虚拟化的安全叶润国.ppt

1、虚拟化的安全,青山（叶润国） 核心研究院 2012-07-20,启明星辰技术大练兵,虚拟化环境安全需求,数据安全,确保数据存储的安全 确保数据传输的安全 确保数据处理的安全,数据安全保护,传统安全产品解决虚拟化安全,虚拟化环境安全产品解决方案设想,ESX/Hypver-V/KVM/Fronware,VMware vCenter/SCVMM/oVirt/FronwarevCenter,云安全产品管配平台 (VSecManager),SAN,域间访问控制 域内访问控制 虚拟终端安全 用户数据安全,Vmware的虚拟化安全产品套件,正在研发的云管配平台产品,云管配服务器(vSecManager),安

2、全产品 虚拟器件库,管理中心,虚拟化平台,虚拟化管理中心(vCenter),Web Browser,泰合团队：实现一个可对启明星辰的虚拟化安全产品进行自动部署、集中管理和集中监控的安全管理平台。 第一版情况：支持VMWare vsphere；支持vUTM和vTDS管理,域间访问控制解决方案,通过VLAN等技术实现虚拟域的隔离 然后通过网关形式虚拟安全产品实现两个或多个隔离的虚拟域之间的通信和访问控制。 Vmware vshield Edge Venustech vUTM,vDS,vSW,vSW,Tenant A (VLAN101),public network,public network,E

3、SX1,ESX2,vShield edge网关,一个标准虚拟机；拥有内外网卡；路由模式；端口组网络安全；提供边界防护安全服务。,访问控制：vUTM虚拟机形态安全网关,虚拟化和云计算研究课题介绍,基于内省API的虚拟安全产品研究,安全虚拟机为特权虚拟机，通过虚拟化层内省API实现对其它虚拟机的安全监控 允许安全虚拟机对其它虚拟机CPU、内存、网络流和磁盘I/O进行监控 安全虚拟机可高效实现各种安全功能，包括FW、HIPS、NIPS、AV等,IDS / IPS,Web 应用程序保护,应用程序控制,防火墙,深度包检测,日志审计,保护 Web 应用安全漏洞,减低攻击层面. 防止 DoS & 产品瑕疵

4、监察扫描,从海量数据中 优化以及辨识 重要安全事件,侦测和阻止透过安全漏洞 发动的已知跟零日攻击,在应用程序访问网络的过程中提供更高的可视性以及监控,Vmsafe based DeepSecurity产品,本项目在研情况,目前正和北航合作。 安全内省API设计（KVM内省API封装） 提供对应的虚拟机内存访问 对虚拟机提供保护机制（非法阻断和响应） 提高对虚拟机内存和磁盘和网络IO访问性能,分布式虚拟防火墙研究课题,虚拟化环境下，虚拟域边界是动态的，传统网络防火墙不再适用，需要支持深层防御的分布式防火墙 目标：在虚拟网络级别实现ACL，实现虚拟化环境中虚拟域内各VM之间的访问控制。 支持的虚拟

5、化环境 VMware环境 (VMsafe DVFilter) KVM和XEN环境(openvswitch openflow),虚拟分布式防火墙：vShield App,基于VMsafe DVFilter实现，可以实现虚拟网卡级别的访问控制；提供域内VM间访问控制。,基于vNIC ACL的分布式虚拟防火墙,VCenter,分布式虚拟防火墙策略管理中心,虚拟防火墙全局策略翻译例子,翻译后的vNIC级别ACL,vSwitch/vDS,ACL,ACL,ACL,本项目研究成果产品架构设想,包括虚拟化层内核模块和集中安全策略管理中心，其中内核模块实现基于虚拟网卡级别的ACL访问控制，集中安全策略管理中心则

6、实现基于容器的面向业务的策略编辑和下发功能 支持VMware Dvfilter和OpenvSWitch openFlow架构 中间层实现全局安全策略到下层具体安全策略的翻译,网络虚拟化研究课题,虚拟网络和底层网络硬件分离，实现网络资源共享 虚拟网络具有物理L2网络全部功能 虚拟网络和物理网络地址空间隔离 虚拟网络中VM不受物理位置限制 虚拟网络具有完整生命周期,当前的虚拟网络片层实现方案,采用Overlay技术实现虚拟网络与物理位置无关性； 采用SDN实现虚拟网络的全生命周期管理； 所有虚拟网络服务在边界智能网络设备上实现，不依赖于物理网络设备的网络功能； 物理IP网络提供连通能力，因而可以像

7、计算和存储资源一样实现池化 当前可采用的两种L2-Over-L3隧道协议 VXLAN NVGRE,Nicira DVNI架构,NVP覆盖网络,NVP Controller OpenvSwitch NVP Gateway,基于隧道连接的虚拟网络单播实例,VM1,VM2,VM4,VM3,VM5,VM6,VM7,VM8,192.1.1.1,192.1.1.2,192.1.1.3,192.1.1.4,10.0.0.1,10.0.0.2,10.0.0.3,10.0.0.4,10.0.0.5,10.0.0.6,10.0.0.7,10.0.0.8,vSW,vSW,vSW,vSW,VM1-VM7,基于隧道连接

8、的虚拟网络单播实例,VM1,VM2,VM4,VM3,VM5,VM6,VM7,VM8,192.1.1.1,192.1.1.2,192.1.1.3,192.1.1.4,10.0.0.1,10.0.0.2,10.0.0.3,10.0.0.4,10.0.0.5,10.0.0.6,10.0.0.7,10.0.0.8,vSW,vSW,vSW,vSW,VM1-VM7,网络虚拟化安全项目研究内容,基于软件定义网络的网络虚拟化研究 采用openvswitch和Openflow Controller，在KVM或XEN平台上实现VXLAN虚拟网络管理平台。 在虚拟网络中部署各种虚拟化安全产品。,虚拟化数据安全研究项

9、目,三种类型的数据需要安全保护 休眠状态数据 当存储时就加密 移动中的数据 在内网内加密 当通过管理程序时马上加密 使用中的数据 数据使用时必须解密（同态加密除外） 数据访问控制模型,三种虚拟环境数据加密实现方案,虚拟机池,加密网关,密钥管理,明文数据,密文数据,云存储系统,密钥分发,iSCSI协议,虚拟机,密钥管理中心,密钥分发,虚拟机,加密 驱动,VM映像存储区,VMM,虚拟机,密钥管理中心,密钥分发,虚拟机,加密 驱动,VM映像存储区,VMM,磁盘驱动,加密 驱动,SecureCloud系统架构,28,本项目研究目标,基于KVM平台和qemu-KVM模块，实现一个对KVM虚拟机的虚拟磁盘映像文件数据进行透明加解密的数据安全产品。 可实现虚拟桌面和服务器虚拟化场景中数据存储的安全。 采用libvirt实现VM管理，采用Qemu-img创建加密虚拟磁盘映像 修改qemu-KVM磁盘IO驱动，加载过程中从密钥管理中心获取所需要的密钥 需要设计一个集中密钥管理中心,离线虚拟