【云安全】虚拟化安全管理平台

a) 产品概述

虚拟化安全的目的是保证各个虚拟机相互独立、虚拟机与虚拟机和宿主机之间的安全边界不会被破坏。虚拟化平台的安全设计的内容很多，如虚拟机读取宿主机内存的数据、虚拟机无限制的消耗宿主机的资源、虚拟机中执行特殊的指令导致宿主机崩溃、虚拟机中普通用户通过虚拟化平台进行权限提升，当然，最严重的还是虚拟机逃逸，也就是虚拟机中的用户通过执行一段代码利用虚拟化平台的漏洞来在宿主机上执行代码。

b) 重要性

安全虚拟化起到了一道屏障的作用，可防止外围访问网络。它在云内提供专用安全服务和确定流量隔离，以及可自定义防火墙控制作为额外托管服务。企业和服务提供商可利用其虚拟化投资来创建细粒度安全外围，从而为租户和服务订户提供云架构内的专用安全资源。

c) 产品形态

软件镜像

d) 产品功能

分析流量的转发路径，我们可以将用户流量划分成纵向流量和横向流量两个维度，并基于每个维度的安全需求提供有针对性的解决方案。

1、纵向流量的安全防护

这部分纵向流量包括从客户端到服务器侧的正常流量访问请求，以及不同VM之间的三层转发的流量。这些流量的共同特点是其交换必然经过外置的硬件安全防护层，我们也称之为纵向流量控制层，流量模型如图所示。

2. 横向流量安全防护

在服务器的虚拟化过程中，以VMware为代表的虚拟化厂商，通过在服务器Hypervisor层集成vSwitch虚拟交换机特性，也可以实现一些基本的访问允许或拒绝规则，但是并没有也很难集成更高级的安全检测防护引擎，以实现VM之间的流量漏洞攻击的行为检测。要做到更深度的安全检测，目前主要有两种技术方式：基于虚拟机的安全服务模型，以及利用EVB技术实现流量重定向的安全检测模型，如图所示。

e) 部署方式

软件镜像部署

f) 产品选型