關(guān)于虛擬DMZ 那些你必須要知道的事兒

責任編輯:editor008

2014-11-11 10:03:05

摘自:TechTarget中國

提起虛擬DMZ,相信很多都了解,虛擬DMZ的云配置需要特定的安全策略。專家分析了不同種類的虛擬DMZ及它們與物理DMZ的差別。

提起虛擬DMZ,相信很多都了解,虛擬DMZ的云配置需要特定的安全策略。專家分析了不同種類的虛擬DMZ及它們與物理DMZ的差別。

DMZ,或非軍事區(qū),是一個主機或小型網(wǎng)絡(luò),主要用來將網(wǎng)絡(luò)隔離成多個區(qū)域來加強安全性的設(shè)置。這個名詞來源于軍事用語,是指兩個國家之間一塊禁止軍事活動的區(qū)域。DMZ主要用來在對外提供安全的HTTP、FTP、SSH、SMTP等服務的同時將他們保護在內(nèi)網(wǎng)中。

網(wǎng)絡(luò)隔離技術(shù)有很多種,包括:

物理網(wǎng)絡(luò)隔離:在兩個DMZ之間配置一個網(wǎng)絡(luò),讓其中的通信只能經(jīng)由一個安全裝置實現(xiàn)。在這個安全裝置里面,防火墻及IDS/IPS規(guī)則會監(jiān)控信息包來確認是否接收或拒絕它進入內(nèi)網(wǎng)。這種技術(shù)是最安全但也最昂貴的,因為它需要許多物理設(shè)備來將網(wǎng)絡(luò)分隔成多個區(qū)塊。

邏輯網(wǎng)絡(luò)隔離:這個技術(shù)借由虛擬/邏輯設(shè)備,而不是物理的設(shè)備來隔離不同網(wǎng)段的通信。

虛擬局域網(wǎng)(VLAN):VLAN工作在第二層,與一個廣播區(qū)域中擁有相同VLAN標簽的接口交互,而一個交換機上的所有接口都默認在同一個廣播區(qū)域。支持VLAN的交換機可以借由使用VLAN標簽的方式將預定義的端口保留在各自的廣播區(qū)域中,從而建立多重的邏輯分隔網(wǎng)絡(luò)。

虛擬路由和轉(zhuǎn)發(fā):這個技術(shù)工作在第三層,允許多個路由表同時共存在同一個路由器上,用一臺設(shè)備實現(xiàn)網(wǎng)絡(luò)的分區(qū)。

多協(xié)議標簽交換(MPLS):MPLS工作在第三層,使用標簽而不是保存在路由表里的網(wǎng)絡(luò)地址來轉(zhuǎn)發(fā)數(shù)據(jù)包。標簽是用來辨認數(shù)據(jù)包將被轉(zhuǎn)發(fā)到的某個遠程節(jié)點。

虛擬交換機:虛擬交換機可以用來將一個網(wǎng)絡(luò)與另一個網(wǎng)絡(luò)分隔開來。它類似于物理交換機,都是用來轉(zhuǎn)發(fā)數(shù)據(jù)包,但是用軟件來實現(xiàn),所以不需要額外的硬件。

虛擬DMZ

一個虛擬化的DMZ提供了與物理DMZ同樣程度的安全性,從而生成一個同樣安全的虛擬DMZ網(wǎng)絡(luò)。在過去幾年中,虛擬化技術(shù)的使用有著長足的增長;虛擬機(VM)現(xiàn)在已經(jīng)可以代替物理服務器。同樣的趨勢也發(fā)生在DMZ領(lǐng)域上,為了讓網(wǎng)絡(luò)保持正確的隔離及安全性,物理DMZ正在不斷被虛擬DMZ替代著。

現(xiàn)今常用的三種典型的虛擬化DMZ配置:

部分緊縮的DMZ加獨立物理信任區(qū):每一區(qū)都是與別的區(qū)在物理上分隔開,而主機是虛擬機。這個DMZ配置與物理DMZ是一模一樣的,只不過網(wǎng)絡(luò)分隔是在物理網(wǎng)絡(luò)上實現(xiàn),而不是在虛擬基礎(chǔ)架構(gòu)上。

部分緊縮的DMZ加虛擬分隔信任區(qū):不同區(qū)域是由虛擬化分隔的,但是在同一個物理ESX主機上。每個DMZ使用獨立的虛擬交換機來確保所有連到虛擬交換機上的主機是與其他區(qū)域的主機隔離開的。不同的DMZ之間的通信仍然經(jīng)由連到ESX主機的物理網(wǎng)絡(luò)發(fā)生。

完全緊縮的DMZ:在這個場景下,整個DMZ都是虛擬化的,包括虛擬機和交換機,這樣的結(jié)果使得不同DMZ之間的通信無法離開ESX主機。

為了保持安全可信的環(huán)境,我們必須解決虛擬DMZ網(wǎng)絡(luò)可能存在的各種安全漏洞。以下列舉一些常見的安全漏洞:

