面向服務(wù)的數(shù)據(jù)中心安全框架

胡騰，李觀文，周華春

?

面向服務(wù)的數(shù)據(jù)中心安全框架

胡騰1，李觀文2，周華春2

（1. 中國(guó)工程物理研究院計(jì)算機(jī)應(yīng)用研究所，四川 綿陽(yáng) 621900； 2. 北京交通大學(xué)電子信息工程學(xué)院，北京 100044）

隨著數(shù)據(jù)中心網(wǎng)絡(luò)在云計(jì)算領(lǐng)域的大規(guī)模商用，數(shù)據(jù)網(wǎng)絡(luò)的安全問(wèn)題愈發(fā)受到重視。然而，由于傳統(tǒng)數(shù)據(jù)中心安全設(shè)備部署方式靜態(tài)僵化，難以滿足動(dòng)態(tài)多變的網(wǎng)絡(luò)安全態(tài)勢(shì)，無(wú)法應(yīng)對(duì)新的安全威脅。因此，提出一種面向服務(wù)的數(shù)據(jù)中心安全框架?；谔摂M化技術(shù)和軟件定義網(wǎng)絡(luò)，將虛擬化的安全功能靈活組合，并實(shí)現(xiàn)安全策略動(dòng)態(tài)更新的過(guò)程。通過(guò)原型系統(tǒng)測(cè)試驗(yàn)證了所提安全框架的可行性和有效性，為數(shù)據(jù)中心網(wǎng)絡(luò)的靈活性和安全性提升提供了一種解決方案。

數(shù)據(jù)中心網(wǎng)絡(luò)；安全功能鏈；安全策略部署

1 引言

隨著云計(jì)算的發(fā)展與普及，數(shù)據(jù)中心規(guī)?；鲩L(zhǎng)的需求與日俱增。但是，當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)十分嚴(yán)峻，數(shù)據(jù)中心網(wǎng)絡(luò)面臨的安全威脅更是不容忽視。Cisco 2017 數(shù)據(jù)中心安全研究報(bào)告[1]指出，88% 的數(shù)據(jù)中心管理者稱2016年收到的安全攻擊有所增多，而只有38% 的管理者認(rèn)為數(shù)據(jù)中心應(yīng)對(duì)安全威脅的能力較好。面對(duì)不斷增多的安全威脅，數(shù)據(jù)中心網(wǎng)絡(luò)需要更加靈活和動(dòng)態(tài)的安全保障方案。

然而，面對(duì)復(fù)雜的網(wǎng)絡(luò)安全局勢(shì)，一方面，傳統(tǒng)數(shù)據(jù)中心安全設(shè)備集成度高、安裝部署復(fù)雜、更新成本大等局限，導(dǎo)致其難以有效應(yīng)對(duì)新的安全威脅和更多樣化的安全需求[2]；另一方面，云計(jì)算的應(yīng)用帶來(lái)更加個(gè)性化的用戶服務(wù)，也對(duì)數(shù)據(jù)中心安全提出更高的要求，過(guò)去靜態(tài)僵化的安全服務(wù)將無(wú)法滿足未來(lái)數(shù)據(jù)中心網(wǎng)絡(luò)動(dòng)態(tài)靈活的安全需求[3,4]。因此，需要建立面向服務(wù)的數(shù)據(jù)中心按需安全框架。

逐漸成熟的NFV（network function virtualization，網(wǎng)絡(luò)功能虛擬化）技術(shù)[5]結(jié)合SDN（software- defined networking，軟件定義網(wǎng)絡(luò)）[6]，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的靈活調(diào)度與網(wǎng)絡(luò)資源的動(dòng)態(tài)組合。參考文獻(xiàn)[7]由此提出了一種移動(dòng)目標(biāo)防御框架，實(shí)現(xiàn)靈活的數(shù)據(jù)中心安全防護(hù)，可以有效緩解多種安全攻擊。參考文獻(xiàn)[8]則基于SDN架構(gòu)提出一種分析網(wǎng)絡(luò)流量安全需求并部署相應(yīng)安全功能的框架。直到SFC（service function chaining，服務(wù)功能鏈）工作組[9]提出一種基于SDN/NFV的服務(wù)功能鏈架構(gòu)，將現(xiàn)有的基礎(chǔ)網(wǎng)絡(luò)功能進(jìn)行有序組合，首先提出在數(shù)據(jù)中心部署安全功能鏈[10]，以滿足未來(lái)數(shù)據(jù)中心網(wǎng)絡(luò)更加靈活、多樣化的安全需求。參考文獻(xiàn)[11]綜合考慮了當(dāng)前網(wǎng)絡(luò)面臨的主要安全威脅，總結(jié)了12種基本的網(wǎng)絡(luò)安全防御模式，提出針對(duì)不同類型安全威脅的安全功能鏈構(gòu)建方式，現(xiàn)已經(jīng)基本實(shí)現(xiàn)常見(jiàn)安全場(chǎng)景的覆蓋。參考文獻(xiàn)[12]進(jìn)一步將SFC的設(shè)計(jì)思想融入數(shù)據(jù)中心安全防護(hù)，通過(guò)動(dòng)態(tài)調(diào)整流量的安全檢測(cè)路徑，適應(yīng)用戶動(dòng)態(tài)的安全需求。然而，為應(yīng)對(duì)新的安全威脅，除了安全功能的動(dòng)態(tài)組合，還需要安全策略的快速部署與及時(shí)更新。I2NSF（interface to network security function，網(wǎng)絡(luò)安全功能接口）工作組[13]提出一種安全策略部署框架，期望實(shí)現(xiàn)安全策略動(dòng)態(tài)按需的管理，可以為數(shù)據(jù)中心網(wǎng)絡(luò)的安全管理員提供更加便捷、靈活的安全策略管理模式，有效降低安全策略，更新成本。然而，目前尚缺乏一種統(tǒng)一的數(shù)據(jù)中心安全框架，可以同時(shí)實(shí)現(xiàn)安全功能的靈活組合與安全策略的動(dòng)態(tài)更新。

