基于SDS理念利用SDN&NFV技術(shù)云安全實踐

云環(huán)境下的安全現(xiàn)狀

從技術(shù)上看，云計算采用資源池化的方式為用戶提供服務(wù)，傳統(tǒng)的安全集中投入的方式很難滿足云計算中資源的按需擴(kuò)展需求。另外，如何滿足不同租戶差異化的安全需求也是一項很大的挑戰(zhàn)。

從管理模式上看，傳統(tǒng)的IT系統(tǒng)提供方和用戶之間有清晰的安全職責(zé)劃分。在云計算的這種以服務(wù)為核心的模式下，整個IT系統(tǒng)會面臨云服務(wù)提供方、云租戶和云用戶多方的關(guān)系，如何明確各自的職責(zé)，是確保云計算系統(tǒng)安全的一個重要前提。

從法律和合規(guī)的角度看，國內(nèi)外的云安全標(biāo)準(zhǔn)機(jī)構(gòu)近年來也是陸續(xù)發(fā)布了多個云安全的相關(guān)標(biāo)準(zhǔn)，比如云安全聯(lián)盟（CSA）發(fā)布的《身份管理與接入控制指導(dǎo)建議書》(白皮書)、《如何保護(hù)云數(shù)據(jù)》（白皮書），國內(nèi)等保標(biāo)準(zhǔn)里的《信息系統(tǒng)安全等級保護(hù) 云計算安全擴(kuò)展要求》（草案）、《信息系統(tǒng)安全等級保護(hù) 云計算安全擴(kuò)展測評要求》（草案）等。如何建設(shè)云計算系統(tǒng)的安全措施，保證符合法律和合規(guī)的要求，也是用戶業(yè)務(wù)云化面臨的一個重要的問題。

軟件定義

1.SDN

軟件定義網(wǎng)絡(luò)（SDN）提出了一種全新的網(wǎng)絡(luò)架構(gòu)，能夠通過邏輯上集中的控制平面，實現(xiàn)網(wǎng)絡(luò)管理、控制的集中化、自動化。那么SDN和安全又有什么樣的關(guān)系呢？

SDN有三個本質(zhì)的屬性：控制與轉(zhuǎn)發(fā)分離、集中化的網(wǎng)絡(luò)控制、開放的編程接口。

控制與轉(zhuǎn)發(fā)分離，使得邏輯上集中的控制平面能夠擁有全網(wǎng)的完整視圖，這樣控制平面就能夠看到任何正常的、或者不正常的流量；集中化的網(wǎng)絡(luò)控制，使得控制平面能夠控制任何流量能走、不能走、怎么走；開放的編程接口能夠?qū)⑸鲜鏊械牟僮鲗崿F(xiàn)可編程以及自動化。這樣看來，SDN天然的就為網(wǎng)絡(luò)的安全問題提出了很好的解決辦法。當(dāng)然，OpenFlow也是在某種程度上為了解決安全問題。

2. NFV

網(wǎng)絡(luò)功能虛擬化（NFV）利用IT虛擬化技術(shù)，將現(xiàn)有的各類網(wǎng)絡(luò)設(shè)備功能整合進(jìn)標(biāo)準(zhǔn)的IT設(shè)備，如高密度服務(wù)器、交換機(jī)、存儲等，通過管理控制平面，實現(xiàn)網(wǎng)絡(luò)/安全功能的自動化編排。

NFV-I提供了虛擬化網(wǎng)絡(luò)功能運行所必須的基礎(chǔ)設(shè)施。

VNF-M即各種虛擬化的網(wǎng)絡(luò)功能層，通過VNF+EMS實現(xiàn)多種虛擬網(wǎng)元的網(wǎng)絡(luò)功能，這些VNFs由VNF-M進(jìn)行統(tǒng)一的管理。

NFV-O是最上面的業(yè)務(wù)層，根據(jù)OSS/BSS的業(yè)務(wù)邏輯和業(yè)務(wù)需求，NFV-O動態(tài)的對下層的VNFs進(jìn)行編排，以滿足業(yè)務(wù)系統(tǒng)對不同網(wǎng)絡(luò)功能的需求。

VNF-M和NFV-O共同組成了NFV架構(gòu)中的管理編排域，簡稱為MANO，MANO負(fù)責(zé)對整個NFV-I資源的管理和編排，負(fù)責(zé)業(yè)務(wù)網(wǎng)絡(luò)和NFV-I資源的映射和關(guān)聯(lián)，負(fù)責(zé)OSS業(yè)務(wù)資源流程的實施等。

3.基于SDN/NFV的安全架構(gòu)

基于SDN/NFV技術(shù)可以構(gòu)建一個完整的、開放的虛擬化網(wǎng)絡(luò)平臺，那么能否在此基礎(chǔ)上整合構(gòu)建出一個虛擬化的安全解決方案呢？答案當(dāng)然是肯定的。

有一種基于SDN/NFV的安全方案架構(gòu)，除去計算、存儲、網(wǎng)絡(luò)等硬件基礎(chǔ)設(shè)施之外，整個架構(gòu)自底向上共分為資源池、安全控制平臺和安全應(yīng)用三個層次。

