SDN(軟件定義網(wǎng)絡(luò))靈活的流量調(diào)度能力和開放的可編程能力，結(jié)合NFV(網(wǎng)絡(luò)功能虛擬化)的網(wǎng)絡(luò)功能管理和服務(wù)編排，構(gòu)建一個(gè)完整的、開放的虛擬化網(wǎng)絡(luò)平臺(tái)。將此安全架構(gòu)與云平臺(tái)進(jìn)行對(duì)接，通過兩個(gè)控制平臺(tái)層面的交互，實(shí)現(xiàn)資產(chǎn)以及防護(hù)策略的一致性，然后通過網(wǎng)絡(luò)將資源層打通，實(shí)現(xiàn)流量的靈活調(diào)度，完成整個(gè)虛擬化環(huán)境的安全防護(hù)。

一、背景

云計(jì)算近年來已經(jīng)得到了眾多用戶的認(rèn)可，很多客戶已經(jīng)或者正在規(guī)劃將其業(yè)務(wù)系統(tǒng)進(jìn)行不同規(guī)模的云化。在這個(gè)過程中，除了用戶廣泛關(guān)注的云計(jì)算系統(tǒng)的穩(wěn)定性、性能、隔離等問題之外，云上業(yè)務(wù)的安全性也是越來越受到用戶的重視。

從管理模式上看，傳統(tǒng)的IT系統(tǒng)通常有著唯一的運(yùn)營使用單位，這樣系統(tǒng)提供方和用戶之間就有了清晰的安全職責(zé)劃分，一旦系統(tǒng)出現(xiàn)安全隱患或者安全事件，會(huì)有明確的責(zé)任人處置。在云計(jì)算的這種以服務(wù)為核心的模式下，整個(gè)IT系統(tǒng)會(huì)面臨云服務(wù)提供方、云租戶和云用戶多方的關(guān)系，如何明確各自的職責(zé)，是確保云計(jì)算系統(tǒng)安全的一個(gè)重要的前提。

[[214126]]

從技術(shù)上看，云計(jì)算采用資源池化的方式為用戶提供服務(wù)，用戶的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源，都能夠根據(jù)具體的需求進(jìn)行動(dòng)態(tài)的擴(kuò)容和收縮，這樣傳統(tǒng)的安全集中投入的方式就很難滿足云計(jì)算中資源的按需擴(kuò)展需求。另外，不同租戶對(duì)安全的需求也存在很大的差異化，如何滿足這種差異化的安全服務(wù)需求也是一項(xiàng)很大的挑戰(zhàn)。

除此之外，在虛擬化環(huán)境中，現(xiàn)有的物理安全機(jī)制可能根本無法檢測(cè)到惡意攻擊。如下圖所示，虛擬機(jī)vm1和vm2是同一租戶同一子網(wǎng)的兩臺(tái)虛擬主機(jī)，存在于同一臺(tái)物理主機(jī)內(nèi)，那么兩者之間的通信僅存在于vm1、虛擬交換機(jī)vSwitch和vm2之間，流量根本就不會(huì)出宿主機(jī)，那么惡意的流量自然也就無法被外部的安全設(shè)備所識(shí)別到。

如果虛擬機(jī)之間通信的數(shù)據(jù)包出了宿主機(jī)，現(xiàn)有的安全機(jī)制就能解決云中網(wǎng)絡(luò)的安全問題了嗎?也未必。下面這張圖展示的是通常云計(jì)算系統(tǒng)的一個(gè)簡易的部署邏輯圖，在云網(wǎng)絡(luò)中，通常是通過vlan + vxlan/gre這種方式實(shí)現(xiàn)租戶隔離的，那么當(dāng)同一子網(wǎng)的兩臺(tái)虛擬主機(jī)vm1和vm4在不同的物理主機(jī)內(nèi)，雖然兩者之間的通信會(huì)經(jīng)過外部的防火墻，但由于物理主機(jī)之間通過隧道相連，如果防火墻只是簡單的部署在物理交換機(jī)一側(cè)，那么它只能看到vm1到vm2的數(shù)據(jù)包，而不能去掉隧道的頭部，解析vm1到vm2的流量。

從上述兩個(gè)場景可以看出，單從技術(shù)的角度來看，傳統(tǒng)的安全設(shè)備、安全防護(hù)方案在云計(jì)算這種新的計(jì)算模式下，是無法實(shí)現(xiàn)網(wǎng)絡(luò)安全的檢測(cè)和防護(hù)的。