因此，本文結(jié)合I2NSF與SFC的設(shè)計(jì)思想，提出一種面向服務(wù)的數(shù)據(jù)中心安全框架。該架構(gòu)將傳統(tǒng)的基礎(chǔ)安全功能進(jìn)行虛擬化與資源池化，同時(shí)解耦控制層面與數(shù)據(jù)轉(zhuǎn)發(fā)層面，可以針對(duì)不同安全威脅靈活組合所需的安全功能，有效降低安全功能重新部署的成本，并支持?jǐn)?shù)據(jù)中心網(wǎng)絡(luò)動(dòng)態(tài)可變的安全需求。同時(shí)，采用面向服務(wù)的策略管理方法，降低數(shù)據(jù)中心網(wǎng)絡(luò)安全維護(hù)成本和網(wǎng)絡(luò)管理員的操作復(fù)雜度，從而提高策略配置的效率和正確性。

2 面向服務(wù)的安全框架

本框架采用虛擬化技術(shù)，將傳統(tǒng)網(wǎng)絡(luò)安全功能資源池化，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中安全服務(wù)資源的統(tǒng)一管理和靈活調(diào)度。該框架基于安全功能鏈思想，根據(jù)用戶業(yè)務(wù)的特定需求，將多種安全功能進(jìn)行鏈?zhǔn)浇M合，并根據(jù)需要在各安全功能上部署相應(yīng)的安全策略，動(dòng)態(tài)構(gòu)建所需的安全功能鏈。此外，考慮到用戶業(yè)務(wù)可能經(jīng)過(guò)分布式的多數(shù)據(jù)中心結(jié)構(gòu)，該框架可實(shí)現(xiàn)跨域的安全互聯(lián)，同時(shí)保障用戶側(cè)和數(shù)據(jù)側(cè)的安全。提出的面向服務(wù)的安全框架設(shè)計(jì)如圖1所示。

圖1 面向服務(wù)的安全框架設(shè)計(jì)

2.1 安全服務(wù)層

安全服務(wù)層致力于滿足網(wǎng)絡(luò)安全管理員的安全服務(wù)需求，并針對(duì)這些安全服務(wù)需求進(jìn)行安全服務(wù)的分類與安全策略的分配，確定網(wǎng)絡(luò)安全管理員所需的邏輯安全功能鏈。安全服務(wù)管理器實(shí)現(xiàn)從安全服務(wù)需求到邏輯安全功能鏈及相應(yīng)安全策略的匹配過(guò)程。

安全服務(wù)需求可以由網(wǎng)絡(luò)安全管理員手動(dòng)配置，即先通過(guò)安全功能配置界面設(shè)定所需的安全功能，然后，跳轉(zhuǎn)到安全策略配置界面，根據(jù)安全功能的類型制定相應(yīng)的安全策略。安全服務(wù)管理器根據(jù)網(wǎng)絡(luò)安全管理員的配置生成邏輯的安全功能鏈，通過(guò)安全功能鏈配置接口交付給資源適配層的安全功能鏈管理器，安全策略則通過(guò)安全策略配置接口交付給安全策略管理器做進(jìn)一步處理。

2.2 資源適配層

資源適配層從安全服務(wù)層獲得網(wǎng)絡(luò)安全管理員所需的邏輯上的安全功能鏈與安全略，然后，分別交付給安全功能鏈管理器與安全策略管理器。其中，安全功能鏈管理器由安全適配模塊、容器管理模塊及流表管理模塊組成。

