SDS 架構(gòu)下安全原子的構(gòu)建

◆郭志君 盧宇浩

（中國(guó)電子科技集團(tuán)公司第三十研究所 四川 610041）

隨著日益劇增的網(wǎng)絡(luò)攻擊行為的出現(xiàn)，傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系即在大容量交換設(shè)備基礎(chǔ)上疊加各類安全防護(hù)設(shè)備，這種串行部署方式和存在功能重疊的安全防護(hù)設(shè)計(jì)，會(huì)在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)進(jìn)行多次的協(xié)議解析和處理，體現(xiàn)出來的弊端即可擴(kuò)展性差、管理運(yùn)維復(fù)雜、網(wǎng)絡(luò)性能低下，難以形成靈活便捷的安全防御體系。

軟件定義網(wǎng)絡(luò)（Software Defined Networking）是由美國(guó)斯坦福大學(xué)提出的一種新興的基于軟件的網(wǎng)絡(luò)架構(gòu)及技術(shù)，其“開放性、網(wǎng)絡(luò)可編程、網(wǎng)絡(luò)虛擬化”的技術(shù)特點(diǎn)，使得這種架構(gòu)在新一代網(wǎng)絡(luò)構(gòu)建中具有先天的優(yōu)勢(shì)。其數(shù)據(jù)平面和控制平面的松耦合架構(gòu)，可以盡可能將網(wǎng)絡(luò)安全功能與網(wǎng)絡(luò)安全設(shè)備解綁，而且在多租戶使用的應(yīng)用模式下亦可以有針對(duì)性地靈活配置與之相匹配的網(wǎng)絡(luò)安全防護(hù)能力。

基于此，本文針對(duì)當(dāng)前封裝在各個(gè)網(wǎng)絡(luò)安全設(shè)備中的基本功能進(jìn)行抽象裁剪形成一系列安全原子，以安全功能原子資源池的形式在基于SDN 網(wǎng)絡(luò)中進(jìn)行可重構(gòu)的全局網(wǎng)絡(luò)安全防護(hù)功能的構(gòu)建，實(shí)現(xiàn)新一代SDN 網(wǎng)絡(luò)下“多樣性、集約化、易管理”的安全防御體系。

1 SDS 與VSA 的區(qū)別

從SDN 演進(jìn)的過程中，實(shí)現(xiàn)SDN 網(wǎng)絡(luò)環(huán)境中的安全防護(hù)主要有兩種架構(gòu)：虛擬化的安全設(shè)備VSA（Virtualized Security Appliance）和軟件定義安全SDS（Software Defined Security）[1]。

VSA 的特點(diǎn)是通過對(duì)傳統(tǒng)軟硬件形態(tài)的安全設(shè)備虛擬化，以虛擬鏡像的方式嵌入部署到SDN 網(wǎng)絡(luò)中。這種方式的靈活性體現(xiàn)在將實(shí)際物理拓?fù)溆成涑蛇壿嬐負(fù)?，由SDN 控制平面按照既定策略和邏輯拓?fù)渥寯?shù)據(jù)流經(jīng)過相應(yīng)的安全設(shè)備進(jìn)行安全處理，且各安全設(shè)備可通過RESTful APⅠ接口進(jìn)行進(jìn)一步的安全管理服務(wù)集成。雖然是對(duì)傳統(tǒng)安全產(chǎn)品和技術(shù)的一種平滑演進(jìn)，但其實(shí)質(zhì)上并未提升安全防護(hù)能力，只是利用了SDN 對(duì)網(wǎng)絡(luò)的可編程能力提升自動(dòng)化部署程度，以降低安全運(yùn)維的成本。

SDS 的特點(diǎn)是將安全的控制平面和數(shù)據(jù)平面進(jìn)行分離，將安全設(shè)備的功能進(jìn)行重整、合并、簡(jiǎn)化處理，以去除冗余功能和重疊功能，形成安全原子服務(wù)資源集，通過虛擬技術(shù)和服務(wù)編排技術(shù)，以達(dá)到動(dòng)態(tài)可重構(gòu)的、定制化的安全防御能力。這種方式具有更高的效率和開放性，是真正意義上的軟件定義。

2 SDS 三層模型

SDS 最大的特色即繼承了SDN 的三大特點(diǎn)：集中控制、開發(fā)接口和網(wǎng)絡(luò)虛擬化[2]。因此安全防御體系的SDS架構(gòu)模型依然延續(xù)SDN的三層架構(gòu)，如圖1 所示。

