基于SDN技術(shù)的多區(qū)域安全云計(jì)算架構(gòu)

王 剛

(網(wǎng)神信息技術(shù)(北京)股份有限公司 北京 100085)

?

基于SDN技術(shù)的多區(qū)域安全云計(jì)算架構(gòu)

王 剛

(網(wǎng)神信息技術(shù)(北京)股份有限公司 北京 100085)

(wanggang@legendsec.com)

提出了一種在云計(jì)算環(huán)境中實(shí)施云安全防護(hù)的方案.方案在原有的業(yè)務(wù)云之外，用云技術(shù)建設(shè)安全云，在業(yè)務(wù)云中部署安全代理，通過(guò)軟件定義的網(wǎng)絡(luò)技術(shù)連接業(yè)務(wù)云、安全云和安全代理，并且通過(guò)安全代理把業(yè)務(wù)云動(dòng)態(tài)劃分為邏輯隔離的多個(gè)業(yè)務(wù)區(qū)域.不同業(yè)務(wù)的數(shù)據(jù)在業(yè)務(wù)子云之間隔離，提升了安全性，而各業(yè)務(wù)子云仍可通過(guò)安全的途徑共享整個(gè)業(yè)務(wù)云的資源，享受云計(jì)算的優(yōu)勢(shì).方案不依賴于業(yè)務(wù)云的實(shí)現(xiàn)方式，除近乎初始零配置的安全代理外，不改變業(yè)務(wù)云的軟硬件結(jié)構(gòu)，具有易部署、易維護(hù)、安全性更高等特點(diǎn).

云計(jì)算；云安全；安全代理；安全云；軟件定義的網(wǎng)絡(luò)；安全即服務(wù)

云計(jì)算以資源的形式向用戶提供計(jì)算、存儲(chǔ)等能力，用戶不必關(guān)心這些資源存放在哪里、怎么提供的，而是按需使用，因其建設(shè)、使用、維護(hù)成本遠(yuǎn)低于傳統(tǒng)方案而受到用戶的歡迎，相關(guān)技術(shù)與應(yīng)用一直在快速發(fā)展，其中安全技術(shù)是被關(guān)注的焦點(diǎn)問(wèn)題之一.國(guó)內(nèi)外多家調(diào)查機(jī)構(gòu)調(diào)查顯示，云計(jì)算的安全問(wèn)題已經(jīng)成為影響用戶采用云計(jì)算的首要因素[1].

云計(jì)算的安全問(wèn)題大體可分為2類：第1類是傳統(tǒng)的安全問(wèn)題，因用戶、設(shè)備、系統(tǒng)等部署在云環(huán)境中而需要新的防護(hù)手段;第2類是云計(jì)算技術(shù)引入的新安全問(wèn)題.本文不涉及第2類問(wèn)題，重點(diǎn)討論如何在云環(huán)境中解決第1類問(wèn)題.傳統(tǒng)的安全問(wèn)題之所以在云環(huán)境中有不同的表現(xiàn)，一方面是虛擬化等技術(shù)導(dǎo)致增加了安全設(shè)備識(shí)別云計(jì)算環(huán)境中的用戶、設(shè)備、系統(tǒng)等信息的難度，另一方面是通常伴隨著云計(jì)算的數(shù)據(jù)太集中，帶來(lái)了新的安全風(fēng)險(xiǎn).

目前，云計(jì)算的熱潮已經(jīng)席卷全球，我國(guó)也迎來(lái)了云計(jì)算的發(fā)展高峰.為了避免概念化的空談，商務(wù)云更加關(guān)注于應(yīng)用的落地性.以傳統(tǒng)行業(yè)為基礎(chǔ)，通過(guò)商務(wù)云平臺(tái)以及合作經(jīng)營(yíng)模式為各類企業(yè)實(shí)現(xiàn)可持續(xù)增長(zhǎng)的B2BB2C行業(yè)門戶，讓云計(jì)算在我國(guó)得到切實(shí)的應(yīng)用，為我國(guó)經(jīng)濟(jì)的健康發(fā)展保駕護(hù)航.