安全適配模塊首先解析安全服務(wù)層的邏輯安全功能鏈，匹配系統(tǒng)可提供安全功能實(shí)例資源，獲知所需安全功能的類型與具體數(shù)量，然后，向容器管理模塊發(fā)起資源請(qǐng)求。容器管理模塊可以基于當(dāng)前網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)（如計(jì)算節(jié)點(diǎn)的CPU利用率和鏈路擁塞情況）和已開(kāi)啟的安全功能實(shí)例資源的負(fù)載狀態(tài)信息，選擇創(chuàng)建新的安全功能實(shí)例或重用已有安全功能實(shí)例。之后，容器管理模塊會(huì)返回所請(qǐng)求的安全功能實(shí)例的相關(guān)信息（如網(wǎng)絡(luò)位置信息）給安全適配模塊。安全適配模塊由此構(gòu)建完整的網(wǎng)絡(luò)拓?fù)湫畔?，并通告流表管理模塊。流表管理模塊據(jù)此建立該安全功能鏈對(duì)應(yīng)的完整的安全功能路徑配置信息。此外，容器管理模塊還可以動(dòng)態(tài)調(diào)整安全功能實(shí)例資源，及時(shí)釋放空閑的網(wǎng)絡(luò)系統(tǒng)資源，提供系統(tǒng)資源的利用率。

安全策略管理器包括安全控制器和規(guī)則分發(fā)器，實(shí)現(xiàn)從面向用戶的安全策略向面向功能的安全規(guī)則轉(zhuǎn)換的翻譯過(guò)程與規(guī)則下發(fā)過(guò)程。面向用戶的安全策略由網(wǎng)絡(luò)安全管理員進(jìn)行配置，采用人類可讀的語(yǔ)言描述，卻無(wú)法直接由安全功能實(shí)例執(zhí)行，因此，需要安全控制器對(duì)其進(jìn)行一次策略翻譯，實(shí)現(xiàn)從面向用戶的安全策略到面向功能的安全規(guī)則的轉(zhuǎn)換過(guò)程。與此同時(shí)，安全策略管理器也會(huì)收到來(lái)自安全功能鏈管理器分配的安全功能實(shí)例的相關(guān)信息，以生成實(shí)際可部署的安全規(guī)則，并調(diào)用規(guī)則分發(fā)器下發(fā)這些安全規(guī)則到對(duì)應(yīng)的安全功能實(shí)例。

此外，資源適配層需要維護(hù)兩個(gè)數(shù)據(jù)庫(kù)，即安全功能信息庫(kù)（security function information base， SFIB）和安全策略信息庫(kù)（security policy information base，SPIB）。安全功能信息庫(kù)存儲(chǔ)網(wǎng)絡(luò)中所有的安全功能實(shí)例資源的相關(guān)信息，用于容器管理模塊動(dòng)態(tài)查詢與更新。安全策略信息庫(kù)存儲(chǔ)所有的安全策略信息，并維護(hù)面向用戶的安全策略與面向功能的安全規(guī)則之間的映射關(guān)系。

2.3 數(shù)據(jù)轉(zhuǎn)發(fā)層

數(shù)據(jù)轉(zhuǎn)發(fā)層由兩類實(shí)體組成，分別是安全功能組件和路由轉(zhuǎn)發(fā)組件。

安全功能組件由容器管理模塊動(dòng)態(tài)維護(hù)，負(fù)責(zé)提供安全功能實(shí)例資源。安全功能實(shí)例基于資源適配層的安全策略管理器下發(fā)的安全規(guī)則，對(duì)數(shù)據(jù)流執(zhí)行實(shí)際的安全處理。

路由轉(zhuǎn)發(fā)組件是數(shù)據(jù)流的基礎(chǔ)轉(zhuǎn)發(fā)設(shè)備，根據(jù)資源適配層的流表管理模塊下發(fā)的流表信息，對(duì)數(shù)據(jù)流執(zhí)行路由轉(zhuǎn)發(fā)操作。路由轉(zhuǎn)發(fā)組件包括分類器與轉(zhuǎn)發(fā)器。其中，分類器負(fù)責(zé)對(duì)不同數(shù)據(jù)流標(biāo)記相應(yīng)的SPI（service path ID，服務(wù)路徑標(biāo)識(shí)）并分配初始的SI（service index，服務(wù)索引值），而轉(zhuǎn)發(fā)器負(fù)責(zé)將數(shù)據(jù)流導(dǎo)入相應(yīng)的安全功能實(shí)例，并對(duì)經(jīng)過(guò)安全處理的數(shù)據(jù)流的SI執(zhí)行減一操作。

3 關(guān)鍵技術(shù)

該框架涉及的關(guān)鍵技術(shù)包括安全功能的靈活組合與安全策略的動(dòng)態(tài)部署兩部分，分別介紹實(shí)現(xiàn)對(duì)應(yīng)功能的安全功能鏈管理系統(tǒng)與安全策略管理系統(tǒng)。

3.1 安全功能鏈管理系統(tǒng)

安全功能鏈管理系統(tǒng)涉及安全服務(wù)層的安全需求配置界面、資源適配層的安全功能鏈管理系統(tǒng)與數(shù)據(jù)轉(zhuǎn)發(fā)層的安全功能組件與路由轉(zhuǎn)發(fā)組件。安全需求配置界面基于OpenDaylight SFC項(xiàng)目[14]實(shí)現(xiàn)。