從法律和合規(guī)的角度看，國內(nèi)外的云安全標(biāo)準(zhǔn)機(jī)構(gòu)近年來也是陸續(xù)發(fā)布了多個(gè)云安全的相關(guān)標(biāo)準(zhǔn)，比如云安全聯(lián)盟(CSA)發(fā)布的《身份管理與接入控制指導(dǎo)建議書》(白皮書)、《如何保護(hù)云數(shù)據(jù)》(白皮書)，美國國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)發(fā)布的《云計(jì)算安全障礙與緩和措施》(標(biāo)準(zhǔn)草案)、《公共云計(jì)算中安全域隱私》(標(biāo)準(zhǔn)草案)，CSA大中華區(qū)C-STAR Tech標(biāo)準(zhǔn)工作組發(fā)布的《云計(jì)算安全技術(shù)要求》(草案)，以及國內(nèi)等保標(biāo)準(zhǔn)里的《信息系統(tǒng)安全等級(jí)保護(hù) 云計(jì)算安全擴(kuò)展要求》(草案)、《信息系統(tǒng)安全等級(jí)保護(hù) 云計(jì)算安全擴(kuò)展測(cè)評(píng)要求》(草案)等。如何建設(shè)云計(jì)算系統(tǒng)的安全措施，保證符合法律和合規(guī)的要求，也是用戶業(yè)務(wù)云化面臨的一個(gè)重要的問題。

國內(nèi)外云安全標(biāo)準(zhǔn)機(jī)構(gòu)

那么回到安全本身，從攻防的角度來看，云安全和傳統(tǒng)的安全其實(shí)并沒有本質(zhì)的區(qū)別，傳統(tǒng)安全面臨的最大挑戰(zhàn)是需要保護(hù)資產(chǎn)的動(dòng)態(tài)性、軟件化、移動(dòng)化使得以往固定的環(huán)境會(huì)隨著業(yè)務(wù)和環(huán)境的變更而快速變化。

面對(duì)云環(huán)境中常態(tài)化的變化問題，安全機(jī)制部署和安全策略配置完畢后長期不變的時(shí)代將一去不復(fù)返。安全方案也要能夠隨著云環(huán)境中計(jì)算和網(wǎng)絡(luò)相關(guān)資源的變化而動(dòng)態(tài)調(diào)整，主要體現(xiàn)在：

• 安全設(shè)備的形態(tài)需要發(fā)生變化;
• 如何在虛擬化的網(wǎng)絡(luò)內(nèi)部部署相應(yīng)的安全機(jī)制;
• 能夠根據(jù)需求，進(jìn)行按需分配;
• 能夠自動(dòng)化的進(jìn)行動(dòng)態(tài)擴(kuò)容和收縮;

二、軟件定義

1. SDN

軟件定義網(wǎng)絡(luò)(Software Defined Networking，SDN)提出了一種全新的網(wǎng)絡(luò)架構(gòu)，能夠通過邏輯上集中的控制平面，實(shí)現(xiàn)網(wǎng)絡(luò)管理、控制的集中化、自動(dòng)化。那么SDN和安全又有什么樣的關(guān)系呢?

要解答這個(gè)問題，我們首先來看一下SDN的本質(zhì)，SDN是一種架構(gòu)，一種思想。根據(jù)這種思想可以總結(jié)出三個(gè)本質(zhì)的屬性：控制與轉(zhuǎn)發(fā)分離、集中化的網(wǎng)絡(luò)控制、開放的編程接口。

控制與轉(zhuǎn)發(fā)分離，使得邏輯上集中的控制平面能夠擁有全網(wǎng)的完整視圖，這樣控制平面就能夠看到任何正常的、或者不正常的流量;集中化的網(wǎng)絡(luò)控制，使得控制平面能夠控制任何流量能走、不能走、怎么走;開放的編程接口能夠?qū)⑸鲜鏊械牟僮鲗?shí)現(xiàn)可編程以及自動(dòng)化。這樣看來，SDN天然的就為網(wǎng)絡(luò)的安全問題提出了很好的解決辦法。當(dāng)然，斯坦福大學(xué)最初提出OpenFlow也是在某種程度上為了解決安全問題。

