運營商的商業轉型引發了其網絡架構的轉型,安全也必須隨之進行SDN/NFV轉型,才能適應運營商網絡的新架構,支撐其商業訴求的達成。
運營商云化轉型的安全訴求
近年來,傳統電信業務增長放緩,促使運營商建設全新的云化(NFV和SDN)基礎設施,以支撐其業務驅動的轉型,滿足其降低TCO(Total Cost of Ownership)和TTM(Time To Market)、資源彈性化以及運維自動化的商業訴求。
運營商的新商業訴求,相應對安全也提出了新的要求:
業務敏捷,加速業務上線,縮減TTM:安全自動的業務發放是電信云化和IT云化場景的共性需求,是加速業務上線、縮減TTM背后的基礎競爭力之一。
降低OPEX(Operating Expense),解放管理員,去手工:安全自動運維和簡化管理是SDN/NFV和云安全實現的基石,也是客戶的痛點,同時還是解放傳統安全運維操作復雜和手工依賴的出路。
增值服務PAYG(Pay-As-You-Grow),滿足業務彈性:創新業務收入是運營商向SDN/NFV演進的重要驅動力,提供豐富的租戶增值安全業務、彈性擴縮和按需編排是關鍵支撐能力。而傳統的安全解決方案越來越難以滿足運營商云化場景下的安全訴求:
靜態安全軟硬件失效:靜態的傳統安全設備和軟件部署在網絡邊界和主機等位置,在云化場景下,對于VM之間的東西向流量無法感知并保障安全。
安全管理復雜化:在大型云數據中心中云安全策略繁多,傳統的手工申請、審核和配置需要耗費巨大的安全運維人力全天候處理策略的更新、審批和維護。
運營商網絡的總體架構包括接入網(無線接入+固定接入)、核心網(NFV Cloud)、骨干傳輸網(Backbone)和云數據中心(IT Cloud),接入網和骨干傳輸網仍以傳統架構為主,NFV和SDN安全特性主要在核心網和云數據中心應用。
在運營商新的網絡架構中,不同位置有著不同的安全需求:(1)vEPC的安全需求是信令安全,安全設施需要提供3GPP IPSec加密等功能;(2)vMSE的安全需求包括高性能NAT和URL過濾,以及Anti-DDoS等;(3)vCPE的安全需求包括提供給企業邊界防護的端到端VPN加密、端到端QoS、IPS和防病毒等;(4)IT Cloud作為運營商提供增值電信業務(例如視頻等)的重要設施,其核心安全需求是租戶級的邊界安全。
在上述4個場景中,虛擬化和云化的基礎設施都要求安全業務NFV化;在場景(3)和(4)中,由于涉及到企業安全邊界的防護(vCPE)和租戶的防護(IT Cloud),需 要對網絡設備(包括硬件盒子和虛擬化設備vSwitch)進行引流調度,所以安全還須融入到SDN網絡,適配整網架構。
綜上所述,運營商的商業轉型引發了其網絡架構轉型,安全也必須隨之進行SDN/NFV轉型,才能適應運營商網絡的新架構,支撐其商業訴求的達成。
安全NFV化
安全“NFV化”是一個統稱,具體還分為安全設施形態軟件化、安全業務微服務化,以及在云架構中的大容量集群和彈性伸縮。
安全設施形態軟件化
安全NFV化,首先是安全設施的形態可硬可軟、可大可小。硬件NGFW(Next Generation Firewall)采用傳統方式部署在云數據中心網絡的各個邊界,而軟件NGFW則部署在每個VM(Virtual Machine)中,VM啟動的時候需要同時啟動軟件防火墻,或者啟動安全業務的Agent。硬件和軟件NGFW都需要能實現一虛多和多虛一,其中一虛多是指根據NFV業務的需要,將一套NGFW軟硬件虛擬成多套,被不同的主機或者業務調用;而多虛一則是指多套NGFW軟硬件池化,根據業務的需要靈活調用其中的一部分安全資源。在一虛多和多虛一的場景中,軟硬件NGFW的靈活性和易用性都非常重要,能使一虛多和多虛一的管理更加簡潔方便。
安全業務微服務化
安全NFV化,其次是業務微服務化,調度方式可分可合。vNGFW(Virtual Next Generation Firewall)包含10多種安全業務,包括應用識別、NAT、VPN、IPS和URL過濾等等。具體實現時,這些安全業務可以All in One集中部署在一個vNGFW中,優點是部署簡單;也可以分布式部署,每個虛擬安全網元(可以是一臺VM)體現為一個VNF,在使用時通過服務鏈(Service Chain)調用相應的安全業務來實現,優點是靈活性高。
大容量集群,彈性伸縮
