SDN&NFV:构建弹性灵活的云安全体系
随着云计算、虚拟化、SDN以及NFV等新技术的发展,传统硬件设备对应用所需要的灵活性、动态性、可调度性支持的缺失,使人们更多的希望通过新技术来解决这些问题,基于SDN和NFV的云安全防护体系能够满足应用对这些特性的需求,该体系在客户侧大规模部署建设是公认的技术发展方向,是大势所趋。SDN及NFV技术,其出色的灵活性和可定义的特性,非常符合计算虚拟化环境下的网络支撑需求,业界都在讨论如何利用其架构及技术特点来解决云计算存在的安全问题。
一、 云计算面临的安全挑战
云计算、虚拟化等新技术的发展,带来了新一轮的IT技术变革,赋予了应用灵活性、扩展性、快速交付,但同时也给网络与业务带来巨大的挑战,比如需要网络能够支持面向应用的二层环境,策略能够根据应用变化而调整,网络服务模式需要从传统的连接服务转向面向应用的网络交付,新型应用如社交网络、在线大流量视频以及创新的服务模式如物联网、大数据的出现,对网络安全提出了更高的要求。传统的安全部署模式在管理性、伸缩性、业务快速升级等方面逐渐表现出对业务支撑能力的不足:
- 基于拓扑的局部安全部署,串联设备性能差异巨大,木桶效应明显;
- 分散的设备策略配置管理,对管理员安全技能高;
- 安全规则复杂,手工配置和维护困难;
- 安全能力无法动态复用,资源浪费明显;
- 物理安全设备容易成为“拥塞点”和性能瓶颈;
- 物理安全设备对虚拟机东西向流量不可见,无法实施有效安全策略管理;
- 物理安全设备特性开发部署周期长,不能随着应用需求的变化而快速调整;
- 物理安全设备大都是封闭、固化的,不能动态伸缩,部署初期资源浪费,后期网络拓展困难。
二、 SDN&NFV云安全体系架构
针对云计算所带来的安全挑战,SDN和NFV作为新一代网络技术,既可通过独自层面去解决不同的网络问题、满足不同角度的业务需求,又能够紧密结合,实现网络灵活调度、动态扩展、按需快速交付,产生更大的价值,最大程度地满足用户对业务部署的要求。
根据ONF(Open Network Foundation)的SDN分层体系[1],SDN Fabric网络实现了控制与转发分离、软硬件解耦,转发层面由支持OpenFlow及Overlay等核心技术的网络硬件设备组成,控制则由软件控制集群及硬件设备的操作系统完成。同时,H3C创新性的将NFV Manager[2]以APP的形式集成VCFC控制集群上,可实现SDN控制器集群对NFV的定义、NFV的自动化部署及NFV资源池的弹性伸缩等生命周期控制管理。
融合SDN及NFV技术的云安全体系如图1所示,基础硬件层和物理抽象层不仅包括运行NFV的物理服务器,还同时包括物理安全设备、嵌入安全的vSwitch物理服务器、支持虚拟化的安全物理设备等设施,对应SDN架构中的数据转发层面;NFV操作系统、设备的操作系统与上层应用组成业务控制层面。
图1. 基于SDN和NFV的云安全体系
该体系按功能区域可分为以下几个方面。
- 云计算接入安全:通过H3C首创的嵌入式安全vSwitch,形成基于状态的安全防护体系。
- 云计算出口安全:支持虚拟化的高性能安全物理设备、灵活的NFV技术等最大化满足公有云的安全防护及网络安全业务需求。
- 云计算互访安全:面对虚拟化、复杂的云计算东西向流量和南北向流量,云安全资源池可实现对不同租户计算、相同租户下不同计算互访的安全需求,例如防火墙、IPS、负载均衡、DPI等业务。通过SDN控制器集群实现安全业务的按需动态部署及自动化弹性伸缩,达到云计算安全业务的自动化交付、简化管理。
- 云计算VCFC控制器集群:作为云安全体系的控制大脑,VCFC控制器集群不仅负责基于SDN Fabric部署Overlay虚拟化网络创建、流量转发与维护等的管理,还要负责完成对云计算安全业务的动态部署、NFV生命周期管理等,并提供丰富的北向API,完成和云管理平台的无缝对接。
三、 云安全体系特点及价值
SDN以控制和转发分离思想为基础,通过各种标准南北向开放接口为手段,实现网络灵活适配应用,NFV利用虚拟化技术,通过标准X86服务器运行防火墙、IPS、LB等网络安全业务,并形成资源池化,让网络不再依赖于专用硬件,从而使云安全体系的安全业务能够“弹性扩展”、“快速交付”、“统一部署”,并解决传统安全部署时的“拓扑依赖”问题。
1. 可定义、自适应的安全
SDN通过控制和转发分离,将控制层面从转发设备上分离出来,从而使得网络具备软件灵活定义网络的能力基础。网络管理员可以方便的定义基于网络流的安全控制策略,并让这些安全策略应用到各种网络设备中,从而实现整个网络通讯的安全控制。
SDN网络可以实现基于流的调度,网络管理员可以静态配置或者动态生成引流规则,将报文牵引到不同的安全设备上进行处理。与传统的基于IP包的转发规则,基于流的调度使安全服务和管控更加细粒度,提升安全服务的防护效率和准确性。
基于控制器的软件编程能力,网络管理员通过安全APP方式或者安全模板的方式提供安全即服务SaaS,安全设备自动化配置运维管理,使得安全设备运行维护任务可以更有效、更低成本、更快速的自动化,从而降低安全运维和学习成本,同时提高安全防护的及时性和效率,如图2所示。
- 网络管理员、安全管理员,在控制器集群上完成策略模板的创建和配置;
- 用户通过云平台自定义安全服务;