本文提出一種在云計(jì)算環(huán)境中實(shí)施云安全防護(hù)的方案，在原有的云計(jì)算環(huán)境(本文稱其為業(yè)務(wù)云)之外，用云技術(shù)建設(shè)安全云，在業(yè)務(wù)云中部署安全代理，通過(guò)SDN[2](software defined network)技術(shù)連接業(yè)務(wù)云、安全云和安全代理，并通過(guò)安全代理把業(yè)務(wù)云動(dòng)態(tài)劃分為邏輯隔離的多個(gè)業(yè)務(wù)區(qū)域(本文稱其為業(yè)務(wù)子云)，從而把安全從業(yè)務(wù)云中剝離出來(lái)，從業(yè)務(wù)云的具體實(shí)現(xiàn)技術(shù)和部署方案中脫離出來(lái)，針對(duì)相對(duì)穩(wěn)定的業(yè)務(wù)邏輯實(shí)施防護(hù).同時(shí)，不同業(yè)務(wù)的數(shù)據(jù)在業(yè)務(wù)子云之間隔離，提升了安全性，而各業(yè)務(wù)子云仍可通過(guò)安全的途徑共享整個(gè)業(yè)務(wù)云的資源，享受云計(jì)算的優(yōu)勢(shì).

1 本文方案概論

如圖1所示，本文方案包含如下組成部分：業(yè)務(wù)云、業(yè)務(wù)子云、安全代理、安全云和管理中心.

圖1 基于SDN技術(shù)的多區(qū)域安全云計(jì)算架構(gòu)

業(yè)務(wù)子云是業(yè)務(wù)云的一部分，用于提供一種或多種相關(guān)的業(yè)務(wù).業(yè)務(wù)子云之間通過(guò)安全代理實(shí)現(xiàn)邏輯隔離.

安全代理是實(shí)現(xiàn)邏輯隔離的關(guān)鍵設(shè)備，包含SDN交換機(jī)核心功能和基礎(chǔ)安全功能.通過(guò)靜態(tài)或動(dòng)態(tài)配置，安全代理能夠?qū)?shù)據(jù)報(bào)文進(jìn)行檢測(cè)，能夠決定數(shù)據(jù)報(bào)文的走向，從而實(shí)現(xiàn)：1)業(yè)務(wù)子云間的邏輯隔離；2)基礎(chǔ)的安全防護(hù)；3)把流量導(dǎo)入到安全云中進(jìn)行處理.

安全云實(shí)現(xiàn)全面的安全防護(hù)功能，為業(yè)務(wù)子云和安全代理提供安全服務(wù).此外，通過(guò)安全云中的大數(shù)據(jù)分析引擎，提供增強(qiáng)的數(shù)據(jù)分析服務(wù)，實(shí)現(xiàn)更高的安全性.安全云也是基于云計(jì)算技術(shù)搭建，但不要求與業(yè)務(wù)云采用相同的技術(shù)架構(gòu).

管理中心是安全代理和安全云的控制器.管理中心理解業(yè)務(wù)云的業(yè)務(wù)邏輯和管理員的安全意圖，根據(jù)業(yè)務(wù)云的實(shí)時(shí)狀態(tài)，動(dòng)態(tài)調(diào)整安全代理和安全云的策略，分配相關(guān)資源，控制后者實(shí)現(xiàn)安全功能.

采用業(yè)務(wù)子云+安全云的多區(qū)域安全云計(jì)算架構(gòu)，主要具有以下優(yōu)勢(shì)：

1) 易部署.安全云與業(yè)務(wù)云架構(gòu)互相獨(dú)立，可在不影響業(yè)務(wù)的前提下快速部署.

2) 易維護(hù).安全代理接近初始零配置，可在秒級(jí)時(shí)間完成設(shè)備更換、功能更新、規(guī)模擴(kuò)張等維護(hù)工作.

3) 更安全.

① 業(yè)務(wù)子云之間邏輯隔離，降低業(yè)務(wù)受到的威脅；

② 安全云能夠智能感知業(yè)務(wù)云的變化，在第一時(shí)間實(shí)施合適的安全策略，避免因策略不及時(shí)而導(dǎo)致的攻擊；

③ 安全云更新技術(shù)后，整個(gè)業(yè)務(wù)云可立即獲得新的防護(hù)能力，避免因?qū)嵤┎患皶r(shí)而導(dǎo)致的攻擊；

④ 安全云通過(guò)大數(shù)據(jù)分析引擎，能夠更精準(zhǔn)地識(shí)別潛在的威脅.