圖1 安全資源池內(nèi)的安全設(shè)備部署

資源池是各種安全防護(hù)功能的集合，具體包括但不限于：（1）安全預(yù)防類功能：系統(tǒng)漏洞掃描（vRSAS）、Web漏洞掃描（vWVSS）等；（2）安全檢測類功能：網(wǎng)絡(luò)入侵檢測系統(tǒng)（vNIDS）；（3）安全防護(hù)類功能：網(wǎng)絡(luò)入侵防御系統(tǒng)（vNIPS）、下一代防火墻（vNF）等；（4）安全響應(yīng)類功能 ：安全審計系統(tǒng)（vSAS）、堡壘機(jī)等。

在設(shè)備形態(tài)上，安全資源池內(nèi)的安全功能既可以是依托虛擬化的安全設(shè)備（VNFs），也可以是傳統(tǒng)的硬件安全設(shè)備；在基礎(chǔ)設(shè)施層面，既可以采用獨立的安全節(jié)點進(jìn)行部署，也可以依 托 OpenStack、VMware、FusionSphere等云計算IaaS平臺。具體可參考圖1。

安全控制平臺則包括了NFV架 構(gòu)中的 VI-M、VNF-M和NFV-O，具體到功能層面和NFV架構(gòu)中的類似，比如VI-M用來管理安全資源池的基礎(chǔ)設(shè)施資源，同時負(fù)責(zé)跟網(wǎng)絡(luò)系統(tǒng)的SDN控制器進(jìn)行對接；通過VNF-Manager/Agent的方式，實現(xiàn)各個安全功能的管理；通過NFV-O提供北向的應(yīng)用接口。

云安全實踐

這種基于SDN/NFV的安全架構(gòu)是如何實現(xiàn)云環(huán)境下的安全防護(hù)的，以下是兩種使用場景：（1）云計算、軟件定義數(shù)據(jù)中心這類的系統(tǒng)/平臺 ；（2）NFV 系統(tǒng)。

對于第一類場景，可以直接將上述安全架構(gòu)和云平臺進(jìn)行對接，通過兩個控制平臺層面的交互實現(xiàn)資產(chǎn)以及防護(hù)策略的一致性，然后通過網(wǎng)絡(luò)將資源層打通，實現(xiàn)流量的靈活調(diào)度，完成整個虛擬化環(huán)境的安全防護(hù)。

對于第二類場景，一方面，可以按照第一類場景的方式進(jìn)行設(shè)計，即兩個控制平臺進(jìn)行對接；另一種方式則是將安全資源池集成到NFV的VNFs內(nèi)部，與NFV共用 VI-M、VNF-M和 NFV-O，這樣的話安全和網(wǎng)絡(luò)就實現(xiàn)了深度的整合，同時也帶來了高耦合的風(fēng)險問題。

下面我們從第一個場景著手，看一下是如何設(shè)計其安全解決方案的。如圖2所示，是方案的整體架構(gòu)圖，主要分為4個部分，最下面的VNFs，也就是安全的資源池，這里的安全功能提供者既可以是廠商的安全設(shè)備，設(shè)備之間通過SDN網(wǎng)絡(luò)實現(xiàn)互聯(lián)。SIEM系統(tǒng)主要是用來收集下層安全設(shè)備的日志和告警等信息，提供威脅分析的數(shù)據(jù)來源。安全資源池控制器一方面負(fù)責(zé)VNFs的管理控制，同時還負(fù)責(zé)與云平臺進(jìn)行適配。最上面是云安全管理平臺的門戶，為用戶提供安全服務(wù)和運維服務(wù)等多個使用門戶。

圖2 云計算、軟件定義數(shù)據(jù)中心系統(tǒng)/平臺架構(gòu)

圖3 南北向和東西向安流量安全調(diào)度

為用戶云上業(yè)務(wù)提供預(yù)防（RSAS、BVS等）、檢測（NIDS等）、保護(hù)（NIPS、NF等）和響應(yīng)（SAS、ESP等）全系列的安全服務(wù)，解決了用戶南北向和東西向流量安全問題。

如圖3所示，提供南北向和東西向安全服務(wù)，云安全管理平臺與云計算系統(tǒng)對接，通過外置安全資源池和內(nèi)置資源池結(jié)合的方式，將南北向流量和東西向流量進(jìn)行調(diào)度，完成安全檢測和防護(hù)。

總結(jié)

在云計算架構(gòu)下，云計算開放網(wǎng)絡(luò)和業(yè)務(wù)共享場景更加復(fù)雜多變，安全挑戰(zhàn)更加嚴(yán)峻；云計算系統(tǒng)較傳統(tǒng)IT系統(tǒng)，既涉及到管理模式、服務(wù)模式的創(chuàng)新，又涉及到虛擬化、隔離等技術(shù)層面的創(chuàng)新，因此其安全的著手點也是千姿百態(tài)。本文主要針對云上業(yè)務(wù)的安全，分析并展示了基于SDN/NFV技術(shù)的云安全實踐方案。