虚拟化的网络安全问题研究.docxVIP

虚拟化的网络安全问题研究 　　摘要:云环境中网络虚拟化已成为网络技术演进的重要方向，虚拟化网络环境面临的网络安全问题则成为当前网络安全研究的热点。虚拟化条件下的网络既面临传统网络中已存在的安全问题，也有引入虚拟化特性之后出现的一系列新问题。通过对网络中的各要素及其关系进行描述，分析了虚拟化网络环境的特性，进而分析了虚拟化网络环境面临的安全威胁，包括物理网络威胁、虚拟局域网威胁和虚拟网络威胁等。通过构建威胁矩阵进行网络安全风险分析，指出高、中、低等不同级别安全威胁的类型。针对典型的网络安全风险，给出了相应的安全防护对策。　　关键词:虚拟化;网络安全;安全威胁;风险分析;对策　　引言　　云计算蓬勃发展，作为云环境构建重要支撑的虚拟化技术得到了广泛应用[1]。在云环境中，安全问题一直是人们关注的焦点[2-3]。研究云环境中的安全问题，必然涉及虚拟化环境中的网络安全问题研究。虚拟化具有环境隔离、底层控制、接口兼容、动态配置等优势，提供了一种有效的安全监控手段，为解决系统安全问题提供了新的思路[4]。但是，由于虚拟化技术并没有从本质上解决传统计算环境面临的诸多安全问题，同时针对虚拟化技术自身的安全威胁也越来越多，尤其是在虚拟化网络环境中，不仅包含原有传统网络的固有威胁，还引入了众多新的安全威胁[5-7]。　　一、虚拟化网络环境分析　　网络虚拟化主要包括网络中计算节点的虚拟化、网络设备的虚拟化和网络互联的虚拟化[8]。由于虚拟化平台的存在，虚拟化网络呈现出许多新的特性[9]:　　(1)网络中计算资源实体由物理服务器变为虚拟机;　　(2)网络中存在二元的网络设备，包括传统网络固有的物理网络设备和虚拟化平台内部的虚拟网络设备;　　(3)组网方式由纯粹的物理互联变为包括虚拟网络和物理网络共同作用的复合网络。网络是由不同的对象及其之间互联形成的各种关系的总和，此处基于该定义对虚拟化网络环境进行分析。如图1所示，在虚拟化网络环境中，主要包括物理服务器、物理网络设备(pSwitch)、网络存储设备、虚拟机监控器(Hy-pervisor)、管理虚拟机(ManagementVM)、客户虚拟机(GuestVM)、虚拟网络设备(vSwitch)以及外部网络等对象，而对象之间在各类管理控制信息和数据信息的交互过程中建立连接关系，这些对象和连接关系的总和构成了虚拟化网络环境。此处对各种对象及其连接关系说明如下(对照图1中的编号):　　(1)外部网络连接:存在于各虚拟机和外部网络及其之间。该连接主要为从外部网络访问各虚拟机所包含的网络服务提供接口和链路支持。　　(2)业务信息连接:存在于虚拟化环境中各虚拟机及其之间的各网络设备。该连接主要用于虚拟化环境中各虚拟机之间的业务信息交互。　　(3)物理管理连接:存在于管理虚拟机和物理服务器之间。该连接主要用于管理者远程管理虚拟服务器，对部署在被管理虚拟机服务器上的虚拟化系统进行重启、停止以及重新安装部署等操作。　　(4)虚拟管理连接:存在于管理虚拟机和虚拟机监控器之间。该连接主要用于管理者对虚拟化平台上各虚拟机进行管理和配置，包括对虚拟机所提供的服务及其管理接口进行操作和控制，保障管理信息传输。　　(5)受限的虚拟管理连接:存在于管理虚拟机和虚拟机监控器之间。与(4)不同的是，该连接所提供的管理信息通道，支持管理者在同一时刻内只能对某一台虚拟机实施管理操作，而不能对整个虚拟化平台进行管理，管理者不具备对虚拟网络设备以及虚拟机迁移等进行操作的权限。　　(6)虚拟机迁移连接:存在于各虚拟机监控器之间。该连接主要用于实现在各虚拟机服务器之间实施虚拟机迁移，快速部署虚拟机服务器。　　(7)物理管理信息存储连接:存在于虚拟化管理平台和网络存储设备之间。该连接主要用于将管理数据存储到网络存储设备之上，由于管理数据包含了众多虚拟化环境中的敏感信息，必须得到妥善保存，该存储设备需要和其他用于业务信息存储的设备进行物理隔离。　　(8)物理业务信息存储连接:存在于虚拟机监控器和网络存储设备之间。该连接主要用于将位于虚拟服务器磁盘空间上的特定用户数据存储到网络存储设备之上。　　(9)虚拟存储连接:存在于虚拟机和网络存储设备之间。该连接主要用于将特定虚拟机的用户信息如虚拟磁盘信息存储到网络存储设备之上，用作数据冗余，在需要对虚拟机数据进行回滚、恢复、备份等操作时使用。在上述9种不同的连接中，都包含相应的网络设备，包括实体网络设备和虚拟网络设备。　　二、虚拟化网络环境面临的威胁　　网络虚拟化带来了诸多有用的特性，但它并未能提供如同物理网络一般的安全级别，一定程度上反而降低了网络的安全保护性能[10]。首先，传统网络中存在漏洞的情况也会在虚拟的网络部件中体现出来[11]，虚拟网络中的流量可能会被重路由到非安全