管理程序主機入侵:ESX主機上的每個虛擬機都有獨立的虛擬網(wǎng)卡連接到與內(nèi)網(wǎng)分離的虛擬交換機上。這種類型的配置很安全,不同安全區(qū)域之間是無法通信的,所以被入侵的虛擬機不能被用來轉(zhuǎn)接一臺內(nèi)部虛擬機。但易受攻擊的ESX主機卻可以被利用來獲得主機的權(quán)限,這讓攻擊者可以直接訪問主機及所有配置的虛擬機。

虛擬網(wǎng)卡的配置:一個放置在錯誤的虛擬交換機上的網(wǎng)卡可以導致攻擊者取得平常存放在不同且獨立的DMZ中的敏感資訊。為了預防此種錯誤配置,在設(shè)置虛擬機時要特別小心。這種錯誤同樣可以輕易的發(fā)生在物理網(wǎng)絡(luò)上,當線路被插在錯誤的物理交換機時,所以這個并不是虛擬DMZ環(huán)境所獨有的問題。

訪問服務控制臺/VMkernel:如果一個服務控制臺或VMkernel可以從DMZ網(wǎng)絡(luò)訪問的話,攻擊者可以用暴力或字典攻擊來取得密碼,進而取得主機中所有虛擬機的權(quán)限。當使用ESX時,管理界面必須要正確的分配在有至少一個專用網(wǎng)卡的專屬虛擬交換機來保持獨立,當然如果有多個專用網(wǎng)卡可以故障轉(zhuǎn)移就更好。要防止這種攻擊,屬于DMZ里的虛擬機絕對不能和服務控制臺或VMkernel在同一個虛擬交換機上,因為DMZ里被侵入的虛擬機可以被攻擊者用來取得主機里所有虛擬機的權(quán)限。

網(wǎng)絡(luò)附加存儲(NAS):網(wǎng)絡(luò)附加存儲應該要連接在自己專用的虛擬交換機上,這樣它就無法使DMZ里被入侵的虛擬機訪問。這更進一步的防止網(wǎng)絡(luò)被常用在NAS上的ISCSI/NFS協(xié)議的攻擊。

數(shù)據(jù)鏈路層保護:每個虛擬交換機都應該配置成能偵測及抵抗例如MAC欺騙,中間人攻擊和混雜模式的第二層攻擊,這樣能強化整體的網(wǎng)絡(luò)安全。

虛擬機資源限制:每個虛擬機都必須有一定的分配資源才能適當?shù)谋Wo網(wǎng)絡(luò)不受拒絕服務(DoS)攻擊。一個攻擊者如果有了DMZ網(wǎng)絡(luò)中一臺虛擬機的權(quán)限,他便可以發(fā)出CPU密集操作,占據(jù)大部分的主機資源,使得其他的虛擬機都無法得到資源。這種問題可以很輕易的預防,只要進行適當?shù)馁Y源限制,讓每個虛擬機都有一定比例的可用資源。每個虛擬交換機也應該有多個獨立網(wǎng)卡來對網(wǎng)絡(luò)通信進行負載平衡,以避免擁堵。

獨立虛擬交換機上的DMZ:DMZ可以用2種方式創(chuàng)建,一種是將虛擬機放在獨立的虛擬交換機上,另一種是在同一個虛擬交換機上使用多個虛擬局域網(wǎng)。第一種方式是比較好的,因為獨立的虛擬交換機使用分別的獨立網(wǎng)卡,所以物理上將虛擬內(nèi)網(wǎng)及虛擬外網(wǎng)的通信分開。如果虛擬外網(wǎng)的一個虛擬機想要與內(nèi)網(wǎng)虛擬機溝通,通信必須經(jīng)由物理路由器和獨立網(wǎng)卡中的防火墻來決定允許或拒絕。

虛擬DMZ配置檢查:虛擬DMZ網(wǎng)絡(luò)的每個部分都應該適當?shù)亩ㄆ跈z查來保持最佳的安全實踐。

用戶權(quán)限配置:每個管理員都應該屬于不同的用戶組,依照最低權(quán)限的原則,這樣能將配置錯誤的影響最小化。

D1Net評論:

虛擬DMZ安全與物理DMZ安全之間存在一些差異。在配置一個邏輯網(wǎng)絡(luò)隔離時有許多技術(shù)可以選擇,而每種都會使用虛擬交換機的實現(xiàn)。每種技術(shù)隱含著各自的安全問題,這需要用安全的虛擬分隔的DMZ網(wǎng)絡(luò)來解決。通過正確的處理針對虛擬DMZ的各種安全擔憂,實現(xiàn)一個與物理DMZ同等安全的虛擬DMZ網(wǎng)絡(luò)是完全有可能的。最終,通過使用物理DMZ或者虛擬DMZ,我們可以完成網(wǎng)絡(luò)隔離這一項重要的任務。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號