混合模式如何影响虚拟网络安全?

日期: 2012-05-16 作者:Bill Claybrook翻译:李哲贤 来源:TechTarget中国 英文

我们注意到在虚拟网络中,启用混合模式存在其优劣势。如果正确地使用则可以在降低风险的同时提高虚拟架构中网络的安全性和效率。 改善虚拟网络安全的小提示 为确保虚拟网络安全和防止虚拟机模仿其它虚拟机,您可以采取如下几个防御措施: 关闭所有虚拟服务器的混合模式。这一步防止虚拟机看到发送到其它主机的流量 锁定MAC地址更改,防止虚拟机变更其MAC地址。

这一步可以防止虚拟机访问发送给网络上其它虚拟机的流量 关闭欺骗传输,可以阻止虚拟机以网络内其它虚拟机的名义发送数据包 混合模式下,虚拟网卡设备(可以是网络适配器或虚拟机网卡vNIC)可以拦截和访问虚拟网络中的数据包,包括发送给其它vNIC的包。如果关闭混合……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

我们注意到在虚拟网络中,启用混合模式存在其优劣势。如果正确地使用则可以在降低风险的同时提高虚拟架构中网络的安全性和效率。

改善虚拟网络安全的小提示

为确保虚拟网络安全和防止虚拟机模仿其它虚拟机,您可以采取如下几个防御措施:

  • 关闭所有虚拟服务器的混合模式。这一步防止虚拟机看到发送到其它主机的流量
  • 锁定MAC地址更改,防止虚拟机变更其MAC地址。这一步可以防止虚拟机访问发送给网络上其它虚拟机的流量
  • 关闭欺骗传输,可以阻止虚拟机以网络内其它虚拟机的名义发送数据包

混合模式下,虚拟网卡设备(可以是网络适配器或虚拟机网卡vNIC)可以拦截和访问虚拟网络中的数据包,包括发送给其它vNIC的包。如果关闭混合模式,vNIC通常会自动丢弃发送到其它MAC地址的包。并非所有的hypervisor支持混合模式(例如Microsoft Hyper-V),而其它的如VMware vSphere则支持。

多年来,支持混合模式成为管理和监控物理网卡和交换机的重要内容。现在的虚拟网络正在经历类似的过程,出现了一些基本的管理和性能优化工具,例如Catbird Networks Inc.’s vSecurity CloudSwitch Enterprise

通过启用混合模式监控虚拟网络流量

不同于很多传统的网络安全工具,虚拟化专用工具可以监控宿主机上hypervisor和虚拟机之间的流量。虚拟网络主要由运行于同一宿主机上的多台虚拟机构成,逻辑上都是相互连接的,所以它们可以互相发送和接受数据。可能一台虚拟交换机会为整个虚拟网络服务,而虚拟交换机通过基于hypervisor的配置信息可以把数据转发到正确的虚拟机。

当启用混合模式时,安全工具可以通过包嗅探器监控流量和虚拟网络传输内容。这些工具通过流量分析判断是否有非法访问,例如未经授权的侵入或错误发送给虚拟机的信息。管理员通过包嗅探器分析虚拟网络性能,找出瓶颈和管理高效的网络数据传输。通过检查网络流量还可以确保即使某台虚拟机被感染,也不会相互攻击。

由于侵入者通过混合模式恶意监测网络流量,您还可以借助混合模式作为旁路包嗅探器以监测哪个vNIC处于非正常状态。

不加管束的混合模式

在某些hypervisor中启用混合模式很容易,但是只建议有深入了解的IT人员去启用该功能。在ESXi中,您可以通过简单几步启用虚拟交换机上的混合模式:登录到vCenter Server > select an ESXi host >选择希望启用的交换机> 然后接受修改。

混合模式还常用于混合云环境。CloudSwitch应用需要ESX虚拟交换机混合模式的支持,实现数据中心和位于外部云中的工作负载的路由。由于CloudSwitch只对云内的服务器流量感兴趣,您可以配置只属于应用的端口。这样,CloudSwitch应用永远不会接收到虚拟交换机上其它节点的数据,因为混合模式只对该独立端口组启用。

在公有云中混合模式也有应用。用户可以在亚马逊EC2中创建启用混合模式的虚拟机。但是,不同于物理机和虚拟机,EC2只会把数据传输到正确地址的vNIC。换句话说,EC2虚拟服务器只会向目标IP或MAC地址发数据,而对于EC2运行于混合模式的虚拟机,是不能接受和嗅探发送到其它EC2虚拟服务器的数据的。

用户可以在运行混合模式的EC2环境中通过安全监控获知是否混合模式被正确关闭,这对于运行关键应用的EC2服务器尤其重要。如果安全监控工具可以嗅探到发送给其它虚拟机的包,那么EC2的混合模式运行不正常——需要引起关注。

最后,虽然混在模式可能会改善虚拟网络安全和效率。但是,如果使用不当,该网络属性会严重危害数据中心。所以,没有经验的IT管理员最好远离混合模式,以确保入侵者不会从虚拟网络中窃取到敏感数据。

本文收录在TechTarget虚拟化技术手册《VMware vSphere虚拟网络技术宝典》中。

翻译

李哲贤
李哲贤

TT虚拟化特约作者

相关推荐