安全NFV化,第三是要能夠實現大容量集群,更好地支持大流量運營商管道業務。具體的實現方式有兩種:其一是分布式架構,一個vNGFW的不同模塊(例如URL過濾、VPN和IPS)部署在不同的VM上,多個VM共同組成一個vNGFW,實現大容量集群;其二是每個vNGFW部署在一個VM上,但通過綁定多個VM實現集群。vNGFW實現大容量集群后,能夠根據業務的需要組合成不同規模的安全網關,從而保證云數據中心內部各類規模流量和業務的安全防護。
安全融入SDN網絡
與安全“NFV化”類似,安全融入SDN網絡也是一個統稱,在具體實現時,安全設施需要開放北向接口被SDN控制器調度,同時還要支持微分段,最好還能支持不同的控制器生態,從而能夠在多廠商混合網絡中發揮作用。
開放北向,被控制器調度
安全融入SDN網絡,首先需要安全網元能夠被控制器平臺自動化部署,基于業務鏈發放業務,按需調度威脅防護,實現分鐘級業務發放(Plug &Play)、自定義服務(自動開通、擴展和回收)以及靈活引流。
在SDN網絡中,安全網元的具體業務流程如下:(1)外部用戶或VM發起一條流的首包,經過vSwitch后vPath基于策略進行解析;(2)vSwitch識別出是一條新的流,需要被指定vFW(Virtual Firewall)檢測,將流送到對應的vFW;(3)vFW實施ACL策略,并緩存ACL策略到vSwitch;(4)如果策略允許,報文被送到目的VM,否則被丟棄。
由此可見,安全網元在控制器的調度之下,需要與vSwitch等云的網絡設施緊密協同,真正在虛擬化網絡中承擔安全防護的職責。
微分段
傳統數據中心用的是邊界安全技術,包括NGFW和IPS等設施都是通過對流入流量進行浸入式分析來輔助確認威脅,并應用安全策略(阻斷和通過等),允許授權用戶或業務流訪問數據中心相應資源。這些安全設施通常只能對南北向流量(進出數據中心的流量)進行分析。
但是在云數據中心中東西向流量成為主流,由于云數據中心的網元從傳統的單一硬件主機形態發展成了VM形態,接入云數據中心的用戶也從傳統的固定網絡用戶發展到了動態租戶和移動與IoT用戶,因此再使用傳統的基于IP來劃分安全區域的方式,已經不能滿足云數據中心的安全防范需要。
微分段技術改變了傳統的通過IP來劃分區域的方式,可以通過更多的參數(例如OS、設備名、安全Tag、VLAN和MAC地址等)來劃分安全組,特別適用于云數據中心的動態(動態的虛擬網元、動態的租戶和動態的遠程接入用戶)安全分組。因此,云數據中心內的安全網元需要能夠支持微分段,對于任何流量都能基于流量的參數和標簽識別其安全組,并上報給控制器,同時接受控制器的安全策略下發并執行。
控制器生態圈
不同的運營商在建設云數據中心時會根據自身的需求和存量選擇不同廠商的控制器和網絡設備,這是運營商降低CAPEX(Capital Expenditure)和OPEX的必然訴求。因此,作為云數據中心SDN網絡的組件,安全設施能夠支持被多種云平臺和控制器管理編排,以及能夠支持多種Hypervisor成為必備能力,直接決定了安全設施在云數據中心網絡中能否廣泛使用。
在云數據中心里,通常有3種安全管理方式——云平臺(含第三方云平臺)、控制器和傳統網管。安全網元支持被云平臺管理,若是開源云平臺(例如OpenStack),則安全網元需要把自身的管理Plugin發布到開源社區并認證;若是第三方云平臺,則安全網元需要主動和第三方廠商進行對接和適配。安全網元支持被SDN控制器管理,需要開放北向接口(通常是Restful),主動對接相應廠商的控制器。獨立網管在未來很長一段時間內還需要采用,因此安全網元北向SNMP和CLI接口仍需繼續開放。
在云數據中心內,VM之間的東西向流量沒有經過實體防火墻,虛擬化流量的引流和調度掌握在Hypervisor以及vSwitch手里,因此安全廠商的虛擬防火墻往往不能獨立發揮作用,安全網元需要同時適配主流Hypervisor及其vSwitch,否則無法進行有效的安全管控。
支撐運營商云化轉型成功
在運營商的云化轉型過程中,安全適配新的云架構是面向未來的必由之路。當前,主流的網絡安全廠商,例如華為等均已發布了成熟的NFV化安全設施,并且充分支持SDN網絡。結合多年積累的適用于大流量管道的高性能安全能力,華為將會持續助力運營商簡化運維、縮減TTM、彈性調度并高效利用資源,最終支撐全球的運營商客戶實現商業成功。
京公網安備 11010502049343號