隨著云計(jì)算、虛擬化、SDN以及NFV等新技術(shù)的發(fā)展，傳統(tǒng)硬件設(shè)備對應(yīng)用所需要的靈活性、動態(tài)性、可調(diào)度性支持的缺失，使人們更多的希望通過新技術(shù)來解決這些問題，基于SDN和NFV的云安全防護(hù)體系能夠滿足應(yīng)用對這些特性的需求，該體系在客戶側(cè)大規(guī)模部署建設(shè)是公認(rèn)的技術(shù)發(fā)展方向，是大勢所趨。SDN及NFV技術(shù)，其出色的靈活性和可定義的特性，非常符合計(jì)算虛擬化環(huán)境下的網(wǎng)絡(luò)支撐需求，業(yè)界都在討論如何利用其架構(gòu)及技術(shù)特點(diǎn)來解決云計(jì)算存在的安全問題。

[[153462]]

一、 云計(jì)算面臨的安全挑戰(zhàn)

云計(jì)算、虛擬化等新技術(shù)的發(fā)展，帶來了新一輪的IT技術(shù)變革，賦予了應(yīng)用靈活性、擴(kuò)展性、快速交付，但同時(shí)也給網(wǎng)絡(luò)與業(yè)務(wù)帶來巨大的挑戰(zhàn)，比如需要網(wǎng)絡(luò)能夠支持面向應(yīng)用的二層環(huán)境，策略能夠根據(jù)應(yīng)用變化而調(diào)整，網(wǎng)絡(luò)服務(wù)模式需要從傳統(tǒng)的連接服務(wù)轉(zhuǎn)向面向應(yīng)用的網(wǎng)絡(luò)交付，新型應(yīng)用如社交網(wǎng)絡(luò)、在線大流量視頻以及創(chuàng)新的服務(wù)模式如物聯(lián)網(wǎng)、大數(shù)據(jù)的出現(xiàn)，對網(wǎng)絡(luò)安全提出了更高的要求。傳統(tǒng)的安全部署模式在管理性、伸縮性、業(yè)務(wù)快速升級等方面逐漸表現(xiàn)出對業(yè)務(wù)支撐能力的不足：

• 基于拓?fù)涞木植堪踩渴?，串?lián)設(shè)備性能差異巨大，木桶效應(yīng)明顯;
• 分散的設(shè)備策略配置管理，對管理員安全技能高;
• 安全規(guī)則復(fù)雜，手工配置和維護(hù)困難;
• 安全能力無法動態(tài)復(fù)用，資源浪費(fèi)明顯;
• 物理安全設(shè)備容易成為“擁塞點(diǎn)”和性能瓶頸;
• 物理安全設(shè)備對虛擬機(jī)東西向流量不可見，無法實(shí)施有效安全策略管理;
• 物理安全設(shè)備特性開發(fā)部署周期長，不能隨著應(yīng)用需求的變化而快速調(diào)整;
• 物理安全設(shè)備大都是封閉、固化的，不能動態(tài)伸縮，部署初期資源浪費(fèi)，后期網(wǎng)絡(luò)拓展困難。

二、 SDN&NFV云安全體系架構(gòu)

針對云計(jì)算所帶來的安全挑戰(zhàn)，SDN和NFV作為新一代網(wǎng)絡(luò)技術(shù)，既可通過獨(dú)自層面去解決不同的網(wǎng)絡(luò)問題、滿足不同角度的業(yè)務(wù)需求，又能夠緊密結(jié)合，實(shí)現(xiàn)網(wǎng)絡(luò)靈活調(diào)度、動態(tài)擴(kuò)展、按需快速交付，產(chǎn)生更大的價(jià)值，最大程度地滿足用戶對業(yè)務(wù)部署的要求。