4) 更靈活.把安全也作為一種服務(wù)，可以根據(jù)時(shí)間、流量、威脅狀態(tài)等多種條件提供不同的安全防護(hù)服務(wù)，而不必增加大量的冗余設(shè)備.

5) 更穩(wěn)定.安全云中不存在單點(diǎn)故障，任何設(shè)備出現(xiàn)問(wèn)題后均可切換到其他設(shè)備繼續(xù)提供服務(wù).

2 具體實(shí)施

2.1 業(yè)務(wù)子云與安全代理

本文方案不調(diào)整業(yè)務(wù)云的結(jié)構(gòu)，通過(guò)增加安全代理實(shí)現(xiàn)業(yè)務(wù)子云邏輯隔離.考慮業(yè)務(wù)云中的全部物理連接，按業(yè)務(wù)邏輯分為若干個(gè)組，對(duì)每個(gè)組的連接(Si,Ti)，把Si和Ti接入到同一個(gè)安全代理的2個(gè)網(wǎng)絡(luò)口，如圖2所示：

圖2 安全代理接入

安全代理的簡(jiǎn)化處理流程描述如下：

1) 安全代理G第1次收到來(lái)自Si的報(bào)文P時(shí)，通過(guò)接口C把報(bào)文轉(zhuǎn)到管理中心；

2) 管理中心處理報(bào)文，如合法則通知G轉(zhuǎn)發(fā)給P中的原始接收方；

3) 管理中心把連接關(guān)系(Si，Ti)及相關(guān)策略推送給G；

4)G再次收到來(lái)自Si的報(bào)文時(shí)，通過(guò)Ti轉(zhuǎn)發(fā).

每個(gè)業(yè)務(wù)子云可接入一個(gè)或多個(gè)安全代理，各安全代理的C口通過(guò)網(wǎng)絡(luò)連接到管理中心.

2.2 安全代理的實(shí)現(xiàn)

完整的安全代理基于OpenFlow[3]等SDN相關(guān)技術(shù)及安全技術(shù)實(shí)現(xiàn)，包括3個(gè)核心模塊：基于流表的流轉(zhuǎn)發(fā)模塊、安全控制模塊、安全通信模塊.

流表由一系列的〈特征，行動(dòng)，目標(biāo)〉表項(xiàng)構(gòu)成，流轉(zhuǎn)發(fā)模塊根據(jù)這些表項(xiàng)來(lái)處理報(bào)文.表1給出了特征、行動(dòng)、目標(biāo)的部分信息.特征除包含標(biāo)準(zhǔn)OpenFlow協(xié)議規(guī)定的1～4層信息外，還擴(kuò)充了應(yīng)用層和安全信息，如應(yīng)用類別、用戶信息等，從而可提供更多的安全特性.流表中的每一項(xiàng)可以包含特征中任意多項(xiàng)特征的組合.

表1 流表

收到的數(shù)據(jù)報(bào)文一旦匹配流表中的某一項(xiàng)，則按照流表表項(xiàng)指定的行動(dòng)、目標(biāo)進(jìn)行處理.典型的行動(dòng)包括丟棄、轉(zhuǎn)發(fā)、安全處理.

不能匹配流表的數(shù)據(jù)報(bào)文被轉(zhuǎn)發(fā)給管理中心處理.在大部分部署中，安全代理的初始配置只包含自身的IP地址、管理中心的IP地址，其余的配置包括流表都是空的，在運(yùn)行過(guò)程中由管理中心動(dòng)態(tài)下發(fā).

除流表外，安全代理還維護(hù)一張由管理中心下發(fā)的安全策略表.安全策略表初始也是空的，由管理中心動(dòng)態(tài)管理.安全策略表包括訪問(wèn)控制、流控、加密等策略，安全控制模塊根據(jù)這些策略對(duì)數(shù)據(jù)報(bào)文進(jìn)一步處理.通常，安全控制模塊只包含基礎(chǔ)的安全功能，把更復(fù)雜的功能交給安全云處理，但大型云計(jì)算環(huán)境中也可以選擇在安全代理中實(shí)現(xiàn)部分復(fù)雜功能.

