虛擬DMZ的云配置需要特定的安全策略。專家Dejan Lukan分析了不同種類的虛擬DMZ及它們與物理DMZ的差別����。
DMZ,或非軍事區(qū)�����,是一個(gè)主機(jī)或小型網(wǎng)絡(luò),主要用來將網(wǎng)絡(luò)隔離成多個(gè)區(qū)域來加強(qiáng)安全性的設(shè)置�。這個(gè)名詞來源于軍事用語,是指兩個(gè)國家之間一塊禁止軍事活動(dòng)的區(qū)域�����。DMZ主要用來在對(duì)外提供安全的HTTP�、FTP、SSH�����、SMTP等服務(wù)的同時(shí)將他們保護(hù)在內(nèi)網(wǎng)中����。
網(wǎng)絡(luò)隔離技術(shù)有很多種�,包括: 物理網(wǎng)絡(luò)隔離:在兩個(gè)DMZ之間配置一個(gè)網(wǎng)絡(luò),讓其中的通信只能經(jīng)由一個(gè)安全裝置實(shí)現(xiàn)�。在這個(gè)安全裝置里面,防火墻及IDS/IPS規(guī)則會(huì)監(jiān)控信息包來確認(rèn)是否接收或拒絕它進(jìn)入內(nèi)網(wǎng)�。這種技術(shù)是最安全但也最昂貴的,因?yàn)樗枰S多物理設(shè)備來將網(wǎng)絡(luò)分隔成多個(gè)區(qū)塊����。 邏輯網(wǎng)絡(luò)隔離:這個(gè)技術(shù)借由虛擬/邏輯設(shè)備���,而不是物理的設(shè)備來隔離不同網(wǎng)段的通信。
虛擬局域網(wǎng)(VLAN):VLAN工作在第二層��,與一個(gè)廣播區(qū)域中擁有相同VLAN標(biāo)簽的接口交互���,而一個(gè)交換機(jī)上的所有接口都默認(rèn)在同一個(gè)廣播區(qū)域����。支持VLAN的交換機(jī)可以借由使用VLAN標(biāo)簽的方式將預(yù)定義的端口保留在各自的廣播區(qū)域中���,從而建立多重的邏輯分隔網(wǎng)絡(luò)�����。
虛擬路由和轉(zhuǎn)發(fā):這個(gè)技術(shù)工作在第三層����,允許多個(gè)路由表同時(shí)共存在同一個(gè)路由器上�����,用一臺(tái)設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)的分區(qū)。 多協(xié)議標(biāo)簽交換(MPLS):MPLS工作在第三層��,使用標(biāo)簽而不是保存在路由表里的網(wǎng)絡(luò)地址來轉(zhuǎn)發(fā)數(shù)據(jù)包���。標(biāo)簽是用來辨認(rèn)數(shù)據(jù)包將被轉(zhuǎn)發(fā)到的某個(gè)遠(yuǎn)程節(jié)點(diǎn)�����。
虛擬交換機(jī):虛擬交換機(jī)可以用來將一個(gè)網(wǎng)絡(luò)與另一個(gè)網(wǎng)絡(luò)分隔開來��。它類似于物理交換機(jī)��,都是用來轉(zhuǎn)發(fā)數(shù)據(jù)包�,但是用軟件來實(shí)現(xiàn)�,所以不需要額外的硬件。 虛擬DMZ VMware的《在VMware基礎(chǔ)架構(gòu)中實(shí)現(xiàn)DMZ虛擬化》白皮書指出�,一個(gè)虛擬化的DMZ提供了與物理DMZ同樣程度的安全性��,從而生成一個(gè)同樣安全的虛擬DMZ網(wǎng)絡(luò)����。在過去幾年中,虛擬化技術(shù)的使用有著長足的增長;虛擬機(jī)(VM)現(xiàn)在已經(jīng)可以代替物理服務(wù)器�����。同樣的趨勢(shì)也發(fā)生在DMZ領(lǐng)域上,為了讓網(wǎng)絡(luò)保持正確的隔離及安全性���,物理DMZ正在不斷被虛擬DMZ替代著�����。