- 控制器集群向云操作系统OpenStack呈现统一的安全策略服务目录;
- 云/数据中心用户通过云操作系统OpenStack定制资源,选择相应的安全服务,控制器集群完成策略下发(包括流量牵引、安全服务组件的创建);
- 云的租户只关注业务需要匹配的安全模板,无需关注安全策略如何实现。
2. 安全策略统一全局可管理性
SDN控制器集群通过对各种物理安全设备和NFV网元进行抽象,将原先离散的、异构的设备形成统一的逻辑安全资源池。这样,控制器集群可以用全局视野,对所有安全资源进行统一调度,并通过“安全服务链”实现流量检测路径规划,提供与拓扑无关的全局安全策略。
SDN控制器集群具备全局视野,掌握整个管理域范围内的流信息,因此,可以实现分布式安全设备的协同工作。比如在IPS检测点发现DDOS攻击,可以立刻通知控制器集群在接入侧(如嵌入式安全vSwitch)生成一条动态黑名单或者防火墙策略,将特定攻击报文丢弃,从而使恶意流量在源端即被遏制,提升安全防护效率。
全局安全资源池可以实现安全资源的动态复用和弹性扩展。这样,在网络部署初期不需要为未来的扩展而预留不必要的安全设备,而且可以通过虚拟设备做到一机多用,减少安全设备的数量和投入成本。当安全设备性能不足时,可以在资源池中新增相应的逻辑安全资源,SDN控制器集群根据HASH引流规则,将不同的流量分担到不同的安全资源上处理,实现资源的弹性扩展,如图3所示。
图3. 安全服务链
不同VM之间的流量通过不同的“安全服务链”:
- “安全服务链”实现流量路径规划
- 安全资源池化与物理拓扑无关
- 构建统一的安全池
- 安全资源池弹性扩展
3. 安全自动化快速部署、弹性扩展
云计算业务的多样化以及快速变化的特点,对安全业务也提出了灵活性要求,传统安全设备内置的业务及业务流程相对固定,无法随着应用需求的变化而变化,而基于SDN和NFV技术的结合可完美地实现安全业务的灵活定义、按需快速部署、弹性扩展。
NFV技术通过将设备的硬件和软件解耦,可将传统设备提供的安全业务功能分解成一个个VNF单元,通过云平台或SDN VCFC控制器集群对NFV资源池、安全设备、网络设备及vSwitch上的业务进行统一管理,根据应用需求、业务流量特点定义不同的业务链,实现不同业务流经过不同安全单元进行差异化处理,并通过模板化方式实现各种复杂的业务快速部署。
如图4所示北向南流量部署安全业务为例进行说明。
图4. 基于SDN和NFV的云安全体系
NFV资源弹性部署
通过VCFC控制器集群不仅可创建并对服务器动态下发NFV资源节点,如vFW、vNAT、vIPS、vDPI、vLB等,同时针对支持虚拟化的安全设备,可动态创建虚拟FW、虚拟LB等,实现不同租户、同一租户不同应用的云安全业务部署。
嵌入式安全
VCFC控制器集群基于虚拟化技术抽象定义出VNF安全业务,下发至SDN Fabric网络的接入vSwitch及统一出口网关设备,满足不同租户、同一租户不同业务的云计算在接入层面、出口层面的安全业务需求。
嵌入VNF安全业务在云计算环境中,对同一服务器内部众多的东西向流量可提供有效的安全防护,这点极为重要,因为这些二层交换可以不经过外部的物理交换机,传统网络安全设备方案难以满足防护需求。同时,嵌入VNF安全业务是基于状态的,能够对东西向流量进行安全策略和TCP状态检查。
在虚拟环境中,VM的迁移非常常见,因此安全防护策略需要跟随VM迁移实现自动防护;当虚拟机迁移,VNF中对VM的引流策略以及相关的安全策略要能够自动迁移到新主机,确保VM安全防护策略不因迁移而发生变化
业务安全自动化
基于SDN Fabric的云安全体系,通过VCFC控制器集群部署的NFV资源、VNF安全业务自动关联至对应的租户或租户的业务流量,实现服务链的自动部署。
4. 南北向API的全面、兼容性
SDN和NFV的技术设计是开放的,决定云安全体系也是一个开放的体系,易于形成集百家之长、开放融合的体系。SDN&NFV云安全体系各组件秉承标准、开放、端到端的理念,提供全面丰富、灵活的南向接口及北向接口,如图5所示。
图5. 云安全体系南北向API图
通过开放融合的体系,基于SDN和NFV构建的云安全体系能够融入更多的第三方SDN APP和NFV,北向通过Restful API可与独立第三方云平台进行对接,南向通过OpenFlow/OVSDB/NetConf等标准API兼容包括第三方的网络及安全设备、NFV产品,确保云安全体系更为灵活、更为全面。
5. 灵活的安全云服务
随着云计算和移动互联网的蓬勃发展,网络数据量爆炸式增长。安全管理员在利用流量日志来分析安全威胁的时候很容易淹没在大量的“噪音”数据中,很难发现日志中存在的高风险异常现象或趋势。云安全体系可通过安全资源池海量网络流量、日志、告警、状态、异常数据信息综合采集和分析,输出网络安全报表,比如TOP N攻击,基于地址或者应用的丢包TOP N,基于地址或者应用的连接数TOP N,过去小时、1天甚至1个月的会话新建和并发统计数报表等,让网络管理员对网络数据了如指掌,主动感知网络安全态势,利用SDN控制器机群统一的安全策略下发和控制,动态实时更新学习安全策略和修复网络。云安全体系还提供在线病毒和特征库升级以及紧急风险策略同步,有效防御0-day攻击,提供智能灵活的云安全服务。
四、 结束语