一: 剖析VMware安全套件Vshield三大部分
第一款安全產品是vShield Zones,它是vSphere初期發行版的一部分,提供了基本的虛擬網絡安全。從那時起,VMware對vShield Zones進行了升級,增加了如下安全組件: vShield 4.1套件支持VMsafe API,這意味着你不再需要內聯運行的vShield代理虛擬機來保護孤立的虛擬交換機之上的虛擬機。除了在虛擬交換機級別提供保護,vShield現在能夠在虛擬網卡級別提供保護。 新的產品線令人印象深刻,但也更加複雜,理解每個產品以及它們之間的關聯關係可能有些困難。在Vshield系列文章中的這一部分,TechTarget中國特約專家Eric Siebert探討vShield Manager、vShield Zones 以及vShield App。 VShield Manager VShield Manager作爲一個虛擬設備部署,包括了部署在每個主機上的vShield代理。VShield Manager管理vCenter Server整個基礎架構以及vShield組件。 VShield Manager支持高可用性以及分佈式資源調度,因此它可以在主機間遷移。一旦部署完成,可以通過Web界面、vCenter Server插件、命令行,管理vShield Manager,藉助REST API,甚至可以通過腳本管理vShield Manager。 REST API使用安全的HTTP請求執行遠程過程調用,通過vShield Manager創建,修改或者刪除vShield內的對象。REST API同樣可以幫助自動化部署vShield。 VShield Zones VShield Zones對虛擬機內部和外部網絡流量提供基本的虛擬網絡防火牆。它作爲一個可加載的內核模塊和虛擬設備部署在主機上。 VShield Zones基於可定義的策略,作爲應用層監控虛擬機流量防火牆。基於標準開放系統互聯模型,可以定義兩種類型的規則:第4層(傳輸層)規則以及第2層和第3層(數據鏈路層和網絡層)規則。第4層規則可以在數據中心對象、集羣對象或者端口組對象上配置。另一方面,第2層和第3層規則只能在數據中心對象上配置。 VShield Zones是一個基於IP的,有狀態的防火牆,也是一個應用層的網關。第4層防火牆規則基於5個元素序列(5元組)定義和執行: 同時,可以配置更廣泛的目標應用程序協議。防火牆規則按照自上而下的順序強制執行。可以把防火牆規則看作一個電子表格清單。一旦防火牆檢測到與一個規則相匹配的流量,就停下來使用這個規則。即使在下面的列表中存在更匹配的規則,防火牆仍會忽略。 VShield App 實際上VShield App不是一個單獨的產品,使用升級許可密鑰後,vShield Zones變成了vShield App。VShield App提供額外的特性以及加強的保護,包括: 一旦升級到vShield App,管理標籤上的“區域防火牆”鏈接將變更爲“應用防火牆”。“安全組”,“SpoofGuard”以及“流量監控”鏈接也將被激活。 二:虛擬化安全:vShield Endpoint和Edge功能 在2010年,VMware把vShield重新定位爲用於ESX和ESXi的安全保護套件。該VMware系列的第一部分涵蓋vShield Manager、Zones and App。主要針對vShield Edge和Endpoint的功能以及vShield的許可費用問題。
vShield Edge
VMware vShield Zones和App保障的是虛擬系統內的安全性,而vShield Edge的作用範圍在外圍網絡上。它通過安全和網關服務實現對虛擬機的隔離,提供控制區、外網***和參數保護等功能實現對多租戶雲應用環境的支持。
vShield Edge服務包含如下內容:
網絡地址轉換(NAT)。NAT服務保護內部的私有網絡跟公網隔離。NAT規則可以設定爲只允許擁有私有地址的虛擬機訪問。動態主機配置協議(DHCP)。該功能支持IP地址池和一對一的靜態IP地址分配。靜態IP地址的捆綁可以基於請求終端的vCenter管理對象ID或接口ID進行。站點間***。Edge支持在Edge和遠程站點間的IPsec(Internet Protocol security)***連接。同時也可以支持共享密鑰模式,IP地址單向傳播而不是採用在vShield Edge和遠程***路由器之間的動態路由方式。在每個遠程***路由器之下,您還可以設置多個子網絡通過IPSec通道連接到vShield Edge保護下的內網。Web負載均衡。vShield Edge提供了HTTP流量的負載均衡功能。負載均衡(包括第七層協議的支持)功能允許Web應用可以自動擴展。您可以把外部(或公網)IP地址映射到一組內部服務器上實現負載均衡。負載均衡器可以接受外部IP地址的HTTP請求並決定使用哪臺內部服務器。端口組隔離。該服務在受Edge保護的虛擬機和外部網絡之間設置了隔斷。端口組隔離和vLAN具有相同的效果,但是不需要交換機鏈路聚合帶來的複雜連接和端口映射規則。
vShield Edge可以支持各種vSphere的vSwitch模式,標準的、分佈式的vSwitch包括Cisco Nexus 1000V都可以。
vShield Endpoint
