硬件盒子在云中获取网络流量的方法.pdfVIP

智慧安全2.0 硬件盒子在云中获取网络流量的方法 政府技术部杨开焕 关键词：虚拟化安全漏洞云端安全流量调度硬件盒子 摘要：虚拟化安全漏洞、虚拟机之间流量不可见和虚拟机逃逸等安全问题给企业带来 了不安。如何最大程度利用已部署的“硬件盒子”覆盖云端安全，降低企业安全投入成本， 为新一轮的安全布局争取更长的过渡期，是企业正在面临的问题。 概述 大多数的流量为业务的东西向流量，因此很难将这些“硬件盒子”放 随着云计算和虚拟化技术的优势显现，越来越多企业开始部署 入云环境内部对用户的流量进行安全防护。 云环境。在新技术和新服务模式带来利益的同时，黑客对云端资源 既然在云平台等虚拟化的网络中“硬件盒子”放不进去，那么为 的觊觎以及攻击手段的不断升级，也引发了新的安全风险和挑战。 何不转变一种思路，将流量引出来。由于不同厂商采用的虚拟化类型 虚拟化安全漏洞、虚拟机之间流量不可见和虚拟机逃逸等安全问题 和技术存在差异，虚拟化结构复杂，而且虚拟化的网络又有着各种 给企业带来了不安。如何最大程度利用已部署的“硬件盒子”覆盖云 各样的形式，因此“硬件盒子”获取流量的制约因素多，难度大。 端安全，降低企业安全投入成本，为新一轮的安全布局争取更长的 常见方法 过渡期，是企业正在面临的问题。 随着计算、存储虚拟化的发展，在云平台建设中，这两类资源 提及云安全，“硬件盒子”在云环境下会有些不适应，由于这些“硬 的实现方式已经相对成熟。而发展相对滞后的网络虚拟化成为了各种 件盒子”在传统网络中均采用旁挂的部署形态，决定了其获得网络 云平台实现技术的主要区别之一，同时也是云环境中最复杂的模块 流量的方式依赖于被旁挂设备，如通过交换机端口镜像技术或Flow 之一，各厂家的实现方式各有不同。比如VMware 有使用虚拟交换 技术等。但在云环境下，租户的网络通常是虚拟化的网络，而且绝 机的原生模式，也有使用NSX 的SDN 方案；OpenStack 就更多了， 67 智慧安全2.0 比如使用其虚拟化组件Neutron 的方案，激进一些的云服务提供商 �• 基于NSX 的虚拟机流量重定向技术； 有使用DragonFlow、OpenDove 等与Neutron 集成的SDN 方案， �• 基于其提供的虚拟化平台安全API 接口，通过这类接口获取 还有利用硬件SDN 交换机与开源Open vSwitch 自主设计的网络 到虚拟机的流量。 方案，还有一些云服务提供商自成一体，集成网络厂商的虚拟化和 下文主要从方式一的角度展开介绍。以VMware vSphere 云场 SDN 方案。因此很难用固定的方式实现云平台内网络流量向外部安 景获取网络流量，网络数据包副本实际上需经过两次中转。第一次 全设备牵引。 中转发生在vSphere 内部，虚拟机流入/ 流出分布式交换机（vSphere distributed switches，以下简称VDS）的数据包，无论是ESXi 主 从各云平台的网络设计来看，可以大体的将其网络分为基于 机内的虚拟机流量，还是主机间的虚拟机流量，通过VDS 的端口镜 SDN 的虚拟化网络和非SDN 的虚拟化网络。SDN 网络由于其控制、 像功能，流量可被镜像至VDS 的上行端口（Uplink），由于ESXi 主 转发相分离的架构，逻辑上集中的控制平面成为了流量调度天然的 机网卡连接着vSphere 外部的物理交换机，流量会经Uplink 管道 优势，因此在这种网络中实现云平台内网络流量向安全设备牵引，相