安全功能鏈管理器是面向服務(wù)的數(shù)據(jù)中心安全框架中控制平面的重要組成部分，實(shí)現(xiàn)虛擬網(wǎng)絡(luò)資源的動(dòng)態(tài)管理與適配、安全功能實(shí)例的按需選擇或?qū)嵗?、安全功能路徑的?dòng)態(tài)創(chuàng)建與管理。安全功能鏈管理器的模塊組成如圖2所示。

安全功能鏈管理系統(tǒng)由安全適配模塊、容器管理模塊及流表管理模塊組成。由于虛擬化的安全功能采用容器技術(shù)實(shí)現(xiàn)，對(duì)應(yīng)的容器管理模塊采用Docker Swarm技術(shù)[15]管理網(wǎng)絡(luò)中可用的安全功能資源。Docker Swarm采用TCP與基礎(chǔ)設(shè)施網(wǎng)絡(luò)中的安全功能組件（計(jì)算節(jié)點(diǎn)）組成集群，同時(shí)為安全適配模塊提供了系統(tǒng)調(diào)用的接口。流表管理模塊基于OpenDaylight SFC項(xiàng)目開(kāi)發(fā)，它采用OpenFlow協(xié)議管理數(shù)據(jù)轉(zhuǎn)發(fā)層中的路由轉(zhuǎn)發(fā)組件，支持網(wǎng)絡(luò)安全管理員通過(guò)Web界面配置邏輯安全功能鏈，同時(shí)也為安全適配模塊提供了RESTful接口調(diào)用?？紤]實(shí)際的安全功能鏈可能跨越多個(gè)數(shù)據(jù)中心域，擴(kuò)展了OpenDaylight SFC的跨域互聯(lián)功能，可生成跨域的轉(zhuǎn)發(fā)流表?；赑ython開(kāi)發(fā)了安全適配模塊，它一方面負(fù)責(zé)從安全服務(wù)層獲得用戶或網(wǎng)絡(luò)安全管理員所需的邏輯上的安全功能鏈；另一方面，支持Docker Swarm與OpenDaylight SFC之間的通信與信息交互。

圖2 安全功能鏈管理系統(tǒng)設(shè)計(jì)

安全功能鏈管理系統(tǒng)的工作流程如下。

（1）網(wǎng)絡(luò)管理員通過(guò)安全需求配置界面定制所需的安全服務(wù)，生成邏輯的安全功能鏈。

（2）安全適配模塊采用系統(tǒng)調(diào)用的方式向容器管理器請(qǐng)求提供相應(yīng)的安全功能實(shí)例，后者基于當(dāng)前的資源信息，選擇已有的安全功能實(shí)例或創(chuàng)建新的安全功能實(shí)例，并返回所選實(shí)例的網(wǎng)絡(luò)信息。

（3）安全適配模塊調(diào)用RESTful接口向流表管理模塊通告該安全功能鏈的轉(zhuǎn)發(fā)配置。

（4）流表管理模塊利用OpenFlow協(xié)議向數(shù)據(jù)轉(zhuǎn)發(fā)層中的安全感知組件和路由轉(zhuǎn)發(fā)組件下發(fā)流表配置。

安全功能鏈管理系統(tǒng)的主要優(yōu)勢(shì)如下。

（1）支持安全功能的虛擬化及對(duì)應(yīng)實(shí)例的管理選擇

數(shù)據(jù)轉(zhuǎn)發(fā)層采用容器技術(shù)實(shí)現(xiàn)安全功能的輕量虛擬化，安全功能鏈管理器中容器管理模塊負(fù)責(zé)對(duì)這些虛擬化的安全功能實(shí)例進(jìn)行統(tǒng)一管理。容器管理模塊可以遠(yuǎn)程管理和控制每個(gè)計(jì)算節(jié)點(diǎn)的虛擬資源，根據(jù)系統(tǒng)運(yùn)行狀態(tài)和負(fù)載狀態(tài)動(dòng)態(tài)創(chuàng)建、刪除安全功能實(shí)例。安全適配器可以調(diào)用容器管理模塊選擇所需的安全功能實(shí)例。

（2）支持?jǐn)?shù)據(jù)中心域內(nèi)的安全功能鏈自動(dòng)化部署

安全功能鏈管理器的安全適配模塊可以獲得網(wǎng)絡(luò)拓?fù)湫畔⒉⒏嬷鞅砉芾砟K，由流表管理模塊根據(jù)安全功能鏈的路徑生成對(duì)應(yīng)的轉(zhuǎn)發(fā)流表，下發(fā)到數(shù)據(jù)轉(zhuǎn)發(fā)層。數(shù)據(jù)轉(zhuǎn)發(fā)層的路由轉(zhuǎn)發(fā)組件采用Open vSwitch軟件交換機(jī)[16]實(shí)現(xiàn)，可以實(shí)現(xiàn)安全功能鏈中的分類器與轉(zhuǎn)發(fā)器。通過(guò)安全功能鏈管理器下發(fā)流表到Open vSwitch，可以實(shí)現(xiàn)數(shù)據(jù)中心域內(nèi)安全功能鏈的自動(dòng)化部署。