《在VMware基礎(chǔ)架構(gòu)中實(shí)現(xiàn)DMZ虛擬化》提供了現(xiàn)今常用的三種典型的虛擬化DMZ配置: 部分緊縮的DMZ加獨(dú)立物理信任區(qū):每一區(qū)都是與別的區(qū)在物理上分隔開�,而主機(jī)是虛擬機(jī)����。這個(gè)DMZ配置與物理DMZ是一模一樣的,只不過網(wǎng)絡(luò)分隔是在物理網(wǎng)絡(luò)上實(shí)現(xiàn)����,而不是在虛擬基礎(chǔ)架構(gòu)上。 部分緊縮的DMZ加虛擬分隔信任區(qū):不同區(qū)域是由虛擬化分隔的�,但是在同一個(gè)物理ESX主機(jī)上。每個(gè)DMZ使用獨(dú)立的虛擬交換機(jī)來確保所有連到虛擬交換機(jī)上的主機(jī)是與其他區(qū)域的主機(jī)隔離開的��。不同的DMZ之間的通信仍然經(jīng)由連到ESX主機(jī)的物理網(wǎng)絡(luò)發(fā)生��。
完全緊縮的DMZ:在這個(gè)場(chǎng)景下�����,整個(gè)DMZ都是虛擬化的,包括虛擬機(jī)和交換機(jī)����,這樣的結(jié)果使得不同DMZ之間的通信無法離開ESX主機(jī)。 為了保持安全可信的環(huán)境�,我們必須解決虛擬DMZ網(wǎng)絡(luò)可能存在的各種安全漏洞。以下列舉一些常見的安全漏洞:
管理程序主機(jī)入侵:ESX主機(jī)上的每個(gè)虛擬機(jī)都有獨(dú)立的虛擬網(wǎng)卡連接到與內(nèi)網(wǎng)分離的虛擬交換機(jī)上�。這種類型的配置很安全,不同安全區(qū)域之間是無法通信的�,所以被入侵的虛擬機(jī)不能被用來轉(zhuǎn)接一臺(tái)內(nèi)部虛擬機(jī)。但易受攻擊的ESX主機(jī)卻可以被利用來獲得主機(jī)的權(quán)限��,這讓攻擊者可以直接訪問主機(jī)及所有配置的虛擬機(jī)����。Immunity Inc. 在2008年開發(fā)了一個(gè)能夠從突破虛擬機(jī)的牢籠并侵入整個(gè)主機(jī)的Cloudburst攻擊矢量。這種攻擊在過去只發(fā)生過幾次��,現(xiàn)在已經(jīng)修復(fù)了���,但要防備這種攻擊,定期更新虛擬機(jī)軟件來達(dá)到最高安全級(jí)別是很重要的���。
虛擬網(wǎng)卡的配置:一個(gè)放置在錯(cuò)誤的虛擬交換機(jī)上的網(wǎng)卡可以導(dǎo)致攻擊者取得平常存放在不同且獨(dú)立的DMZ中的敏感資訊����。為了預(yù)防此種錯(cuò)誤配置,在設(shè)置虛擬機(jī)時(shí)要特別小心���。這種錯(cuò)誤同樣可以輕易的發(fā)生在物理網(wǎng)絡(luò)上����,當(dāng)線路被插在錯(cuò)誤的物理交換機(jī)時(shí)��,所以這個(gè)并不是虛擬DMZ環(huán)境所獨(dú)有的問題�����。
訪問服務(wù)控制臺(tái)/VMkernel:如果一個(gè)服務(wù)控制臺(tái)或VMkernel可以從DMZ網(wǎng)絡(luò)訪問的話��,攻擊者可以用暴力或字典攻擊來取得密碼���,進(jìn)而取得主機(jī)中所有虛擬機(jī)的權(quán)限�����。當(dāng)使用ESX時(shí)���,管理界面必須要正確的分配在有至少一個(gè)專用網(wǎng)卡的專屬虛擬交換機(jī)來保持獨(dú)立�����,當(dāng)然如果有多個(gè)專用網(wǎng)卡可以故障轉(zhuǎn)移就更好�����。