从数据流的走向看云安全.PDFVIP

专家视角 从数据流的走向看云安全 海口办事处 魏俊 关键词：云计算云平台数据流 摘要：以往大家更多是从云计算技术、云计算模型\ 体系架构等方面来对云安全进行 研究和探讨，本文将从另外一个角度——从数据流的走向来探讨一下云计算，尤其是云计 算平台下的安全问题。 一、云平台下数据流向的大致分类 1. 外部访问虚拟机 从云平台数据流的方向来看，大致可分为以下几类： 外部用户访问虚拟机上承载的业务，流量由互联网进入——核 心——接入——物理机网卡——虚拟机。 2. 虚拟机访问外部 由虚拟机访问互联网，流量方向与上一种情况刚好相反，虚拟 机——物理机网卡——接入——核心——互联网。 3. 跨物理机的虚拟机之间访问 V M 1——物理机1 网卡——接入交换机1——核心交换机（可 有可无）——接入交换机2——物理机2 网卡——V M 3。 4. 同一物理机上的各虚拟机之间互相访问（隐蔽信道） 物理机1上的V M 1 访问V M 2。 5. 物理机和虚拟机之间的访问（虚拟机逃逸） 图1 云平台下数据流的大致分类 物理机和虚拟机之间的双向流量，物理机与V M 相互访问。 20 专家视角 二、从数据流向分类看云安全 同一个物理机上的虚拟机之间通讯，由于多数vSwitch 只进行二层 转发，导致V M 互访流量不可见，是云平台下的一大安全问题。 1. 外部访问虚拟机 先说说v Sw it c h 的转发过程，正常情况下，v Sw it c h 处 此种情况下与传统IDC 的防护思路一样，就不详述了，只是部 理过程与传统交换机类似，如果从物理网卡收到报文后，查 分串联设备部署方式需要考虑调整。一是因为云平台扁平化是趋势， MA C 表转发 ；如果从虚拟机收到报文，目的MA C 在外部则 能少串一个设备是一个设备；二是设备吞吐向来也不是安全设备的 从物理网卡转发，在内部则查 MA C 表转发，如下图所示 ： 优势，云平台下动则10G、40G 的链路串联上去也吃不消，所以可 以考虑旁路部署，按需防护。 2. 虚拟机访问外部 通常云平台虚拟机用来对外提供服务比较多，较少有主动 访问互联网的需求。不过有一种较为常见的场景就是虚拟机被 攻击者控制后用作跳板，往外进行大流量的D Do S 攻击。这种 情形下一方面会消耗服务器的C PU 资源，另一方面也会消耗云 平台的大量带宽。因此有必要对由内往外的流量进行监测，这 里就可以使用NTA （网络流量分析系统），一旦发现由内往外的 D Do S 攻击则可以将进行攻击的