隨著云計算、虛擬化、SDN以及NFV等新技術的發展,傳統硬件設備對應用所需要的靈活性、動態性、可調度性支持的缺失,使人們更多的希望通過新技術來解決這些問題,基于SDN和NFV的云安全防護體系能夠滿足應用對這些特性的需求,該體系在客戶側大規模部署建設是公認的技術發展方向,是大勢所趨。SDN及NFV技術,其出色的靈活性和可定義的特性,非常符合計算虛擬化環境下的網絡支撐需求,業界都在討論如何利用其架構及技術特點來解決云計算存在的安全問題。
一、 云計算面臨的安全挑戰
云計算、虛擬化等新技術的發展,帶來了新一輪的IT技術變革,賦予了應用靈活性、擴展性、快速交付,但同時也給網絡與業務帶來巨大的挑戰,比如需要網絡能夠支持面向應用的二層環境,策略能夠根據應用變化而調整,網絡服務模式需要從傳統的連接服務轉向面向應用的網絡交付,新型應用如社交網絡、在線大流量視頻以及創新的服務模式如物聯網、大數據的出現,對網絡安全提出了更高的要求。傳統的安全部署模式在管理性、伸縮性、業務快速升級等方面逐漸表現出對業務支撐能力的不足:
基于拓撲的局部安全部署,串聯設備性能差異巨大,木桶效應明顯;
分散的設備策略配置管理,對管理員安全技能高;
安全規則復雜,手工配置和維護困難;
安全能力無法動態復用,資源浪費明顯;
物理安全設備容易成為“擁塞點”和性能瓶頸;
物理安全設備對虛擬機東西向流量不可見,無法實施有效安全策略管理;
物理安全設備特性開發部署周期長,不能隨著應用需求的變化而快速調整;
物理安全設備大都是封閉、固化的,不能動態伸縮,部署初期資源浪費,后期網絡拓展困難。
二、 SDN&NFV云安全體系架構
針對云計算所帶來的安全挑戰,SDN和NFV作為新一代網絡技術,既可通過獨自層面去解決不同的網絡問題、滿足不同角度的業務需求,又能夠緊密結合,實現網絡靈活調度、動態擴展、按需快速交付,產生更大的價值,最大程度地滿足用戶對業務部署的要求。
根據ONF(Open Network Foundation)的SDN分層體系[1],SDN Fabric網絡實現了控制與轉發分離、軟硬件解耦,轉發層面由支持OpenFlow及Overlay等核心技術的網絡硬件設備組成,控制則由軟件控制集群及硬件設備的操作系統完成。同時,H3C創新性的將NFV Manager[2]以APP的形式集成VCFC控制集群上,可實現SDN控制器集群對NFV的定義、NFV的自動化部署及NFV資源池的彈性伸縮等生命周期控制管理。
融合SDN及NFV技術的云安全體系如圖1所示,基礎硬件層和物理抽象層不僅包括運行NFV的物理服務器,還同時包括物理安全設備、嵌入安全的vSwitch物理服務器、支持虛擬化的安全物理設備等設施,對應SDN架構中的數據轉發層面;NFV操作系統、設備的操作系統與上層應用組成業務控制層面。
圖1. 基于SDN和NFV的云安全體系
該體系按功能區域可分為以下幾個方面。
云計算接入安全:通過H3C首創的嵌入式安全vSwitch,形成基于狀態的安全防護體系。
云計算出口安全:支持虛擬化的高性能安全物理設備、靈活的NFV技術等最大化滿足公有云的安全防護及網絡安全業務需求。
云計算互訪安全:面對虛擬化、復雜的云計算東西向流量和南北向流量,云安全資源池可實現對不同租戶計算、相同租戶下不同計算互訪的安全需求,例如防火墻、IPS、負載均衡、DPI等業務。通過SDN控制器集群實現安全業務的按需動態部署及自動化彈性伸縮,達到云計算安全業務的自動化交付、簡化管理。
云計算VCFC控制器集群:作為云安全體系的控制大腦,VCFC控制器集群不僅負責基于SDN Fabric部署Overlay虛擬化網絡創建、流量轉發與維護等的管理,還要負責完成對云計算安全業務的動態部署、NFV生命周期管理等,并提供豐富的北向API,完成和云管理平臺的無縫對接。