根據(jù)ONF(Open Network Foundation)的SDN分層體系[1]，SDN Fabric網(wǎng)絡(luò)實(shí)現(xiàn)了控制與轉(zhuǎn)發(fā)分離、軟硬件解耦，轉(zhuǎn)發(fā)層面由支持OpenFlow及Overlay等核心技術(shù)的網(wǎng)絡(luò)硬件設(shè)備組成，控制則由軟件控制集群及硬件設(shè)備的操作系統(tǒng)完成。同時(shí)，H3C創(chuàng)新性的將NFV Manager[2]以APP的形式集成VCFC控制集群上，可實(shí)現(xiàn)SDN控制器集群對NFV的定義、NFV的自動化部署及NFV資源池的彈性伸縮等生命周期控制管理。

融合SDN及NFV技術(shù)的云安全體系如圖1所示，基礎(chǔ)硬件層和物理抽象層不僅包括運(yùn)行NFV的物理服務(wù)器，還同時(shí)包括物理安全設(shè)備、嵌入安全的vSwitch物理服務(wù)器、支持虛擬化的安全物理設(shè)備等設(shè)施，對應(yīng)SDN架構(gòu)中的數(shù)據(jù)轉(zhuǎn)發(fā)層面;NFV操作系統(tǒng)、設(shè)備的操作系統(tǒng)與上層應(yīng)用組成業(yè)務(wù)控制層面。

圖1. 基于SDN和NFV的云安全體系

該體系按功能區(qū)域可分為以下幾個(gè)方面。

• 云計(jì)算接入安全：通過H3C首創(chuàng)的嵌入式安全vSwitch，形成基于狀態(tài)的安全防護(hù)體系。
• 云計(jì)算出口安全：支持虛擬化的高性能安全物理設(shè)備、靈活的NFV技術(shù)等最大化滿足公有云的安全防護(hù)及網(wǎng)絡(luò)安全業(yè)務(wù)需求。
• 云計(jì)算互訪安全：面對虛擬化、復(fù)雜的云計(jì)算東西向流量和南北向流量，云安全資源池可實(shí)現(xiàn)對不同租戶計(jì)算、相同租戶下不同計(jì)算互訪的安全需求，例如防火墻、IPS、負(fù)載均衡、DPI等業(yè)務(wù)。通過SDN控制器集群實(shí)現(xiàn)安全業(yè)務(wù)的按需動態(tài)部署及自動化彈性伸縮，達(dá)到云計(jì)算安全業(yè)務(wù)的自動化交付、簡化管理。
• 云計(jì)算VCFC控制器集群：作為云安全體系的控制大腦，VCFC控制器集群不僅負(fù)責(zé)基于SDN Fabric部署Overlay虛擬化網(wǎng)絡(luò)創(chuàng)建、流量轉(zhuǎn)發(fā)與維護(hù)等的管理，還要負(fù)責(zé)完成對云計(jì)算安全業(yè)務(wù)的動態(tài)部署、NFV生命周期管理等，并提供豐富的北向API，完成和云管理平臺的無縫對接。

#p#

三、 云安全體系特點(diǎn)及價(jià)值

SDN以控制和轉(zhuǎn)發(fā)分離思想為基礎(chǔ)，通過各種標(biāo)準(zhǔn)南北向開放接口為手段，實(shí)現(xiàn)網(wǎng)絡(luò)靈活適配應(yīng)用，NFV利用虛擬化技術(shù)，通過標(biāo)準(zhǔn)X86服務(wù)器運(yùn)行防火墻、IPS、LB等網(wǎng)絡(luò)安全業(yè)務(wù)，并形成資源池化，讓網(wǎng)絡(luò)不再依賴于專用硬件，從而使云安全體系的安全業(yè)務(wù)能夠“彈性擴(kuò)展”、“快速交付”、“統(tǒng)一部署”，并解決傳統(tǒng)安全部署時(shí)的“拓?fù)湟蕾?rdquo;問題。