安全通信模塊負(fù)責(zé)與管理中心間進(jìn)行安全通信，包括發(fā)送狀態(tài)信息、接收指令、安全轉(zhuǎn)發(fā)報(bào)文等.

2.3 安全云的實(shí)現(xiàn)

安全云通過(guò)云計(jì)算技術(shù)[4]構(gòu)建，為業(yè)務(wù)云和安全代理提供安全服務(wù)，包括策略服務(wù)、檢測(cè)服務(wù)、審計(jì)服務(wù)等.

2.3.1 策略服務(wù)

管理中心以服務(wù)的方式向安全代理提供策略，這樣安全代理不用預(yù)先設(shè)置策略，極大地提升了靈活性.當(dāng)安全代理G把流表和安全策略表都無(wú)法處理的數(shù)據(jù)報(bào)文P轉(zhuǎn)發(fā)給管理中心時(shí)，管理中心做2件事：其一，通過(guò)安全云完成對(duì)P的檢測(cè)，把檢測(cè)結(jié)果返回給G；其二，提取與P相關(guān)的策略，推送給G，更新G的流表和安全策略表.

管理中心需要跟蹤已推送的策略，在策略發(fā)生變化時(shí)及時(shí)通知各安全代理，同時(shí)安全代理中的策略超時(shí)后需要重新向管理中心請(qǐng)求.

2.3.2 檢測(cè)服務(wù)

安全云提供以下4類檢測(cè)服務(wù)：

第1類是復(fù)雜檢測(cè)服務(wù).安全代理負(fù)責(zé)基礎(chǔ)安全防護(hù)，安全云則負(fù)責(zé)復(fù)雜的安全處理.典型的功能包括IPS，AV等.管理中心在安全代理中下發(fā)流表表項(xiàng)〈特征，行動(dòng)，目標(biāo)〉，行動(dòng)指定為“轉(zhuǎn)發(fā)”，目標(biāo)指定為安全云中的IPS，AV等安全設(shè)備，這樣，符合“特征”的報(bào)文就會(huì)轉(zhuǎn)發(fā)給安全云進(jìn)行檢測(cè).與在安全代理中實(shí)現(xiàn)相同功能相比，檢測(cè)服務(wù)的優(yōu)勢(shì)是按需服務(wù)，更靈活.

第2類是可緩存檢測(cè)服務(wù)，比如URL地址分類、垃圾郵件列表、流行病毒庫(kù)等.每個(gè)安全代理只保留一小份經(jīng)常訪問(wèn)的URL地址的緩存，比如1000～10000個(gè)，這樣檢測(cè)速度快，且在多數(shù)情況下能夠命中.而安全云則保留上億的資料，當(dāng)安全代理未成功檢測(cè)時(shí)，由安全云實(shí)現(xiàn)完整檢測(cè).

第3類是資源消耗型檢測(cè)服務(wù)，主要利用安全云的計(jì)算資源，比如沙箱等技術(shù)的應(yīng)用.安全代理遇到的未知可疑流量可交給安全云進(jìn)行沙箱分析[5]、代碼審查等耗費(fèi)大量計(jì)算資源的檢測(cè)，而這些功能在安全代理上實(shí)現(xiàn)是不太現(xiàn)實(shí)的.

第4類是綜合檢測(cè)服務(wù).除資源優(yōu)化以外，安全云還能實(shí)現(xiàn)分散的安全節(jié)點(diǎn)不能實(shí)現(xiàn)或很難實(shí)現(xiàn)的安全檢測(cè)功能，比如APT攻擊檢測(cè)防御[6].安全代理僅憑一個(gè)會(huì)話的報(bào)文很難對(duì)APT作出正確的判斷，而安全云中集結(jié)了大量的數(shù)據(jù)，結(jié)合不同時(shí)間、不同地點(diǎn)收到的信息，有能力進(jìn)行復(fù)雜的綜合分析，從而作出更精準(zhǔn)的判斷.安全云把分析結(jié)果以服務(wù)的方式提供給安全代理，讓安全代理也具有綜合檢測(cè)的能力.

