起因:軟件定義網(wǎng)絡(luò)(Software Defined-Networking,SDN)通過(guò)控制和數(shù)據(jù)平面的分離,重構(gòu)了網(wǎng)絡(luò)工作的機(jī)制,提高了網(wǎng)絡(luò)運(yùn)維的效率。Garnter認(rèn)為,SDN整體技術(shù)會(huì)在5-10年落地,而一度曾是SDN唯一標(biāo)準(zhǔn)的OpenFlow協(xié)議將會(huì)在2-5年左右落地。近年來(lái),業(yè)界大家談網(wǎng)絡(luò)就會(huì)提到SDN ,不管是褒或是貶,不可否認(rèn)的結(jié)果是SDN技術(shù)已經(jīng)從概念走向一個(gè)個(gè)實(shí)踐案例。
當(dāng)云計(jì)算剛開(kāi)始的時(shí)候一樣,人們對(duì)有很多疑問(wèn),如客戶(hù)對(duì)云計(jì)算系統(tǒng)的數(shù)據(jù)隱私顧慮,虛擬化性能的約束,諸如此類(lèi)。SDN概念被提出后,業(yè)界也同樣出現(xiàn)了很多討論,不可避免的出現(xiàn)了一些觀(guān)點(diǎn)。本文就安全維度做一些解釋?zhuān)Mx者不會(huì)走入誤區(qū)。
誤區(qū)1: SDN對(duì)網(wǎng)絡(luò)做了一次天翻地覆的革命,我們的傳統(tǒng)安全設(shè)備和安全解決方案無(wú)法部署了。
當(dāng)客戶(hù)問(wèn)售前或銷(xiāo)售同事:“我們部署了SDN環(huán)境,你們有沒(méi)有相應(yīng)的安全防護(hù)方案”
同事心想:我對(duì)SDN不了解,只知道SDN跟傳統(tǒng)組網(wǎng)技術(shù)完全不同,所有的路由協(xié)議都變了。那我們的安全方案,特別是安全設(shè)備的部署和工作模式,是與網(wǎng)絡(luò)緊密相關(guān)的,所以估計(jì)就不能正常工作吧。
其實(shí)了解SDN的工作原理后,那我們就不會(huì)有此疑問(wèn)了。SDN雖然改變了網(wǎng)絡(luò)架構(gòu),將控制平面上移,接管了以往分布在各處網(wǎng)絡(luò)設(shè)備上的路由協(xié)議,取而代之的是集中的拓?fù)洹⒙酚珊娃D(zhuǎn)發(fā)控制,但網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包處理對(duì)外表現(xiàn)并沒(méi)有特別的變化。例如原來(lái)一個(gè)TCP數(shù)據(jù)包,從交換機(jī)某個(gè)端口進(jìn)入,再?gòu)牧硪粋€(gè)端口輸出,這個(gè)數(shù)據(jù)包的頭部和載荷都沒(méi)有變化。安全設(shè)備作為中間設(shè)備(middlebox)或端點(diǎn)設(shè)備連接到網(wǎng)絡(luò)設(shè)備,接收和發(fā)送的還是一樣的TCP數(shù)據(jù)包,所以?xún)?nèi)部的處理引擎不必有什么特殊的改動(dòng),這跟普通服務(wù)器連接到SDN網(wǎng)絡(luò)中不需要做什么改動(dòng)一個(gè)道理。也就是說(shuō),一般情況下,普通安全設(shè)備理論上可以直接部署到SDN網(wǎng)絡(luò)中,與傳統(tǒng)網(wǎng)絡(luò)沒(méi)有區(qū)別。
圖1 數(shù)據(jù)包經(jīng)過(guò)安全設(shè)備本身沒(méi)有發(fā)生變化當(dāng)然需要看到的是有一些SDN控制器只支持路由,而不支持二層交換,這種模式下對(duì)工作在二層的IDS、IPS等設(shè)備帶來(lái)了挑戰(zhàn)。不過(guò)一種可行的辦法是在這些設(shè)備前面部署一個(gè)支持隧道的交換機(jī)(如Openvswitch),通過(guò)GRE隧道可以通過(guò)IP實(shí)現(xiàn)與對(duì)端連接,這樣SDN控制器可以將數(shù)據(jù)傳輸?shù)浇粨Q機(jī)的隧道端口,交換機(jī)將數(shù)據(jù)包的隧道頭解掉后,轉(zhuǎn)發(fā)給安全設(shè)備,這樣就實(shí)現(xiàn)了二層設(shè)備“支持”隧道的功能。