（3）支持跨數(shù)據(jù)中心域的安全功能鏈部署

擴(kuò)展數(shù)據(jù)攜帶的頭部信息，可存儲(chǔ)數(shù)據(jù)流跨數(shù)據(jù)中心域轉(zhuǎn)發(fā)時(shí)所需的SPI/SI信息，并擴(kuò)展OpenDaylight SFC，實(shí)現(xiàn)控制層面對(duì)跨域轉(zhuǎn)發(fā)邏輯的支持。通過(guò)預(yù)定義跨域所需的SPI/SI信息，可以支持在多數(shù)據(jù)中心域中自動(dòng)化部署安全功能鏈。

3.2 安全策略管理系統(tǒng)

安全策略管理系統(tǒng)涉及安全服務(wù)層的安全策略配置界面、資源適配層的安全策略管理器和數(shù)據(jù)轉(zhuǎn)發(fā)層的安全功能組件。

安全策略管理器基于I2NSF控制平面設(shè)計(jì)，可以實(shí)現(xiàn)網(wǎng)絡(luò)安全管理員通過(guò)Web界面手動(dòng)配置具體的安全策略，并通過(guò)安全控制器下發(fā)到格式化的策略到制定的安全功能組件。安全策略管理器的基本工作流程如圖3所示。

圖3 安全策略管理系統(tǒng)設(shè)計(jì)

安全策略管理系統(tǒng)由用戶界面和安全控制器組成。用戶界面為網(wǎng)絡(luò)安全管理員提供可視化的安全策略配置界面，可指定所需安全服務(wù)類型與策略。安全控制器實(shí)現(xiàn)面向用戶的安全策略到面向功能的安全規(guī)則的翻譯過(guò)程，并實(shí)現(xiàn)安全規(guī)則的自動(dòng)化下發(fā)過(guò)程。

安全策略管理系統(tǒng)的工作流程如下。

（1）網(wǎng)絡(luò)安全管理員通過(guò)Web界面制定特定安全功能的安全策略，將策略存入安全策略信息庫(kù)，同時(shí)發(fā)送給安全控制器。

（2）安全控制器根據(jù)安全功能鏈管理器提供的安全功能實(shí)例信息，將收到的面向服務(wù)的安全策略翻譯為面向功能的安全規(guī)則，并對(duì)其進(jìn)行XML格式化。

（3）安全控制器調(diào)用規(guī)則分發(fā)器將格式化的策略配置通過(guò)Netconf協(xié)議發(fā)送到安全功能實(shí)例上。

安全策略管理系統(tǒng)的主要優(yōu)勢(shì)如下。

（1）支持動(dòng)態(tài)策略更新

因?yàn)殪o態(tài)設(shè)置的數(shù)據(jù)編號(hào)，過(guò)去同一安全對(duì)象的安全策略無(wú)法進(jìn)行更新，而這將不利于本地的策略維護(hù)與多域策略協(xié)同處理。因此，應(yīng)采用時(shí)間相關(guān)函數(shù)為安全策略分配動(dòng)態(tài)編號(hào)，初步實(shí)現(xiàn)本地策略更新功能。

（2）支持多數(shù)據(jù)庫(kù)同步

考慮多域安全策略共享與查詢問(wèn)題，控制平面采用可集群部署的數(shù)據(jù)庫(kù)存儲(chǔ)域內(nèi)的安全策略。由于Redis數(shù)據(jù)庫(kù)[17]可以快速實(shí)現(xiàn)集群的部署且擁有較好的數(shù)據(jù)同步功能，因此，應(yīng)選用Redis數(shù)據(jù)庫(kù)作為安全策略數(shù)據(jù)庫(kù)。

4 系統(tǒng)驗(yàn)證

為驗(yàn)證提出的面向服務(wù)的數(shù)據(jù)中心安全框架，本文基于OpenStack[18]建立虛擬化的測(cè)試床，參考SFC工作組草案[10]給出的多數(shù)據(jù)中心環(huán)境下的多SFC域互聯(lián)場(chǎng)景，建立如圖4所示的系統(tǒng)驗(yàn)證場(chǎng)景。