1. 可定義、自適應(yīng)的安全

SDN通過控制和轉(zhuǎn)發(fā)分離，將控制層面從轉(zhuǎn)發(fā)設(shè)備上分離出來，從而使得網(wǎng)絡(luò)具備軟件靈活定義網(wǎng)絡(luò)的能力基礎(chǔ)。網(wǎng)絡(luò)管理員可以方便的定義基于網(wǎng)絡(luò)流的安全控制策略，并讓這些安全策略應(yīng)用到各種網(wǎng)絡(luò)設(shè)備中，從而實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)通訊的安全控制。

SDN網(wǎng)絡(luò)可以實(shí)現(xiàn)基于流的調(diào)度，網(wǎng)絡(luò)管理員可以靜態(tài)配置或者動態(tài)生成引流規(guī)則，將報(bào)文牽引到不同的安全設(shè)備上進(jìn)行處理。與傳統(tǒng)的基于IP包的轉(zhuǎn)發(fā)規(guī)則，基于流的調(diào)度使安全服務(wù)和管控更加細(xì)粒度，提升安全服務(wù)的防護(hù)效率和準(zhǔn)確性。

基于控制器的軟件編程能力，網(wǎng)絡(luò)管理員通過安全APP方式或者安全模板的方式提供安全即服務(wù)SaaS，安全設(shè)備自動化配置運(yùn)維管理，使得安全設(shè)備運(yùn)行維護(hù)任務(wù)可以更有效、更低成本、更快速的自動化，從而降低安全運(yùn)維和學(xué)習(xí)成本，同時(shí)提高安全防護(hù)的及時(shí)性和效率，如圖2所示。

• 網(wǎng)絡(luò)管理員、安全管理員，在控制器集群上完成策略模板的創(chuàng)建和配置;
• 用戶通過云平臺自定義安全服務(wù);
• 控制器集群向云操作系統(tǒng)OpenStack呈現(xiàn)統(tǒng)一的安全策略服務(wù)目錄;
• 云/數(shù)據(jù)中心用戶通過云操作系統(tǒng)OpenStack定制資源，選擇相應(yīng)的安全服務(wù)，控制器集群完成策略下發(fā)(包括流量牽引、安全服務(wù)組件的創(chuàng)建);
• 云的租戶只關(guān)注業(yè)務(wù)需要匹配的安全模板，無需關(guān)注安全策略如何實(shí)現(xiàn)。

2. 安全策略統(tǒng)一全局可管理性

SDN控制器集群通過對各種物理安全設(shè)備和NFV網(wǎng)元進(jìn)行抽象，將原先離散的、異構(gòu)的設(shè)備形成統(tǒng)一的邏輯安全資源池。這樣，控制器集群可以用全局視野，對所有安全資源進(jìn)行統(tǒng)一調(diào)度，并通過“安全服務(wù)鏈”實(shí)現(xiàn)流量檢測路徑規(guī)劃，提供與拓?fù)錈o關(guān)的全局安全策略。

SDN控制器集群具備全局視野，掌握整個(gè)管理域范圍內(nèi)的流信息，因此，可以實(shí)現(xiàn)分布式安全設(shè)備的協(xié)同工作。比如在IPS檢測點(diǎn)發(fā)現(xiàn)DDOS攻擊，可以立刻通知控制器集群在接入側(cè)(如嵌入式安全vSwitch)生成一條動態(tài)黑名單或者防火墻策略，將特定攻擊報(bào)文丟棄，從而使惡意流量在源端即被遏制，提升安全防護(hù)效率。

全局安全資源池可以實(shí)現(xiàn)安全資源的動態(tài)復(fù)用和彈性擴(kuò)展。這樣，在網(wǎng)絡(luò)部署初期不需要為未來的擴(kuò)展而預(yù)留不必要的安全設(shè)備，而且可以通過虛擬設(shè)備做到一機(jī)多用，減少安全設(shè)備的數(shù)量和投入成本。當(dāng)安全設(shè)備性能不足時(shí)，可以在資源池中新增相應(yīng)的邏輯安全資源，SDN控制器集群根據(jù)HASH引流規(guī)則，將不同的流量分擔(dān)到不同的安全資源上處理，實(shí)現(xiàn)資源的彈性擴(kuò)展，如圖3所示。