圖2 在只提供路由的SDN控制器下,可加一個(gè)帶隧道的網(wǎng)絡(luò)設(shè)備做代理從本質(zhì)上看,SDN從功能上并沒(méi)有做出革命性的改變,只是實(shí)現(xiàn)了自動(dòng)化和高效率,理解了這一點(diǎn),就應(yīng)明白安全設(shè)備部署到SDN網(wǎng)絡(luò)是完全可信的。
誤區(qū)2:既然SDN只是針對(duì)網(wǎng)絡(luò)的革命,跟安全沒(méi)什么太大的關(guān)系,安全廠(chǎng)商不需要關(guān)心。
我們?cè)诮忉屃苏`區(qū)1時(shí)提到,SDN是網(wǎng)絡(luò)世界的革命,不會(huì)對(duì)安全設(shè)備和安全解決方案的部署造成太大的困擾,那有同學(xué)就會(huì)下一個(gè)結(jié)論,就是雙方互不相擾,我也不用關(guān)心SDN技術(shù)的細(xì)節(jié)。
這個(gè)誤區(qū)有兩點(diǎn)需要闡明:
(1) SDN本身有安全問(wèn)題,SDN應(yīng)用和SDN控制器的可用性、實(shí)現(xiàn)方式,南北向協(xié)議的安全性等,都可能有安全隱患,所以保護(hù)SDN體系各組件就是安全機(jī)制所需要考慮的問(wèn)題。這是一個(gè)很大的話(huà)題了,后續(xù)可以繼續(xù)展開(kāi)講。
(2) SDN對(duì)網(wǎng)絡(luò)流量靈活的操作,SDN控制器具有全局網(wǎng)絡(luò)的視圖,這些對(duì)安全管理和控制系統(tǒng),都是非常大的利好。如果能借助SDN對(duì)整體網(wǎng)絡(luò)的實(shí)時(shí)、全局洞察力和控制力,安全應(yīng)用就能很靈活的部署和調(diào)度安全資源,結(jié)合軟件定義安全架構(gòu),就能建立非常強(qiáng)大的安全運(yùn)營(yíng)能力和應(yīng)急響應(yīng)機(jī)制。
比如在流量可視化方面,可以借助xFlow實(shí)現(xiàn)基于流量的異常檢測(cè),可適用于DDoS攻擊的檢測(cè)和企業(yè)內(nèi)網(wǎng)APT攻擊的發(fā)現(xiàn)。 在流量調(diào)度方面,可借助快速調(diào)整路由和轉(zhuǎn)發(fā)規(guī)則的能力,實(shí)現(xiàn)多個(gè)安全設(shè)備按需防護(hù)的服務(wù)鏈,異常流量的清洗;借助細(xì)粒度流控制能力,實(shí)現(xiàn)多個(gè)安全設(shè)備靈活堆疊的負(fù)載均衡方案;借助網(wǎng)絡(luò)設(shè)備天然的數(shù)據(jù)轉(zhuǎn)發(fā)平面,實(shí)現(xiàn)2-4層的訪(fǎng)問(wèn)控制,諸如此類(lèi)。
(3)SDN本身是一種敏捷的網(wǎng)絡(luò)運(yùn)營(yíng)理念,對(duì)目前的安全機(jī)制和安全體系都有很好的借鑒意義。軟件定義安全的概念在業(yè)界也越來(lái)越引起重視,當(dāng)然這又是一個(gè)非常大的話(huà)題,可參考《2015軟件定義安全SDS白皮書(shū)》。
可以說(shuō),安全是SDN的重要應(yīng)用,目前可以看到大部分SDN控制器廠(chǎng)商,都樂(lè)見(jiàn)與安全廠(chǎng)商的合作,推出可展示利用SDN技術(shù)加速安全防護(hù)的案例。
誤區(qū)3:SDN與安全結(jié)合,目前還沒(méi)有什么安全方案的實(shí)際案例。