代替傳統的在每臺虛擬機內安裝極其消耗資源的反病毒/反惡意軟件代理程序的方式,vShield Endpoint把反病毒(AV)軟件功能卸載到一臺專用的虛擬安全設備上。vShield Endpoint驅動在子OS內被加載並鏈接到某臺運行於被保護vSwitch上的專用安全強化虛擬機,通過位於虛擬化管理層上的vShield Endpoint的可加載內核模塊(LVM)。
通過這種機制,該專用於安全保障的虛擬機可以透過Endpoint驅動對虛擬機進行病毒和惡意軟件監控(目前還不能支持虛擬機內存掃描。)同時,防病毒引擎和簽名的升級只需在供應商的AV設備上進行一次就可以,不再需要對運行於每臺虛擬機上的AV代理端進行操作。另外,通過AV設備可以進行集中策略管理,這樣Endpoint瘦代理端就可很快決定如何處理客戶端OS內的惡意文件。
VMware提供了知識庫和API,方便安全廠商把自己的產品集成到vShield Endpoint中。現在趨勢科技的Deep Security是唯一的可以支持vShield Endpoint的產品,它提供了無客戶端保護,不會在客戶端虛擬機內留下任何痕跡。不過其他的廠商,如McAfee和Symantec已經宣佈不久他們也將推出Endpoint兼容產品。
vShield Endpoint現在僅支持運行於虛擬機上的32位和64位Windows操作系統。
vShield授權
vShield Manager和原始的vShield Zones產品在vSphere Advanced、Enterprise 和Enterprise Plus版本中都有包含,其中Zones是基於每臺宿主機進行授權的。
同時,vShield Endpoint、Edge和App需要單獨授權,以25臺虛擬機爲一個授權包。每個vShield產品都已經包含在vShield的下載中,只不過額外的這些產品需要在vCenter Server中使用授權碼來激活纔可用。
圖1
vCloud Director產品中包含了vShield Edge,vCloud Director授權碼可用於激活vShield Edge的相關功能。在VMware View Premier版中也含有一個vShield Endpoint授權碼。在vShield系列的下一部分,我們將關注vShield的部署以及配置和管理技巧。
三: 安裝VMware虛擬安全設備VShield Manager
實施VMware vShield從安裝vShield Manager開始,VMware vShield能夠控制整個vCenter環境的安全性。(但是不能控制其他vCenter服務器實例的安全性)
安裝vShield Manager
vShield Manager可以從Vmware官方網站下載,大小爲550MB。它被打包成一個包含所有vShield組件的虛擬設備。從點擊文件部署開放虛擬器件開始,接着部署OVF 模板。選擇vShield OVA文件,通過提供下述信息完成該向導。
虛擬機的名字;虛擬機所在的主機服務器;以及數據存儲以及vShield Manager中虛擬網卡映射到的網絡嚮導中的網絡映射部分顯示非服務/管理控制檯以及非VMkernel網絡。因此如果在你的虛擬交換機vSwitch上只有一個網絡,嚮導將自動選擇這個網絡,不必提供其他選擇。爲了安全的最大化,把vShield Manager放在單獨的管理網絡中,這個管理網絡能夠和VCenter服務器和每個被保護主機上的vShield代理虛擬機建立連接。同樣的,你不應該使用相同的端口組作爲主機的服務/管理控制檯或者VMkernel網絡。
配置vShield Manager
一旦虛擬化安全器件部署完成,啓動它然後配置網絡信息。默認用戶名是admin,密碼是default。登錄後,輸入enable進入使能模式,使能模式是一個有更多特權的模式,類似於su。使能模式的默認密碼也是default。輸入setup命令,然後輸入必需的網絡信息,然後退出並重新登錄使更改生效。
接下來,通過ping默認網關測試網絡連通性。打開Web瀏覽器,輸入vShield Manager的IP地址,登錄進入vShield界面。登錄的用戶名和密碼與命令行界面相同(分別爲admin和default)。需要注意的是vShield界面是一個單獨維護的帳號。
通過在配置選項卡上輸入vCenter服務器信息,進行vShield Manager和vCenter服務器的信息同步。這個操作允許vShield Manager從vCenter服務器讀取初始配置(也就是主機,虛擬機,集羣,虛擬網卡),保持兩端的信息同步。
圖1
最後一步是使用vSphere Client註冊vShield Manager插件。你可以通過Web用戶界面直接連接到vShield Manager管理vShield,但是使用vShield Client更加容易。
爲了更加容易的管理vShield,點擊配置選項卡上的註冊按鈕,然後關閉vSphere Client。一旦你重新啓動vSphere Client,將看到數據中心vShield,集羣,主機以及端口組選項卡。你同樣可以在vCenter服務器內通過選擇主頁,單擊“解決方案和應用程序”下面的vShield圖標,訪問Web用戶界面。
