隨著云計算、SDN等新技術的廣泛應用以及APT等新型攻擊方式的日益發展,傳統網絡安全模式面臨著巨大挑戰。在云計算環境中,物理安全設備不能監控和理解虛擬化數據流,難以對其進行有效防護;傳統安全架構不能提供按需彈性的網絡安全功能,無法適應新型業務發展要求;現有安全設備系統普遍缺乏有效協同及聯動的手段與機制,影響對APT等攻擊的及時發現與防御。
在此背景下,軟件定義安全(SDS)在軟件定義網絡SDN的基礎上被提出,期望實現安全由業務和應用驅動,從而實現復雜網絡的安全防護,提升安全防護能力和用戶安全體驗。廣義SDN可分為兩大類,其中OpenFlow、Overlay、I2RS強調通過向應用開放接口實現基于應用的網絡控制,而NFV更強調硬件的通用性,通過虛擬化技術實現業務快速部署并降低成本。與此相對應,SDS技術也可分為兩大類:一類致力于打破傳統的安全黑盒子,向上層應用開放API,把編程控制權從廠商內置轉化為用戶自定義;另一類則將傳統安全設備虛擬化后,以虛擬軟件的形式運行在通用商業硬件上。這兩類技術并不是割裂的,可以有機融合,可在采用虛擬化技術實現安全功能的同時,對外開放API。
當前SDS發展較快的是基于OpenFlow、Overlay和NFV架構的安全技術,但尚無基于I2RS架構的軟件定義安全解決方案。
基于OpenFlow的SDS
基于OpenFlow的SDS按照控制與轉發分離的原則,將安全架構分為安全應用、安全控制、安全資源三層。安全應用層通過各類安全應用App,直接調用安全控制層的計算能力及數據進行安全分析,將各種個性化的安全功能需求轉化為具體的安全資源調度策略,并通過安全控制層予以下發,實現安全防護的智能化、自動化、服務化;安全控制層對安全應用下發的安全策略進行策略解析與沖突檢測后,將安全策略下發給資源層的安全設備,或者根據策略對轉發資源進行基于流的調度;安全資源層由各種物理形態或虛擬形態的網絡安全設備組成,接受控制層的統一部署、管理、調度,實現按需協同安全防護功能。
在安全控制層的實現上,原有SDN控制器無法滿足SDS的需求:OpenFlow的控制功能均集中在控制層,轉發層僅僅根據流表進行數據轉發,而安全系統的設備功能多樣化,控制指令也相對復雜,與網絡設備有較大區別,控制層面無法進行如此細致的控制;OpenFlow主要側重于4層以下流量的控制調度,無法滿足L4以上的流量安全控制調度需求。因此安全控制器的實現,需要在SDN控制器中內嵌一個安全控制Agent或者單獨配置一個安全控制器,滿足安全設備的管理控制以及4層以上流量的安全控制調度要求。
基于Overlay的SDS
基于Overlay技術架構實現的軟件定義安全技術原理是基于Overlay網絡構建服務鏈,各種安全設備組合抽象成統一安全資源,由服務鏈控制流量的調度,實現按需安全服務。
這種解決方案要求安全設備能夠理解隧道協議,識別業務標簽,才能實現按需安全服務。對于無法識別隧道協議的安全設備,需要協議轉換網關,將其轉換為安全設備能識別的信息,因此,這個網關將不可避免地成為性能瓶頸。
由于Overlay的控制平面依賴于廠家設計,開放性、兼容性較差,因此基于Overlay架構的軟件定義安全解決方案主要由Overlay網絡設備商實現。
基于NFV的SDS
基于NFV架構是目前業界主流實現方式,通過將傳統安全設備虛擬化后,以虛擬軟件的形式運行在通用商業硬件上。具體實現方式可分為Agent形態和獨立形態兩種。
Agent形態指虛擬化安全軟件以Agent形式裝載在物理主機上,利用虛擬化軟件供應商開放的安全擴展接口實現產品功能,主要用于虛擬機之間流量的安全防護。依據與虛擬化軟件的耦合度,可分為“松耦合”與“緊耦合”兩種模式。“松耦合”模式只調用網絡數據包轉發類別的API,通過在虛擬化層中實現的代理轉發數據包,將流量牽引到虛擬服務器狀態的安全產品進行檢測與處置。此類數據包轉發機制較為簡單,管理范圍無法跨出物理服務器的邊界,代表廠商有checkpoint等。“緊耦合”模式則更深層次地與虛擬化軟件的安全框架相結合,直接調用虛擬化軟件商提供的安全機制,將安全防護功能執行模塊輕薄化,嵌入Hypervisor層中。其依靠虛擬化軟件商提供的接口,可實現跨物理服務器的管理,代表廠商有趨勢、Juniper等。總體而言,Agent形態與Hypervisor耦合度較高,安全產品受限較大,同時其占用用戶虛擬機所在的物理主機資源,產品性能受限于所分配的資源,對用戶性能也有一定影響。
獨立形態的虛擬化安全軟件單獨安裝在標準的x86服務器上,通過內部網絡通信,構成一個可平滑擴展的大容量產品集群,并通過一個統一的管理界面實現彈性、按需部署。與Agent形態相比,其單獨使用物理資源,在不擠占用戶虛擬機資源的同時,性能可隨x86的資源擴展而平滑擴展。與傳統芯片加速型硬件防火墻相比,其性能受網卡處理速度、CPU的處理能力和處理機制、Hypervisor虛擬交換機轉發速度等因素影響,調優更為復雜。普通網卡所有數據都需要經過Hypervisor虛擬交換機過濾/轉發,存在較嚴重的性能瓶頸。而通過SR-IOV網卡,可以將VF直接分配給虛擬機,虛擬機直接訪問VF,數據不再經過Hypervisor虛擬交換機過濾/轉發,可以有效提高網絡I/O性能。但該方案需要服務器網卡支持SR-IOV技術,虛擬機的Guest OS也要支持相應的驅動;CPU處理能力和處理機制也是制約其性能的重要因素,尤其是對小包的處理效率。
總體而言,軟件定義安全技術仍處于起步階段,但隨著SDN技術的快速發展,運營商可在跟蹤研究相關技術的基礎上,積極探索軟件定義安全防護技術的引入及部署。一方面結合IDC的SDN引入進程,研究并驗證軟件定義化安全設備的部署應用方案,引導廠商滿足運營商的實際需求。尤其是安全設備虛擬化后,其性能主要取決于CPU,需考量其性能損耗是否能滿足現網實際需求,謹慎推進。建議針對傳統安全設備與虛擬安全設備混合組網進行測試驗證,并與安全廠商合作,共同推動軟件定義化安全設備的發展。另一方面研究軟件定義安全架構實現技術,利用軟件定義安全架構的集中控制性和開放性,解決現有各安全系統缺乏有效協同、聯動以及可擴展性不強的問題,推動網絡安全架構的演進。
京公網安備 11010502049343號