圖3. 安全服務(wù)鏈

不同VM之間的流量通過不同的“安全服務(wù)鏈”：

• “安全服務(wù)鏈”實(shí)現(xiàn)流量路徑規(guī)劃
• 安全資源池化與物理拓?fù)錈o關(guān)
• 構(gòu)建統(tǒng)一的安全池
• 安全資源池彈性擴(kuò)展

3. 安全自動化快速部署、彈性擴(kuò)展

云計(jì)算業(yè)務(wù)的多樣化以及快速變化的特點(diǎn)，對安全業(yè)務(wù)也提出了靈活性要求，傳統(tǒng)安全設(shè)備內(nèi)置的業(yè)務(wù)及業(yè)務(wù)流程相對固定，無法隨著應(yīng)用需求的變化而變化，而基于SDN和NFV技術(shù)的結(jié)合可完美地實(shí)現(xiàn)安全業(yè)務(wù)的靈活定義、按需快速部署、彈性擴(kuò)展。

NFV技術(shù)通過將設(shè)備的硬件和軟件解耦，可將傳統(tǒng)設(shè)備提供的安全業(yè)務(wù)功能分解成一個(gè)個(gè)VNF單元，通過云平臺或SDN VCFC控制器集群對NFV資源池、安全設(shè)備、網(wǎng)絡(luò)設(shè)備及vSwitch上的業(yè)務(wù)進(jìn)行統(tǒng)一管理，根據(jù)應(yīng)用需求、業(yè)務(wù)流量特點(diǎn)定義不同的業(yè)務(wù)鏈，實(shí)現(xiàn)不同業(yè)務(wù)流經(jīng)過不同安全單元進(jìn)行差異化處理，并通過模板化方式實(shí)現(xiàn)各種復(fù)雜的業(yè)務(wù)快速部署。

如圖4所示北向南流量部署安全業(yè)務(wù)為例進(jìn)行說明。

圖4. 基于SDN和NFV的云安全體系

NFV資源彈性部署

通過VCFC控制器集群不僅可創(chuàng)建并對服務(wù)器動態(tài)下發(fā)NFV資源節(jié)點(diǎn)，如vFW、vNAT、vIPS、vDPI、vLB等，同時(shí)針對支持虛擬化的安全設(shè)備，可動態(tài)創(chuàng)建虛擬FW、虛擬LB等，實(shí)現(xiàn)不同租戶、同一租戶不同應(yīng)用的云安全業(yè)務(wù)部署。

嵌入式安全

VCFC控制器集群基于虛擬化技術(shù)抽象定義出VNF安全業(yè)務(wù)，下發(fā)至SDN Fabric網(wǎng)絡(luò)的接入vSwitch及統(tǒng)一出口網(wǎng)關(guān)設(shè)備，滿足不同租戶、同一租戶不同業(yè)務(wù)的云計(jì)算在接入層面、出口層面的安全業(yè)務(wù)需求。

嵌入VNF安全業(yè)務(wù)在云計(jì)算環(huán)境中，對同一服務(wù)器內(nèi)部眾多的東西向流量可提供有效的安全防護(hù)，這點(diǎn)極為重要，因?yàn)檫@些二層交換可以不經(jīng)過外部的物理交換機(jī)，傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備方案難以滿足防護(hù)需求。同時(shí)，嵌入VNF安全業(yè)務(wù)是基于狀態(tài)的，能夠?qū)|西向流量進(jìn)行安全策略和TCP狀態(tài)檢查。

在虛擬環(huán)境中，VM的遷移非常常見，因此安全防護(hù)策略需要跟隨VM遷移實(shí)現(xiàn)自動防護(hù);當(dāng)虛擬機(jī)遷移，VNF中對VM的引流策略以及相關(guān)的安全策略要能夠自動遷移到新主機(jī)，確保VM安全防護(hù)策略不因遷移而發(fā)生變化