該場(chǎng)景中，數(shù)據(jù)中心1構(gòu)成一個(gè)云辦公平臺(tái)，可以為不同用戶提供定制化和安全的云辦公環(huán)境。而數(shù)據(jù)中心2通過(guò)虛擬化技術(shù)整合底層設(shè)施資源，可以為多個(gè)用戶同時(shí)提供應(yīng)用層服務(wù)。每個(gè)數(shù)據(jù)中心域內(nèi)采用SDN/NFV技術(shù)搭建傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)的fat-tree拓?fù)?。由于兩?shù)據(jù)中心地理位置相距較遠(yuǎn)，數(shù)據(jù)中心1的用戶可通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程訪問(wèn)數(shù)據(jù)中心2中的服務(wù)資源。假定某一云辦公平臺(tái)用戶希望訪問(wèn)位于數(shù)據(jù)中心2中的某種特定服務(wù)資源，則該用戶的數(shù)據(jù)請(qǐng)求與傳輸需要跨域兩個(gè)不同的數(shù)據(jù)中心。為保障整個(gè)通信過(guò)程的安全，需要為該用戶的服務(wù)流建立一條跨域的安全功能鏈。其中，每個(gè)數(shù)據(jù)中心的接入層和匯聚層的虛擬交換機(jī)與核心層交換機(jī)均可視為轉(zhuǎn)發(fā)器，入口/出口網(wǎng)關(guān)作為分類器，而安全功能實(shí)例則通過(guò)容器方式在虛擬交換機(jī)上按需開(kāi)啟。該場(chǎng)景中的安全功能鏈需要跨兩個(gè)數(shù)據(jù)中心域，同時(shí)，保護(hù)用戶側(cè)和數(shù)據(jù)側(cè)安全。其中，用戶側(cè)包括用于流量監(jiān)控的入侵檢測(cè)系統(tǒng)和進(jìn)行內(nèi)部防護(hù)的防火墻，數(shù)據(jù)側(cè)則包含阻止外部入侵的防火墻與用于DDoS攻擊緩解的入侵檢測(cè)服務(wù)。兩側(cè)安全功能實(shí)例分別部署在靠近用戶側(cè)和數(shù)據(jù)側(cè)的虛擬交換機(jī)上。

圖4 系統(tǒng)驗(yàn)證場(chǎng)景

為驗(yàn)證提出的面向服務(wù)的數(shù)據(jù)中心安全框架，首先，通過(guò)安全服務(wù)管理器的配置界面部署該安全功能鏈，包括兩個(gè)防火墻（FW）功能與兩個(gè)入侵檢測(cè)（IDS）功能。其中，左側(cè)的防火墻與入侵檢測(cè)系統(tǒng)位于數(shù)據(jù)中心1，右側(cè)的防火墻與入侵檢測(cè)系統(tǒng)位于數(shù)據(jù)中心2。安全功能鏈管理器根據(jù)安全需求分配安全功能鏈，并自動(dòng)生成相應(yīng)的SPI為165，如圖5所示。其中，防火墻功能由iptables軟件[19]實(shí)現(xiàn)，入侵檢測(cè)功能由Snort軟件[20]實(shí)現(xiàn)。

圖5 安全功能鏈配置界面

通過(guò)安全功能鏈管理系統(tǒng)對(duì)該安全功能鏈進(jìn)行解析，并下發(fā)相應(yīng)流表到對(duì)應(yīng)的虛擬交換機(jī)上，以深度分組檢測(cè)為例，其流表配置如圖6所示。

圖6 將數(shù)據(jù)流導(dǎo)入入侵檢測(cè)功能的流表項(xiàng)

從圖6中可以看到，交換機(jī)接收到數(shù)據(jù)流后，通過(guò)流表逐條匹配SPI為165（流表項(xiàng)中表示為nsp）且SI為255（流表項(xiàng)中表示為nsi）的數(shù)據(jù)流。由于255為SI初始值，可以獲知需要該數(shù)據(jù)流需要經(jīng)過(guò)第一個(gè)安全攻能，即入侵檢測(cè)功能。然后匹配最終的流表?xiàng)l目，通過(guò)基于NSH（network service header，網(wǎng)絡(luò)服務(wù)報(bào)頭）的SFC流轉(zhuǎn)發(fā)方式[21]，將數(shù)據(jù)流轉(zhuǎn)發(fā)到入侵檢測(cè)功能實(shí)例中。類似地，由于經(jīng)過(guò)入侵檢測(cè)功能處理后的數(shù)據(jù)流的SI值會(huì)減一（即SPI仍為165，SI為254），通過(guò)匹配如圖7所示流表，以類似方式轉(zhuǎn)發(fā)數(shù)據(jù)流至下一跳交換機(jī)。

圖7 處理從入侵檢測(cè)功能流出數(shù)據(jù)的流表項(xiàng)

安全功能鏈系統(tǒng)通過(guò)解析網(wǎng)絡(luò)安全管理員配置的安全需求，自動(dòng)向每個(gè)轉(zhuǎn)發(fā)器下發(fā)類似的流表，從而實(shí)現(xiàn)數(shù)據(jù)流在整個(gè)安全功能路徑內(nèi)的轉(zhuǎn)發(fā)操作，確保數(shù)據(jù)流可以依次經(jīng)過(guò)每個(gè)所需的安全功能實(shí)例。