三、 云安全體系特點及價值
SDN以控制和轉發分離思想為基礎,通過各種標準南北向開放接口為手段,實現網絡靈活適配應用,NFV利用虛擬化技術,通過標準X86服務器運行防火墻、IPS、LB等網絡安全業務,并形成資源池化,讓網絡不再依賴于專用硬件,從而使云安全體系的安全業務能夠“彈性擴展”、“快速交付”、“統一部署”,并解決傳統安全部署時的“拓撲依賴”問題。
1. 可定義、自適應的安全
SDN通過控制和轉發分離,將控制層面從轉發設備上分離出來,從而使得網絡具備軟件靈活定義網絡的能力基礎。網絡管理員可以方便的定義基于網絡流的安全控制策略,并讓這些安全策略應用到各種網絡設備中,從而實現整個網絡通訊的安全控制。
SDN網絡可以實現基于流的調度,網絡管理員可以靜態配置或者動態生成引流規則,將報文牽引到不同的安全設備上進行處理。與傳統的基于IP包的轉發規則,基于流的調度使安全服務和管控更加細粒度,提升安全服務的防護效率和準確性。
基于控制器的軟件編程能力,網絡管理員通過安全APP方式或者安全模板的方式提供安全即服務SaaS,安全設備自動化配置運維管理,使得安全設備運行維護任務可以更有效、更低成本、更快速的自動化,從而降低安全運維和學習成本,同時提高安全防護的及時性和效率,如圖2所示。
圖2. 安全策略管理和編排
網絡管理員、安全管理員,在控制器集群上完成策略模板的創建和配置;
用戶通過云平臺自定義安全服務;
控制器集群向云操作系統OpenStack呈現統一的安全策略服務目錄;
云/數據中心用戶通過云操作系統OpenStack定制資源,選擇相應的安全服務,控制器集群完成策略下發(包括流量牽引、安全服務組件的創建);
云的租戶只關注業務需要匹配的安全模板,無需關注安全策略如何實現。
2. 安全策略統一全局可管理性
SDN控制器集群通過對各種物理安全設備和NFV網元進行抽象,將原先離散的、異構的設備形成統一的邏輯安全資源池。這樣,控制器集群可以用全局視野,對所有安全資源進行統一調度,并通過“安全服務鏈”實現流量檢測路徑規劃,提供與拓撲無關的全局安全策略。
SDN控制器集群具備全局視野,掌握整個管理域范圍內的流信息,因此,可以實現分布式安全設備的協同工作。比如在IPS檢測點發現DDOS攻擊,可以立刻通知控制器集群在接入側(如嵌入式安全vSwitch)生成一條動態黑名單或者防火墻策略,將特定攻擊報文丟棄,從而使惡意流量在源端即被遏制,提升安全防護效率。
全局安全資源池可以實現安全資源的動態復用和彈性擴展。這樣,在網絡部署初期不需要為未來的擴展而預留不必要的安全設備,而且可以通過虛擬設備做到一機多用,減少安全設備的數量和投入成本。當安全設備性能不足時,可以在資源池中新增相應的邏輯安全資源,SDN控制器集群根據HASH引流規則,將不同的流量分擔到不同的安全資源上處理,實現資源的彈性擴展,如圖3所示。
圖3. 安全服務鏈
不同VM之間的流量通過不同的“安全服務鏈”:
“安全服務鏈”實現流量路徑規劃
安全資源池化與物理拓撲無關
構建統一的安全池
安全資源池彈性擴展
3. 安全自動化快速部署、彈性擴展
云計算業務的多樣化以及快速變化的特點,對安全業務也提出了靈活性要求,傳統安全設備內置的業務及業務流程相對固定,無法隨著應用需求的變化而變化,而基于SDN和NFV技術的結合可完美地實現安全業務的靈活定義、按需快速部署、彈性擴展。
