在数据中心内部横向扩散造成的继发危害。
第五部分:虚拟化环境下东西向安全的指导思路
虚拟机间的安全管理,也就是常说的 “东西向” 防御,主要是在数据中心内部的服务器、虚拟服务器之间部署安全措施进行网络通信的管理。
东西向安全态势的日益严峻,打破了原有对 “安全边界” 的理解:数据中心的出口部署的安全设备不再是清晰的内 - 外边界,对数据中心的每一次访问都应以 “零信任” 的基本原则进行管理和控制:
默认一切参与因素均不受信:不会因为访问主体或客体所处位置而授予其默认的信任关系。
最小权限原则:虚拟机之间的访问权限由 “显式许可” 的安全规则进行 “按需分配”,确保仅授予每个虚拟机所需的最小权限。
持续信任评估:虚拟机自创建开始,在它的启动、修改、迁移、升级、重启、删除的全生命周期中,始终对虚拟机保持监管,对虚拟机的位置和 IP 地址进行持续跟踪,任何虚拟机之间的访问均需通过白名单的安全授权。
动态访问控制:虚拟机之间的访问控制策略可以自动延伸到具有同样业务属性(标签)的一组对象上,也可以动态延伸到同一集群的不同服务器上,或动态延伸到不同集群上,一旦发现不符合策略定义的访问行为,立即执行阻断。
因此,虚拟化环境下的 “零信任” 安全控制方法,不能照搬以物理设备为主体的上一代数据中心的做法。
为了顺应从物理设备到虚拟化的演进趋势,对数据中心内部安全管理的要求和方法进行升级,适应东西向安全特点的访问控制方法,可以总结为三个 “不应” 和三个 “必须”:
不应仅仅依赖边界安全设备,必须在虚拟化技术内部启用原生安全机制。
不应仅仅使用 IP 地址(段)作为安全策略的条件,必须启用符合虚拟机特点的新型安全策略。
不应为虚拟机的每次变动而手动调整安全策略,必须使安全策略与虚拟机自动关联、可管理、可运维。
一句话,以虚拟化安全技术解决虚拟化发展趋势带来的安全挑战。
以下图 SMTX OS 微分段网络安全模型举例,帮助大家了解传统边界防火墙网络安全模型和基于东西流量微分段的网络安全模型的区别。
以上是第一期的内容回顾。在下期分享中,张涛老师将介绍如何通过微分段技术实现 “零信任” ,以及在 SmartX 超融合环境中,以 Everoute 微分段方式实现高效率东西向安全防护的典型场景。
欢迎各位小伙伴添加管理员微信,加入 SmartX 用户社区,和我们一同成长。