安全功能鏈確定后，還要根據(jù)安全需求設(shè)定相應(yīng)的安全策略。以該安全功能鏈中的入侵檢測(cè)功能為例，首先，通過(guò)安全策略配置界面中的安全功能選擇頁(yè)面，選擇需要配置策略的安全功能的類型，如圖8所示。

圖8 安全功能選擇界面

然后，可以看到如圖9所示安全策略詳細(xì)配置界面。在這里，網(wǎng)絡(luò)安全管理員可以定義該策略的名稱、策略的匹配項(xiàng)目和所需要執(zhí)行的安全行為。對(duì)于入侵檢測(cè)功能，這里定義檢測(cè)到源IP地址為10.0.0.24的數(shù)據(jù)流后進(jìn)行告警操作。

配置好后選擇提交，即可完成該功能的策略配置過(guò)程，后續(xù)的策略翻譯與下發(fā)均由安全策略管理系統(tǒng)自動(dòng)完成。其中，安全策略管理系統(tǒng)基于Cisco的ConfD引擎[22]實(shí)現(xiàn)Netconf協(xié)議傳輸配置好的策略，在安全功能實(shí)例上可以實(shí)時(shí)看到策略接收過(guò)程，如圖10所示。此外，其他安全功能的策略配置過(guò)程也是類似的，此處不再贅述。

圖9 入侵檢測(cè)配置界面

圖10 入侵檢測(cè)功能實(shí)例的策略接收過(guò)程

此外，還可以通過(guò)如圖11所示的安全功能日志選項(xiàng)，查看已配置好的安全策略，為網(wǎng)絡(luò)安全管理員后續(xù)添加或修改安全策略做參考，避免錯(cuò)誤配置或重復(fù)配置。

圖11 安全策略配置日志

最后，配置好的入侵檢測(cè)系統(tǒng)策略被部署到入侵檢測(cè)功能實(shí)例上。由于本文采用的入侵檢測(cè)功能實(shí)例由Snort實(shí)現(xiàn)，可以看到如圖12所示的Snort規(guī)則文件中存在新配置的條目，證明該安全策略已成功配置。

圖12 入侵檢測(cè)功能的規(guī)則文件

5 結(jié)束語(yǔ)

本文考慮到現(xiàn)有數(shù)據(jù)中心網(wǎng)絡(luò)靜態(tài)僵化的安全部署方案難以有效地應(yīng)對(duì)日趨多樣化的安全威脅，提出一種面向服務(wù)的數(shù)據(jù)中心網(wǎng)絡(luò)安全框架，將網(wǎng)絡(luò)安全功能進(jìn)行虛擬化后統(tǒng)一管理；設(shè)計(jì)相應(yīng)的安全功能管理與安全策略下發(fā)系統(tǒng)，以實(shí)現(xiàn)安全功能的靈活組合與安全策略的動(dòng)態(tài)更新。通過(guò)原型系統(tǒng)測(cè)試，驗(yàn)證提出的安全框架可以滿足未來(lái)數(shù)據(jù)中心網(wǎng)絡(luò)更加靈活、個(gè)性的安全需求。

[1] Cisco. Cisco Data Center Security Study[R]. 2017.

[2] 韋樂(lè)平. SDN的戰(zhàn)略性思考[J]. 電信科學(xué), 2015, 31(1): 7-12.

WEI L P. Strategic thinking on SDN [J]. Telecommunications Science, 2015, 31(1): 7-12.

[3] 王歆平, 王茜, 劉恩慧, 等. 基于SDN的按需智能路由系統(tǒng)研究與驗(yàn)證[J]. 電信科學(xué), 2014, 30(4): 8-14.

WANG X P, WANG Q, LIU E H, et al. Research and verification on SDN-based on-demand smart routing system [J]. Telecommunications Science, 2014, 30(4): 8-14.

[4] 李丹, 劉方明, 郭得科, 等. 軟件定義的云數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)理論與關(guān)鍵技術(shù)[J]. 電信科學(xué), 2014, 30(6): 48-59.

LI D, LIU F M, GUO D K, et al. Fundamental theory and key technology of software defined cloud data center network [J]. Telecommunications Science, 2014, 30(6): 48-59.

[5] HAN B, GOPALAKRISHNAN V, JI L, et al. Network function virtualization: challenges and opportunities for innovations[J]. IEEE Communications Magazine, 2015, 53(2): 90-97.

[6] NICK M, TOM A, HARI B, et al. OpenFlow: enabling innovation in campus networks[J]. ACM SIGCOMM Computer Communication Review, 2008, 38(2): 69-74.

[7] CHUNG C J, XING T, HUANG D, et al. SeReNe: on establishing secure and resilient networking services for an SDN-based multi-tenant datacenter environment[C]// IEEE International Conference on Dependable Systems and Networks Workshops, June 22-25, 2015, Rio de Janeiro, Brazil. Piscataway: IEEE Press, 2015.