業(yè)務(wù)安全自動化

基于SDN Fabric的云安全體系，通過VCFC控制器集群部署的NFV資源、VNF安全業(yè)務(wù)自動關(guān)聯(lián)至對應(yīng)的租戶或租戶的業(yè)務(wù)流量，實(shí)現(xiàn)服務(wù)鏈的自動部署。

4. 南北向API的全面、兼容性

SDN和NFV的技術(shù)設(shè)計(jì)是開放的，決定云安全體系也是一個(gè)開放的體系，易于形成集百家之長、開放融合的體系。SDN&NFV云安全體系各組件秉承標(biāo)準(zhǔn)、開放、端到端的理念，提供全面豐富、靈活的南向接口及北向接口，如圖5所示。

圖5. 云安全體系南北向API圖

通過開放融合的體系，基于SDN和NFV構(gòu)建的云安全體系能夠融入更多的第三方SDN APP和NFV，北向通過Restful API可與獨(dú)立第三方云平臺進(jìn)行對接，南向通過OpenFlow/OVSDB/NetConf等標(biāo)準(zhǔn)API兼容包括第三方的網(wǎng)絡(luò)及安全設(shè)備、NFV產(chǎn)品，確保云安全體系更為靈活、更為全面。

5. 靈活的安全云服務(wù)

隨著云計(jì)算和移動互聯(lián)網(wǎng)的蓬勃發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)量爆炸式增長。安全管理員在利用流量日志來分析安全威脅的時(shí)候很容易淹沒在大量的“噪音”數(shù)據(jù)中，很難發(fā)現(xiàn)日志中存在的高風(fēng)險(xiǎn)異?，F(xiàn)象或趨勢。云安全體系可通過安全資源池海量網(wǎng)絡(luò)流量、日志、告警、狀態(tài)、異常數(shù)據(jù)信息綜合采集和分析，輸出網(wǎng)絡(luò)安全報(bào)表，比如TOP N攻擊，基于地址或者應(yīng)用的丟包TOP N，基于地址或者應(yīng)用的連接數(shù)TOP N，過去小時(shí)、1天甚至1個(gè)月的會話新建和并發(fā)統(tǒng)計(jì)數(shù)報(bào)表等，讓網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)數(shù)據(jù)了如指掌，主動感知網(wǎng)絡(luò)安全態(tài)勢，利用SDN控制器機(jī)群統(tǒng)一的安全策略下發(fā)和控制，動態(tài)實(shí)時(shí)更新學(xué)習(xí)安全策略和修復(fù)網(wǎng)絡(luò)。云安全體系還提供在線病毒和特征庫升級以及緊急風(fēng)險(xiǎn)策略同步，有效防御0-day攻擊，提供智能靈活的云安全服務(wù)。

四、 結(jié)束語

云計(jì)算模式當(dāng)前已得到業(yè)界普遍認(rèn)同，成為信息技術(shù)領(lǐng)域新的發(fā)展方向。隨著云計(jì)算的大量應(yīng)用，云環(huán)境的安全問題也日益突出。在云計(jì)算時(shí)代，每天新增的數(shù)據(jù)量非常巨大，需要處理的數(shù)據(jù)成倍增加，各應(yīng)用也相應(yīng)的在千變?nèi)f化，因此，建立自動化、虛擬化、可動態(tài)彈性伸縮的云安全防護(hù)體系已經(jīng)是大勢所趨，同時(shí)伴隨SDN和NFV技術(shù)的不斷演進(jìn)，SDN及NFV技術(shù)也將不斷完善云安全的防護(hù)體系，最終促使云計(jì)算得以更加健康、有序的發(fā)展。

原文鏈接：http://www.h3c.com.cn/About_H3C/Company_Publication/IP_Lh/2015/02/Home/Catalog/201506/873175_30008_0.htm