2.3.3 審計(jì)服務(wù)

除數(shù)據(jù)報(bào)文外，安全代理也向安全云發(fā)送審計(jì)信息.安全云利用自身的計(jì)算資源對(duì)審計(jì)信息進(jìn)行整理、分析，向業(yè)務(wù)子云、安全代理、用戶等提供審計(jì)服務(wù).

2.4 管理中心

管理中心實(shí)現(xiàn)4項(xiàng)核心功能：1)配置中心，向系統(tǒng)管理員提供配置接口，導(dǎo)入業(yè)務(wù)云的業(yè)務(wù)邏輯、安全代理和安全云的結(jié)構(gòu)、管理員的安全意圖等信息；2)控制中心，根據(jù)實(shí)時(shí)運(yùn)行狀態(tài)，對(duì)安全代理及安全云的策略進(jìn)行動(dòng)態(tài)配置；3)資源中心，動(dòng)態(tài)調(diào)整安全代理及安全云的資源分配，實(shí)現(xiàn)資源的有效利用；4)信息中心，向管理員、用戶或第三方設(shè)備提供業(yè)務(wù)云、安全云的狀態(tài)信息.

管理中心作為方案的中樞，需要提供高可用性支持，避免單點(diǎn)故障.

3 常見問(wèn)題及典型場(chǎng)景分析

3.1 流量的問(wèn)題

按照安全代理的工作模式，極端情況下全部流量都導(dǎo)入到管理中心安全云中，對(duì)業(yè)務(wù)云與安全云之間的交換機(jī)路由器構(gòu)成流量壓力.

為此，管理中心需要采取一些策略.首先，需要減少導(dǎo)入到管理中心安全云中的流量.一方面，由于管理中心理解整個(gè)業(yè)務(wù)云的業(yè)務(wù)邏輯，安全中心通過(guò)向安全代理推送相關(guān)聯(lián)的策略集，而不是單一的流表，能把必須導(dǎo)入的流量降到1%甚至0.0001%以下.另一方面，安全代理和安全云分別處理數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)、安全任務(wù)，需要導(dǎo)入到安全云中的可以不是完整的數(shù)據(jù)報(bào)文，而是報(bào)文中的關(guān)鍵信息，從而減少流量壓力.其次，數(shù)據(jù)報(bào)文傳輸過(guò)程中可能會(huì)經(jīng)過(guò)多個(gè)安全代理，管理中心需要提前通知后續(xù)的安全代理，不必把數(shù)據(jù)報(bào)文再次轉(zhuǎn)給管理中心，而是通過(guò)管理中心提供的令牌請(qǐng)求策略即可.

另外，管理中心及安全云應(yīng)避免單一入口.通過(guò)指定不同的入口點(diǎn)，導(dǎo)入到管理中心安全云的流量可經(jīng)過(guò)不同的路徑到達(dá)，分散交換機(jī)路由器的流量壓力.

3.2 加密的問(wèn)題

管理中心與安全代理之間傳輸?shù)目刂菩畔⑷缡艿浇俪只虮O(jiān)聽，整個(gè)方案的安全性將不復(fù)存在，因此控制信息的傳輸需全程加密，由管理中心和安全代理的安全通信模塊實(shí)現(xiàn).

管理中心與安全代理之間轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文因跨出了業(yè)務(wù)子云的范圍，敏感信息也需要加密.加密既可以通過(guò)前述安全通信模塊來(lái)傳輸，也可通過(guò)部署獨(dú)立的VPN設(shè)備來(lái)實(shí)現(xiàn).

不同業(yè)務(wù)子云之間傳輸?shù)男畔?duì)加密是有要求的，應(yīng)通過(guò)部署獨(dú)立的VPN設(shè)備來(lái)實(shí)現(xiàn).