[8] AMMAR M, RIZK M, ABDEL-HAMID A, et al. A framework for security enhancement in SDN-based datacenters[C]//2016 8th IFIP International Conference on New Technologies, Mobility and Security, November 21-23, 2016, Larnaca, Cyprus. Piscataway: IEEE Press, 2016.

[9] JOEL H, CARLOS P. Service function chaining, RFC Editor, October 2015[R/OL]. (2015-10-01)[2017-11-14]. https://www. rfc-editor.org/rfc/rfc7665.txt.

[10] KUMAR S, TUFAIL M, MAJEE S, et al. Service function chaining use cases in data centers. Internet-Draft draft-ietf- sfc- dc-use-cases-06[RB/OL]. (2017-01-01)[2017-11-14]. http://www. ietf.org/internet-drafts/draft-ietf-sfc-dc-use-cases-06.txt.

[11] LEIVADEAS A, FALKNER M, LAMBADARIS I, et al. Resource management and orchestration for a dynamic service chain steering model[C]//IEEE Global Communications Conference, December 4-8, 2016,Washington, DC, USA. Piscataway: IEEE Press, 2016.

[12] WANG X, LIU Z, LI J, et al. Tualatin: towards network security service provision in cloud datacenters[C]//2014 3rd International Conference on Computer Communication and Networks, August 4-7, 2014, Shanghai, China. Piscataway: IEEE Press, 2016.

[13] LOPEZ D, LOPEZ E, DUNBAR L, et al. Framework for interface to network security functions. Internet-Draft draft- ietf-i2nsf-framework-08, IETF Secretariat, October 2017[R/OL]. (2017-10-10)[2017-11-10]. https://www.ietf.org /archive/id/draft- ietf-i2nsf-framework-08.txt.

[14] OpenDaylight SFC project [EB/OL]. (2016-10-21)[2017-11-10]. https://github.com/opendaylight/sfc.

[15] Docker [EB/OL]. (2017-01-01)[2017-11-10]. https://www. docker.com.

[16] Open vSwitch [EB/OL]. (2016-01-01)[2017-11-10]. http:// openvswitch.org.

[17] Redis [EB/OL]. (2017-01-01)[2017-11-10]. https://redis.io.

[18] Openstack [EB/OL]. (2017-01-01)[2017-11-10]. https://www. openstack.org.

[19] Iptables [EB/OL]. (2014-01-01)[2017-11-10]. http://www.netfilter.

org/projects/iptables/index.html.

[20] Snort [EB/OL]. (2017-01-01)[2017-11-10]. https://www. snort.org.

[21] PAUL Q, URI E, CARLOS P. Network service header (NSH): Internet-Draft draft-ietf-sfc-nsh-28[EB/OL]. (2017-11-03) [2017-11-10]. http://www. ietf.org/internet- drafts/draft-ietf-sfc- nsh-28.txt.

[22] Conf D[EB/OL]. (2017-01-01)[2017-11-10]. http://developer. cisco.com/site/confd.

Service-oriented security framework for datacenter networks

HU Teng1, LI Guanwen2, ZHOU Huachun2

1. Institute of Computer Application, China Academy of Engineering Physics, Mianyang 621900, China 2. School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044, China

With the large-scale deployment of datacenters in cloud computing, there is an increasing attention to their security issues. However, with the ossify deployment of traditional security devices, it is hard to meet the requirements of dynamical network security situation and copy with new kinds of security threats. Therefore, a service-oriented security framework for datacenter networks was proposed, which was able to compose the virtualized security functions flexibly and update the security policies dynamically based on virtualization technology and software-defined networking. With the implementation of prototype, the feasibility and availability of the proposed security framework was proved, and a solution to promote the flexibility and security of datacenter networks was provided.

datacenter network, security function chaining, security policy deployment

TP393

A

10.11959/j.issn.1000?0801.2018031

2017?11?14；

2017?12?13

NSAF聯(lián)合基金資助項(xiàng)目（No. U1530118）；國(guó)家自然科學(xué)基金資助項(xiàng)目（No. 61271202）；國(guó)防基礎(chǔ)科研基金資助項(xiàng)目（No. JCKY2016212C005）

NSAF (No. U1530118), The National Natural Science Foundation of China(No. 61271202), National Defense Basic Scientific Research Program of China(No. JCKY2016212C005)

胡騰（1988?），男，中國(guó)工程物理研究院計(jì)算機(jī)應(yīng)用研究所工程師，主要研究方向?yàn)橛?jì)算機(jī)技術(shù)與信息安全。

李觀文（1992?），男，北京交通大學(xué)電子信息工程學(xué)院博士生，主要研究方向?yàn)檐浖x網(wǎng)絡(luò)與網(wǎng)絡(luò)安全。

周華春（1965?），男，博士，北京交通大學(xué)電子信息工程學(xué)院教授、博士生導(dǎo)師，主要研究方向?yàn)橐苿?dòng)互聯(lián)網(wǎng)、網(wǎng)絡(luò)安全與衛(wèi)星網(wǎng)絡(luò)。