NFV技術通過將設備的硬件和軟件解耦,可將傳統設備提供的安全業務功能分解成一個個VNF單元,通過云平臺或SDN VCFC控制器集群對NFV資源池、安全設備、網絡設備及vSwitch上的業務進行統一管理,根據應用需求、業務流量特點定義不同的業務鏈,實現不同業務流經過不同安全單元進行差異化處理,并通過模板化方式實現各種復雜的業務快速部署。
如圖4所示北向南流量部署安全業務為例進行說明。
圖4. 基于SDN和NFV的云安全體系
NFV資源彈性部署
通過VCFC控制器集群不僅可創建并對服務器動態下發NFV資源節點,如vFW、vNAT、vIPS、vDPI、vLB等,同時針對支持虛擬化的安全設備,可動態創建虛擬FW、虛擬LB等,實現不同租戶、同一租戶不同應用的云安全業務部署。
嵌入式安全
VCFC控制器集群基于虛擬化技術抽象定義出VNF安全業務,下發至SDN Fabric網絡的接入vSwitch及統一出口網關設備,滿足不同租戶、同一租戶不同業務的云計算在接入層面、出口層面的安全業務需求。
嵌入VNF安全業務在云計算環境中,對同一服務器內部眾多的東西向流量可提供有效的安全防護,這點極為重要,因為這些二層交換可以不經過外部的物理交換機,傳統網絡安全設備方案難以滿足防護需求。同時,嵌入VNF安全業務是基于狀態的,能夠對東西向流量進行安全策略和TCP狀態檢查。
在虛擬環境中,VM的遷移非常常見,因此安全防護策略需要跟隨VM遷移實現自動防護;當虛擬機遷移,VNF中對VM的引流策略以及相關的安全策略要能夠自動遷移到新主機,確保VM安全防護策略不因遷移而發生變化
業務安全自動化
基于SDN Fabric的云安全體系,通過VCFC控制器集群部署的NFV資源、VNF安全業務自動關聯至對應的租戶或租戶的業務流量,實現服務鏈的自動部署。
4. 南北向API的全面、兼容性
SDN和NFV的技術設計是開放的,決定云安全體系也是一個開放的體系,易于形成集百家之長、開放融合的體系。SDN&NFV云安全體系各組件秉承標準、開放、端到端的理念,提供全面豐富、靈活的南向接口及北向接口,如圖5所示。
圖5. 云安全體系南北向API圖
通過開放融合的體系,基于SDN和NFV構建的云安全體系能夠融入更多的第三方SDN APP和NFV,北向通過Restful API可與獨立第三方云平臺進行對接,南向通過OpenFlow/OVSDB/NetConf等標準API兼容包括第三方的網絡及安全設備、NFV產品,確保云安全體系更為靈活、更為全面。
5. 靈活的安全云服務
隨著云計算和移動互聯網的蓬勃發展,網絡數據量爆炸式增長。安全管理員在利用流量日志來分析安全威脅的時候很容易淹沒在大量的“噪音”數據中,很難發現日志中存在的高風險異常現象或趨勢。云安全體系可通過安全資源池海量網絡流量、日志、告警、狀態、異常數據信息綜合采集和分析,輸出網絡安全報表,比如TOP N攻擊,基于地址或者應用的丟包TOP N,基于地址或者應用的連接數TOP N,過去小時、1天甚至1個月的會話新建和并發統計數報表等,讓網絡管理員對網絡數據了如指掌,主動感知網絡安全態勢,利用SDN控制器機群統一的安全策略下發和控制,動態實時更新學習安全策略和修復網絡。云安全體系還提供在線病毒和特征庫升級以及緊急風險策略同步,有效防御0-day攻擊,提供智能靈活的云安全服務。
四、 結束語
云計算模式當前已得到業界普遍認同,成為信息技術領域新的發展方向。隨著云計算的大量應用,云環境的安全問題也日益突出。在云計算時代,每天新增的數據量非常巨大,需要處理的數據成倍增加,各應用也相應的在千變萬化,因此,建立自動化、虛擬化、可動態彈性伸縮的云安全防護體系已經是大勢所趨,同時伴隨SDN和NFV技術的不斷演進,SDN及NFV技術也將不斷完善云安全的防護體系,最終促使云計算得以更加健康、有序的發展。
京公網安備 11010502049343號