下面這張圖是盛科網(wǎng)絡(luò)早期的時(shí)候提出的一種基于SDN的安全解決方案，在該方案中，將SDN交換機(jī)部署至機(jī)房入口路由的位置，方案中將其作為LB使用。IDS、IPS、FW等安全設(shè)備全部連接到這個(gè)SDN交換機(jī)上，SDN控制器根據(jù)需求，向交換機(jī)下發(fā)相應(yīng)的流表策略，使特定的流量經(jīng)過特定的安全設(shè)備進(jìn)行安全檢測(cè)/防護(hù)。當(dāng)然這種方案還可以將同一條流依次調(diào)度到不同的安全設(shè)備，實(shí)現(xiàn)安全服務(wù)鏈。

2. NFV

傳統(tǒng)的網(wǎng)絡(luò)服務(wù)，通常是采用各種各樣的私有專用網(wǎng)元設(shè)備實(shí)現(xiàn)不同的網(wǎng)絡(luò)/安全功能，比如深度包檢測(cè)DPI設(shè)備、防火墻設(shè)備、入侵檢測(cè)設(shè)備等。網(wǎng)絡(luò)功能虛擬化(Network Function Virtualization，NFV)利用IT虛擬化技術(shù)，將現(xiàn)有的各類網(wǎng)絡(luò)設(shè)備功能，整合進(jìn)標(biāo)準(zhǔn)的IT設(shè)備，如高密度服務(wù)器、交換機(jī)、存儲(chǔ)等，通過管理控制平面，實(shí)現(xiàn)網(wǎng)絡(luò)/安全功能的自動(dòng)化編排。下圖是歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)(ETSI)為NFV制定的參考架構(gòu)，從圖中可以看出，該參考架構(gòu)將NFV基本分為了三層：NFV-I(Infrastructure)，VNF-M(Manager)和NFV-O(Orchestrator)。

NFV-I提供了虛擬化網(wǎng)絡(luò)功能(Virtualized Network Function，VNF)運(yùn)行所必須的基礎(chǔ)設(shè)施，通常這些基礎(chǔ)設(shè)施是在硬件的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)之上，利用虛擬化技術(shù)形成的虛擬化資源，這些虛擬化資源通過虛擬化基礎(chǔ)設(shè)施管理模塊(Virtualized Infrastructure Managers，VIM)進(jìn)行管理和分配。得益于云計(jì)算IaaS體系的發(fā)展和完善，NFV-I可以通過OpenStack、VMware、AWS等云計(jì)算平臺(tái)來進(jìn)行集成實(shí)現(xiàn)。

VNF-M即各種虛擬化的網(wǎng)絡(luò)功能層，通過VNF+EMS實(shí)現(xiàn)多種虛擬網(wǎng)元的網(wǎng)絡(luò)功能，這些VNFs由VNF-M進(jìn)行統(tǒng)一的管理。NFV-I我們可以理解為是一個(gè)基礎(chǔ)設(shè)施的資源池，那么VNFs就是一個(gè)虛擬的網(wǎng)絡(luò)功能資源池。

NFV-O是最上面的業(yè)務(wù)層，根據(jù)OSS/BSS的業(yè)務(wù)邏輯和業(yè)務(wù)需求，NFV-O動(dòng)態(tài)的對(duì)下層的VNFs進(jìn)行編排，以滿足業(yè)務(wù)系統(tǒng)對(duì)不同網(wǎng)絡(luò)功能的需求。

VNF-M和NFV-O共同組成了NFV架構(gòu)中的管理編排域，簡稱為MANO，MANO負(fù)責(zé)對(duì)整個(gè)NFV-I資源的管理和編排，負(fù)責(zé)業(yè)務(wù)網(wǎng)絡(luò)和NFV-I資源的映射和關(guān)聯(lián)，負(fù)責(zé)OSS業(yè)務(wù)資源流程的實(shí)施等，MANO內(nèi)部包括VIM，VNF-M和Orchestrator三個(gè)實(shí)體，分別完成對(duì)NFV-I，VNFs和NS(Network Service)三個(gè)層次的管理。

下圖是OSM(Open Source MANO)技術(shù)白皮書中對(duì)于MANO在NFV架構(gòu)中位置的描述，其中紅色的部分為MANO的實(shí)現(xiàn)。

