我们注意到在虚拟网络中,启用混合模式存在其优劣势。如果正确地使用则可以在降低风险的同时提高虚拟架构中网络的安全性和效率。
改善虚拟网络安全的小提示
为确保虚拟网络安全和防止虚拟机模仿其它虚拟机,您可以采取如下几个防御措施:
关闭所有虚拟服务器的混合模式。这一步防止虚拟机看到发送到其它主机的流量
锁定MAC地址更改,防止虚拟机变更其MAC地址。这一步可以防止虚拟机访问发送给网络上其它虚拟机的流量
关闭欺骗传输,可以阻止虚拟机以网络内其它虚拟机的名义发送数据包
混合模式下,虚拟网卡设备(可以是网络适配器或虚拟机网卡vNIC) 可以拦截和访问虚拟网络中的数据包,包括发送给其它vNIC的包。如果关闭混合模式,vNIC通常会自动丢弃发送到其它MAC地址的包。并非所有的 hypervisor支持混合模式(例如Microsoft Hyper-V),而其它的如VMware vSphere则支持。
多年来,支持混合模式成为管理和监控物理网卡和交换机的重要内容。现在的虚拟网络正在经历类似的过程,出现了一些基本的管理和性能优化工具,例如Catbird Networks Inc.’s vSecurity 和 CloudSwitch Enterprise。
通过启用混合模式监控虚拟网络流量
不同于很多传统的网络安全工具,虚拟化专用工具可以监控宿主机上hypervisor和虚拟机之间的流量。虚拟网络主要由运行于同一宿主机上的多台虚拟机构成,逻辑上都是相互连接的,所以它们可以互相发送和接受数据。可能一台虚拟交换机会为整个虚拟网络服务,而虚拟交换机通过基于hypervisor的配置信息可以把数据转发到正确的虚拟机。
当启用混合模式时,安全工具可以通过包嗅探器监控流量和虚拟网络传输内容。这些工具通过流量分析判断是否有非法访问,例如未经授权的侵入或错误发送给虚拟机的信息。管理员通过包嗅探器分析虚拟网络性能,找出瓶颈和管理高效的网络数据传输。通过检查网络流量还可以确保即使某台虚拟机被感染,也不会相互攻击。
由于侵入者通过混合模式恶意监测网络流量,您还可以借助混合模式作为旁路包嗅探器以监测哪个vNIC处于非正常状态。
不加管束的混合模式
在某些hypervisor中启用混合模式很容易,但是只建议有深入了解的IT人员去启用该功能。在ESXi中,您可以通过简单几步启用虚拟交换机上的混合模式:登录到vCenter Server > select an ESXi host >选择希望启用的交换机> 然后接受修改。
混合模式还常用于混合云环境。CloudSwitch应用需要ESX虚拟交换机混合模式的支持,实现数据中心和位于外部云中的工作负载的路由。由于CloudSwitch只对云内的服务器流量感兴趣,您可以配置只属于应用的端口。这样,CloudSwitch应用永远不会接收到虚拟交换机上其它节点的数据,因为混合模式只对该独立端口组启用。
在公有云中混合模式也有应用。用户可以在亚马逊EC2中创建启用混合模式的虚拟机。但是,不同于物理机和虚拟机,EC2只会把数据传输到正确地址的 vNIC。换句话说,EC2虚拟服务器只会向目标IP或MAC地址发数据,而对于EC2运行于混合模式的虚拟机,是不能接受和嗅探发送到其它EC2虚拟服务器的数据的。
用户可以在运行混合模式的EC2环境中通过安全监控获知是否混合模式被正确关闭,这对于运行关键应用的EC2服务器尤其重要。如果安全监控工具可以嗅探到发送给其它虚拟机的包,那么EC2的混合模式运行不正常——需要引起关注。
最后,虽然混在模式可能会改善虚拟网络安全和效率。但是,如果使用不当,该网络属性会严重危害数据中心。所以,没有经验的IT管理员最好远离混合模式,以确保入侵者不会从虚拟网络中窃取到敏感数据。