3.3 虛擬桌面案例分析

云環(huán)境下，用戶通過(guò)互聯(lián)網(wǎng)連接到云中的虛擬桌面，再通過(guò)虛擬桌面訪問(wèn)云中的服務(wù)器.以這個(gè)過(guò)程為例，說(shuō)明云防護(hù)的過(guò)程如圖3所示：

圖3 虛擬桌面防護(hù)過(guò)程

① 用戶U1以遠(yuǎn)程桌面的方式登錄服務(wù)器S1上的虛擬機(jī)V1；

②V1發(fā)出的數(shù)據(jù)報(bào)文P(U1訪問(wèn)V4)被安全代理G1獲得；

③G1通過(guò)網(wǎng)絡(luò)把P轉(zhuǎn)發(fā)給管理中心；

④ 管理中心解析數(shù)據(jù)P，確認(rèn)安全后，根據(jù)U1，V4，G1信息推送策略給G1；

⑤ 管理中心同時(shí)向G1發(fā)送一個(gè)令牌；

⑥G1收到令牌后，向P的原始目標(biāo)發(fā)送令牌，經(jīng)網(wǎng)絡(luò)被安全代理G3獲得；

⑦G1發(fā)送P，經(jīng)網(wǎng)絡(luò)被G3獲得，G3已獲得令牌，按令牌指示把P發(fā)給虛擬機(jī)V4；

⑧G3通過(guò)令牌向管理中心請(qǐng)求策略服務(wù)；

⑨ 管理中心確認(rèn)令牌，根據(jù)U1，V4，G3信息推送策略給G3；

⑩V1后續(xù)發(fā)出的數(shù)據(jù)報(bào)文P2，G1，G3均已知道P2的處理方案，直接轉(zhuǎn)發(fā)報(bào)文給V4；

4 總 結(jié)

在業(yè)務(wù)云之外，獨(dú)立建設(shè)安全云，并通過(guò)SDN技術(shù)連接業(yè)務(wù)云與安全云，動(dòng)態(tài)劃分業(yè)務(wù)云為業(yè)務(wù)子云，這種方案不依賴于業(yè)務(wù)云的實(shí)現(xiàn)方式，不改變業(yè)務(wù)云的軟硬件結(jié)構(gòu)，具有易部署、易維護(hù)、更安全、更靈活、更穩(wěn)定等特點(diǎn).

[1]馮登國(guó), 張敏, 張妍, 等. 云計(jì)算安全研究[J]. 軟件學(xué)報(bào), 2011, 22(1): 71-83

[2]Open Networking Foundation. Software-defined networking (SDN) definition[EBOL]. 2014[2015-07-18].https:www.opennetworking.orgsdn-resourcessdn-definition

[3]Open Networking Foundation. OpenFlow switch specication sersion 1.4.0[EBOL]. (2014-10-14)[2015-07-18]. https:www.opennetworking.orgimagesstoriesdownloadssdn-resourcesonf-specificationsopenflowopenflow-spec-v1.4.0.pdf

[4]吳朱華. 云計(jì)算核心技術(shù)剖析[M]. 北京: 人民郵電出版社, 2011

[5]Shioya T, OyamaY, Iwasaki H. A sandbox with dynamic policy based on execution contexts of applications[G]LNCS 4846: Proc of the 12th Annual Asian Computing Science Conf(ASIAN’07). Berlin: Springer, 2007: 297-311

[6]陳劍鋒, 王強(qiáng), 伍淼. 網(wǎng)絡(luò)APT攻擊及防范策略[J]. 信息安全與通信保密, 2012 (7): 16-18

王 剛

碩士，高級(jí)工程師，主要研究方向?yàn)樵L問(wèn)控制理論與技術(shù).

wanggang@legendsec.com

Multi-Zone Secure Cloud Computing Fabrics Based on SDN Technology

Wang Gang

(LegendsecInformationTechnology(Beijing)Co.,Ltd.，Beijing100085)

This paper presents an implementation of cloud security solutions in the cloud computing environment. Program in addition to the original business cloud, cloud security cloud technology to build, deploy in the cloud security service agents, through SDN technology to connect business cloud security cloud and security agents, and by security agents of the business cloud Live into logical isolation multiple business areas. The program does not rely on business cloud implementations. It does not change the hardware and software structure in addition to almost zero initial configuration of security agents. It is easy to deploy, maintain, and more safe.

cloud computing; cloud security; security agent; secure cloud; SDN; security as a service

2015-07-13

TP393.02