從上面的描述和SDN/NFV的架構(gòu)可以看出，NFV更多強(qiáng)調(diào)的是網(wǎng)絡(luò)功能的管理和服務(wù)編排(MANO)，其重點(diǎn)應(yīng)該是在功能層面。而SDN更強(qiáng)調(diào)的是集中化的網(wǎng)絡(luò)管理和控制，重點(diǎn)應(yīng)該是在流量層面。

SDN和NFV之間并不存在依賴關(guān)系，可以相互獨(dú)立的部署運(yùn)行。但是二者之間又有著很強(qiáng)的互補(bǔ)性，SDN靈活的流量調(diào)度能力和開放的可編程能力，可以使NFV的部署性能增強(qiáng)，簡化互操作性;NFV又能為SDN的應(yīng)用提供良好的使用場景和基礎(chǔ)設(shè)施支持。這樣二者融合在一起，就可以實(shí)現(xiàn)一個(gè)完整的、開放的虛擬化網(wǎng)絡(luò)平臺(tái)。

3. 基于SDN/NFV的安全架構(gòu)

基于SDN/NFV技術(shù)，可以構(gòu)建一個(gè)完整的、開放的虛擬化網(wǎng)絡(luò)平臺(tái)，那么能否在此基礎(chǔ)上，整合構(gòu)建出一個(gè)虛擬化的安全解決方案呢?答案當(dāng)然是肯定的。

如下圖所示，就是一種基于SDN/NFV的安全方案架構(gòu)圖，除去計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等硬件基礎(chǔ)設(shè)施之外，整個(gè)架構(gòu)自底向上共分為資源池、安全控制平臺(tái)和安全應(yīng)用三個(gè)層次。

資源池是各種安全防護(hù)功能的集合，具體可以包括但不限于：(1)安全預(yù)防類功能：系統(tǒng)漏洞掃描(vRSAS)、web漏洞掃描(vWVSS)等;(2)安全檢測(cè)類功能：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(vNIDS)、網(wǎng)絡(luò)流量分析系統(tǒng)(vNTA)等;(3)安全防護(hù)類功能：網(wǎng)絡(luò)入侵防御系統(tǒng)(vNIPS)、下一代防火墻(vNF)等;(4)安全響應(yīng)類功能：安全審計(jì)系統(tǒng)(vSAS)、堡壘機(jī)等。

在設(shè)備形態(tài)上，安全資源池內(nèi)的安全功能既可以是依托虛擬化的安全設(shè)備(VNFs)，也可以是傳統(tǒng)的硬件安全設(shè)備;在基礎(chǔ)設(shè)施層面，既可以采用獨(dú)立的安全節(jié)點(diǎn)進(jìn)行部署，也可以依托OpenStack、VMware、FusionSphere等云計(jì)算IaaS平臺(tái)。具體可參考下面的示意圖。

安全控制平臺(tái)則包括了NFV架構(gòu)中的VI-M、VNF-M和NFV-O，具體到功能層面和NFV架構(gòu)中的類似，比如VI-M用來管理安全資源池的基礎(chǔ)設(shè)施資源，同時(shí)負(fù)責(zé)跟網(wǎng)絡(luò)系統(tǒng)的SDN控制器進(jìn)行對(duì)接;通過VNF-Manager/Agent的方式，實(shí)現(xiàn)各個(gè)安全功能的管理;通過NFV-O提供北向的應(yīng)用接口。

安全應(yīng)用則根據(jù)安全控制平臺(tái)提供的接口，實(shí)現(xiàn)多種安全服務(wù)，這里拿上述架構(gòu)中的三類安全應(yīng)用舉例來簡要說明。

首先就是單個(gè)的安全功能應(yīng)用(Sec APP)，比如web防護(hù)，用戶通過這個(gè)應(yīng)用，直接配置需要防護(hù)網(wǎng)站的域名、勾選相應(yīng)的防護(hù)策略，實(shí)現(xiàn)安全功能的服務(wù)化。其次就是安全大數(shù)據(jù)的應(yīng)用，通過安全控制平臺(tái)收集的日志、告警等信息，實(shí)現(xiàn)態(tài)勢(shì)感知、數(shù)據(jù)分析等內(nèi)容。最后就是安全服務(wù)編排，依托安全控制平臺(tái)的NFV-O編排器，根據(jù)安全防護(hù)需求，制定相應(yīng)的安全編排策略。