四:安裝虛擬防火牆VMware vShield Zones 安裝VMware vShield Zones的第一步是在vCenter Server中選擇主機,並單擊“vShield”標籤,可以看到安裝vShield Zones, 、vShield Edge 和 vShield Endpoint的選項(需要注意的是沒有vShield Edge 和 vShield Endpoint的許可,無法安裝它們)。 圖1
單擊“安裝”按鈕,輸入必需的信息。
圖2
下一步,爲vShield Zones代理虛擬機選擇數據存儲。(推薦使用本地數據存儲,這樣代理虛擬機不會隨vMotion遷移。)然後選擇vShield Manager所在的管理端口組。你也可以使用其它的端口組,但是這個端口組必須能夠與Shield Manager進行通信。最後,輸入新虛擬機的IP地址信息,然後單擊“安裝”按鈕。
作爲安裝的一部分,主機上的每個虛擬機都被重新配置,但虛擬機的硬件設置沒有任何改變。相反,一些配置參數直接添加在主機上每個虛擬機的VMX文件中,如下所示:
ethernet0.filter0.param1 = "uuid=503adeb0-4c8c-cb31-b8a7-2fba5791434b.000"ethernet0.filter0.name = "vshield-dvfilter-module"
這些參數是過濾器的一部分。過濾器插入到每個虛擬機的虛擬網卡內部,允許vShield監控虛擬網卡的網絡流量。第一個參數標識 vCenter Server的全局唯一標識符。第二個參數是主機上可加載內核模塊(LKM)的名字。
上述配置是使用VMsafe API監控網絡流量的新方法。原始版本的vShield以橋接的方式,在虛擬交換機之間內聯運行,以保證到保護區域的所有流量都經過了vShield。新的流量監控方法在虛擬網卡而不是在虛擬交換機上監控流量,避免了之前版本需要對虛擬交換機重新配置,提供了更好的保護。在橋接模式下,虛擬機不能對同一保護區域的其他虛擬機進行保護。現在vShield Zones在虛擬網卡級別運行,每個虛擬機被完全的保護。
把過濾器插入到每個虛擬網卡內部,區域虛擬防火牆保護了虛擬機。但是你不能排除某些虛擬機:如果手動刪除添加到虛擬機vmx文件中對應的行(當虛擬機關機後),vShield會重新插入它們。
因此,如果區域虛擬防火牆的虛擬機發生故障,主機上的網絡流量將下降,因爲網絡不可路由。如果你把虛擬機從被保護區域的主機遷移至非保護區域的主機,vCenter Server會自動刪除過濾器。因此新主機上運行的虛擬機網絡連接不會丟失。
一旦在第一臺主機上安裝了vShield Zones,就可以在當前集羣的每個主機上重複安裝過程。安裝過程重新配置每個主機上的虛擬機,在每個主機上發佈區域虛擬防火牆虛擬機。
一個被稱爲“vmservice-vswitch” 的新虛擬交換機也被創建。這個虛擬交換機沒有分配物理網卡,有一個VMkernel接口,分配的IP地址爲169網段。
圖3
“vmservice-vswitch”不能修改,僅僅提供給區域防火牆虛擬機使用。區域防火牆虛擬機有兩塊虛擬網卡連接到“vmservice-vswitch”。vShield Zones 虛擬機通過這兩塊虛擬網卡與VMkernel內的LKM通信。一塊網卡用於控制,另一塊網卡用於數據通信。
配置VShield Zones
現在開始配置vShield Zones。主機的“vShield”標籤顯示主機上已經安裝的Zones及其版本以及服務(代理)虛擬機信息。同時你也可以看到代理虛擬機CPU、內存資源使用和網絡統計。
圖4
安裝完成後,vShield Zones處於活動狀態,默認的規則被設置爲ANY/ANY,所有的流量都允許通過。你可以通過選擇數據中心、集羣或者端口組對象,點擊“vShield Zones”標籤來設置規則。規則從數據對象開始,到端口組結束,具有層次結構。創建規則前,首先閱讀vShield管理指南,其中包括瞭如何配置規則。
升級到vShield App
vShield App是vShield Zones的加強版,提供了額外的功能。你不必安裝vShield App,相反,你安裝vShield Zones,然後應用許可證密鑰開啓App功能。
爲了升級到vShield App,獲得或購買App評估密鑰。在標準版的vCenter Server許可頁面通過點擊“主頁”然後點擊“許可”標籤應用密鑰。
圖5
在資產視圖下能看到沒有授權的vShield App, vShield Edge以及 vShield Endpoint實例。雙擊vShield App,輸入許可證密鑰,選擇分配新的許可證密鑰。
可以輸入多個許可證密鑰,但是隻能分配一個。如果你有多個App密鑰,你可以在VMware的官方網站整合它們。因爲App按照虛擬機的數量授權,整合後將顯示許可證支持多少個虛擬機。
在“vShield”標籤,新功能將解除鎖定。而且“區域虛擬防火牆”鏈接更新爲“應用防火牆”。vShield App一個非常好的特性是能夠創建安全組,允許你指定虛擬網卡,在整個組中應用規則。
圖6
因爲在單個虛擬網卡級別加強了安全,安全組使規則創建更加容易。與標準的基於IP地址的規則相比,安全組同時提供了更大的靈活性以及更好的安全。因爲安全組規則覆蓋了虛擬機上的所有流量--不用管IP地址