既然我們解釋了誤區(qū)2,誤區(qū)3應(yīng)該不是什么大問(wèn)題。目前大家看到SDN和安全結(jié)合的案例少,不是因?yàn)閮烧呷狈瘜W(xué)反應(yīng),只是因?yàn)镾DN技術(shù)的發(fā)展尚待時(shí)日,君不見(jiàn)SDN本身的成功案例還比較少么。不過(guò)既然VMWare都宣布,NSX的發(fā)展已經(jīng)超過(guò)了當(dāng)年的Vsphere,Garnter去年預(yù)測(cè)SDN技術(shù)將在5-10年左右落地(OpenFlow將在2-5年落地),我們相信SDN在安全領(lǐng)域的應(yīng)用會(huì)更早。 一個(gè)例子是SDN在抗拒絕服務(wù)的應(yīng)用,因?yàn)榱髁啃途芙^服務(wù)在流量特征上有明顯的模式,并且可以通過(guò)流量牽引的方式進(jìn)行清洗,所以SDN技術(shù)有了用武之地。業(yè)界有不少友商正在做這方面的嘗試。
Radware在開(kāi)源的SDN控制器平臺(tái)Opendaylight(ODL)上集成了一套抗DDoS的模塊和應(yīng)用,稱(chēng)為Defense4ALL。其架構(gòu)如圖所示,主要有兩部分:控制器中的安全擴(kuò)展,包括如接收到流信息后的統(tǒng)計(jì)服務(wù),做清洗的流量重定向服務(wù);獨(dú)立的北向安全應(yīng)用,包括如異常檢測(cè)引擎和流量清洗的管理器。
圖3 Defense4ALL 架構(gòu)Brocade公司提出的實(shí)時(shí)DDoS緩解的SDN分析方案(Real-Time SDN Analytics for DDoS Mitigation)獲得了ONS(Open Networking Summits)2014 IDOL,這是一個(gè)了不起的獎(jiǎng)項(xiàng)。因?yàn)镺NS是業(yè)界在SDN和NFV領(lǐng)域最有影響力的會(huì)議,而ONS IDOL獎(jiǎng)最體現(xiàn)能推動(dòng)該行業(yè)發(fā)展的方向。
云計(jì)算系統(tǒng)通過(guò)虛擬化技術(shù),可以在相當(dāng)短的時(shí)間內(nèi)準(zhǔn)備好計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源,而SDN技術(shù)可以靈活地將流量調(diào)整,一起實(shí)現(xiàn)業(yè)務(wù)的上線(xiàn)。所以SDN在云計(jì)算和虛擬化場(chǎng)景中,有天然的優(yōu)勢(shì),所以如Openstack+Opendaylight,以及VMWare Vsphere+NSX,都是上述場(chǎng)景的應(yīng)用。但如果只看到這些,就得出SDN只適用于云計(jì)算場(chǎng)景,那就有所偏頗了。 先不說(shuō)誤解3中的抗D需求絕大多數(shù)都是在傳統(tǒng)環(huán)境物理網(wǎng)絡(luò)中,就說(shuō)我們做的軟件定義的BYOD安全防護(hù)體系就是一個(gè)很好的例子。通過(guò)硬件和軟件SDN交換機(jī)結(jié)合,可以在傳統(tǒng)IT環(huán)境中,靈活部署無(wú)線(xiàn)接入,實(shí)現(xiàn)統(tǒng)一身份認(rèn)證和基于身份的訪(fǎng)問(wèn)控制,比傳統(tǒng)的NAC方式更加靈活。在ShadowIT和混合IT環(huán)境的企業(yè)有非常好的管理效果。
圖4 BYOD環(huán)境下的訪(fǎng)問(wèn)控制,中間SDN交換機(jī)為硬件設(shè)備,而右側(cè)OVS bridge則為軟件設(shè)備結(jié)論
總而言之,目前SDN的發(fā)展速度很快,一方面,當(dāng)前安全機(jī)制可在SDN環(huán)境中正常部署;另一方面,SDN技術(shù)也給安全防護(hù)機(jī)制帶來(lái)了很大的想象空間。希望本文能給大家?guī)?lái)幫助,在新型網(wǎng)絡(luò)環(huán)境中討論安全方案的時(shí)候,不會(huì)心存顧慮,大膽嘗試。
京公網(wǎng)安備 11010502049343號(hào)