三、云安全實(shí)踐

那么這種基于SDN/NFV的安全架構(gòu)應(yīng)該怎么樣來集成到業(yè)務(wù)系統(tǒng)進(jìn)行安全防護(hù)呢?要回答這個(gè)問題，我們先把使用場景分為兩類：(1)云計(jì)算、軟件定義數(shù)據(jù)中心這類的系統(tǒng)/平臺(tái);(2)NFV系統(tǒng)。

對(duì)于第一類場景，可以直接將上述安全架構(gòu)和云平臺(tái)進(jìn)行對(duì)接，通過兩個(gè)控制平臺(tái)層面的交互，實(shí)現(xiàn)資產(chǎn)以及防護(hù)策略的一致性，然后通過網(wǎng)絡(luò)將資源層打通，實(shí)現(xiàn)流量的靈活調(diào)度，完成整個(gè)虛擬化環(huán)境的安全防護(hù)。

對(duì)于第二類場景，一方面，可以按照第一類場景的方式進(jìn)行設(shè)計(jì)，即兩個(gè)控制平臺(tái)進(jìn)行對(duì)接;另一種方式則是將安全資源池集成到NFV的VNFs內(nèi)部，與NFV共用VI-M、VNF-M和NFV-O，這樣的話安全和網(wǎng)絡(luò)就實(shí)現(xiàn)了深度的整合，同時(shí)也帶來了高耦合的風(fēng)險(xiǎn)問題。

下面我們從第一個(gè)場景著手，看一下綠盟科技是如何設(shè)計(jì)其安全解決方案的。如下圖所示，是方案的整體架構(gòu)圖，主要分為4個(gè)部分，最下面的VNFs，也就是安全的資源池，這里的安全功能提供者既可以是綠盟的設(shè)備，也可以是第三方廠商的設(shè)備，設(shè)備之間通過SDN網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)。SIEM系統(tǒng)主要是用來收集下層安全設(shè)備的日志和告警等信息，提供威脅分析的數(shù)據(jù)來源。安全資源池控制器一方面負(fù)責(zé)VNFs的管理控制，同時(shí)還負(fù)責(zé)與云平臺(tái)進(jìn)行適配。最上面是云安全管理平臺(tái)的門戶，為用戶提供安全服務(wù)和運(yùn)維服務(wù)等多個(gè)使用門戶。

綠盟科技云安全解決方案為用戶云上業(yè)務(wù)提供預(yù)防(RSAS、BVS等)、檢測(cè)(NIDS等)、保護(hù)(NIPS、NF等)和響應(yīng)(SAS、ESP等)全系列的安全服務(wù)。近年來，先后在政府、金融、能源、教育、運(yùn)營商等眾多行業(yè)落地應(yīng)用，解決了用戶南北向和東西向流量安全問題。

如下圖所示，為某運(yùn)營商提供南北向和東西向安全服務(wù)，綠盟云安全管理平臺(tái)與客戶云計(jì)算系統(tǒng)對(duì)接，通過外置安全資源池和內(nèi)置資源池結(jié)合的方式，將南北向流量和東西向流量進(jìn)行調(diào)度，完成安全檢測(cè)和防護(hù)。

四、總結(jié)

云計(jì)算越來越多的得到人們的認(rèn)可，隨之而來的就是其安全問題也是引起了更多人的關(guān)注。從今年的互聯(lián)網(wǎng)安全大會(huì)我們可以看出，兩個(gè)云安全分論壇，三分之一左右的參展商是解決云安全問題的，其中很大的比重是創(chuàng)業(yè)公司，排除商業(yè)因素，單從創(chuàng)業(yè)公司的著手點(diǎn)也可以看出，云安全在整個(gè)安全行業(yè)所占的比重也是越來越大的。

云計(jì)算系統(tǒng)較傳統(tǒng)的IT系統(tǒng)，既涉及到管理模式、服務(wù)模式的創(chuàng)新，同時(shí)又涉及到虛擬化、隔離等技術(shù)層面的創(chuàng)新，因此其安全的著手點(diǎn)也是千姿百態(tài)。本文主要針對(duì)云上業(yè)務(wù)的安全，分析并展示了基于SDN/NFV技術(shù)的云安全實(shí)踐方案。

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文