要防止這種攻擊�,屬于DMZ里的虛擬機(jī)絕對(duì)不能和服務(wù)控制臺(tái)或VMkernel在同一個(gè)虛擬交換機(jī)上��,因?yàn)镈MZ里被侵入的虛擬機(jī)可以被攻擊者用來取得主機(jī)里所有虛擬機(jī)的權(quán)限���。 網(wǎng)絡(luò)附加存儲(chǔ)(NAS):網(wǎng)絡(luò)附加存儲(chǔ)應(yīng)該要連接在自己專用的虛擬交換機(jī)上�,這樣它就無法使DMZ里被入侵的虛擬機(jī)訪問�。這更進(jìn)一步的防止網(wǎng)絡(luò)被常用在NAS上的ISCSI/NFS協(xié)議的攻擊。 數(shù)據(jù)鏈路層保護(hù):每個(gè)虛擬交換機(jī)都應(yīng)該配置成能偵測(cè)及抵抗例如MAC欺騙��,中間人攻擊和混雜模式的第二層攻擊�,這樣能強(qiáng)化整體的網(wǎng)絡(luò)安全。
虛擬機(jī)資源限制:每個(gè)虛擬機(jī)都必須有一定的分配資源才能適當(dāng)?shù)谋Wo(hù)網(wǎng)絡(luò)不受拒絕服務(wù)(DoS)攻擊�����。一個(gè)攻擊者如果有了DMZ網(wǎng)絡(luò)中一臺(tái)虛擬機(jī)的權(quán)限�����,他便可以發(fā)出CPU密集操作�����,占據(jù)大部分的主機(jī)資源����,使得其他的虛擬機(jī)都無法得到資源。這種問題可以很輕易的預(yù)防�,只要進(jìn)行適當(dāng)?shù)馁Y源限制,讓每個(gè)虛擬機(jī)都有一定比例的可用資源�。每個(gè)虛擬交換機(jī)也應(yīng)該有多個(gè)獨(dú)立網(wǎng)卡來對(duì)網(wǎng)絡(luò)通信進(jìn)行負(fù)載平衡,以避免擁堵�。
獨(dú)立虛擬交換機(jī)上的DMZ:DMZ可以用2種方式創(chuàng)建,一種是將虛擬機(jī)放在獨(dú)立的虛擬交換機(jī)上��,另一種是在同一個(gè)虛擬交換機(jī)上使用多個(gè)虛擬局域網(wǎng)�。第一種方式是比較好的,因?yàn)楠?dú)立的虛擬交換機(jī)使用分別的獨(dú)立網(wǎng)卡��,所以物理上將虛擬內(nèi)網(wǎng)及虛擬外網(wǎng)的通信分開。如果虛擬外網(wǎng)的一個(gè)虛擬機(jī)想要與內(nèi)網(wǎng)虛擬機(jī)溝通��,通信必須經(jīng)由物理路由器和獨(dú)立網(wǎng)卡中的防火墻來決定允許或拒絕���。
虛擬DMZ配置檢查:虛擬DMZ網(wǎng)絡(luò)的每個(gè)部分都應(yīng)該適當(dāng)?shù)亩ㄆ跈z查來保持最佳的安全實(shí)踐�����。 用戶權(quán)限配置:每個(gè)管理員都應(yīng)該屬于不同的用戶組����,依照最低權(quán)限的原則���,這樣能將配置錯(cuò)誤的影響最小化�。 結(jié)論 虛擬DMZ安全與物理DMZ安全之間存在一些差異�。在配置一個(gè)邏輯網(wǎng)絡(luò)隔離時(shí)有許多技術(shù)可以選擇,而每種都會(huì)使用虛擬交換機(jī)的實(shí)現(xiàn)�����。每種技術(shù)隱含著各自的安全問題�,這需要用安全的虛擬分隔的DMZ網(wǎng)絡(luò)來解決。通過正確的處理針對(duì)虛擬DMZ的各種安全擔(dān)憂��,實(shí)現(xiàn)一個(gè)與物理DMZ同等安全的虛擬DMZ網(wǎng)絡(luò)是完全有可能的。最終����,通過使用物理DMZ或者虛擬DMZ,我們可以完成網(wǎng)絡(luò)隔離這一項(xiàng)重要的任務(wù)����。