（1）基礎(chǔ)設(shè)施層，包括OpenFlow 交換機(jī)和OpenFlow 路由器等設(shè)備，主要負(fù)責(zé)維護(hù)流表和設(shè)備狀態(tài)等重要信息，從而實(shí)現(xiàn)數(shù)據(jù)平面上的處理，如轉(zhuǎn)發(fā)或丟棄等。

（2）控制層，包含網(wǎng)絡(luò)操作系統(tǒng)NOS、SDN 控制器和安全控制器。SDN 控制器向下通過南向接口以O(shè)penflow 協(xié)議進(jìn)行數(shù)據(jù)/指令交互，向上通過開放式北向接口APⅠ與應(yīng)用層通信，可以通過鏈路層發(fā)現(xiàn)協(xié)議LLDP 可建立全局視圖，管理網(wǎng)絡(luò)資源[3]。目前已公開的SDN 控制器有FloodLight、Beacon、MulJaxon、Nox、Pox 等。在控制層，安全控制器用于定義和維護(hù)以及更新全局的安全策略，該控制器的實(shí)現(xiàn)可以是在原有SDN 控制器的基礎(chǔ)上實(shí)現(xiàn)，也可以單獨(dú)成立。

（3）應(yīng)用層，包括由設(shè)備管理、應(yīng)用管理、策略服務(wù)等通用原子構(gòu)建的通用資源池和由包過濾、策略配置、信譽(yù)評(píng)估、流量統(tǒng)計(jì)等安全原子構(gòu)建的安全資源池。資源池中的資源可以是廠商甲的，也可以是廠商乙的，均采用標(biāo)準(zhǔn)的對(duì)外描述、管理和控制接口。

圖1 SDS 架構(gòu)的安全防御體系模型

3 安全原子模型

SDS 最鮮明的特點(diǎn)是將傳統(tǒng)安全功能進(jìn)行抽象、重整、合并、簡(jiǎn)化成一個(gè)個(gè)安全原子單元，最終進(jìn)行池化。

原子即滿足完成一定功能的，定義在輸入集Ⅰ，輸出集O、狀態(tài)集S 和動(dòng)作集A 上的函數(shù)：輸出O（i，s0，a）=F1（i∈Ⅰ，s0∈S，a∈A）），狀態(tài)S（i，s0，a）=F2（i∈Ⅰ，s0∈S，a∈A）。即對(duì)于特定輸入，有特定輸出及相應(yīng)的內(nèi)部狀態(tài)變遷，可以完成一定功能的資源組。原子服務(wù)作為服務(wù)編制的基本單位，也可以被注冊(cè)為資源。

安全原子資源池即由多種安全原子服務(wù)資源組成的一個(gè)異構(gòu)的集合，采用標(biāo)準(zhǔn)化的封裝技術(shù)，解決廠商鎖定的問題，更開放性的容納第三方廠商的安全功能。

以防火墻為例，作為最傳統(tǒng)最基礎(chǔ)的邊界安全防護(hù)功能，其最核心的三個(gè)功能要素：策略配置和包過濾。策略配置，主要負(fù)責(zé)對(duì)配置數(shù)據(jù)的維護(hù)，除了新增配置操作之外，還需要有刪除、更新及查詢操作，屬于對(duì)外交互接口。代入原子的狀態(tài)函數(shù)，即當(dāng)外部接口輸入操作指令后，會(huì)根據(jù)當(dāng)前狀態(tài)產(chǎn)生相應(yīng)動(dòng)作，因此可以列為一個(gè)原子服務(wù)。包過濾，屬于數(shù)據(jù)處理，依據(jù)特定的規(guī)則，允許或者限制傳輸?shù)臄?shù)據(jù)通過，實(shí)現(xiàn)內(nèi)外網(wǎng)之間的訪問權(quán)限控制。帶入原子的輸出函數(shù)，即當(dāng)有特定數(shù)據(jù)輸入后，會(huì)根據(jù)當(dāng)前規(guī)則狀態(tài)對(duì)該數(shù)據(jù)流執(zhí)行允許或阻斷，因此也可以列為一個(gè)原子服務(wù)。因此這兩個(gè)主體功能即可作為原有防火墻功能抽象后的原子。當(dāng)然，還會(huì)有用于收集和計(jì)算流統(tǒng)計(jì)信息的流管理以及負(fù)責(zé)與認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證交互的認(rèn)證代理等其他功能原子。應(yīng)用層防火墻還會(huì)包括應(yīng)用識(shí)別、應(yīng)用攻擊防護(hù)等功能原子。

DDoS 防御、入侵檢測(cè)、入侵防御以及WAF 等均可以采用此法進(jìn)行安全原子的抽象定義。比如DDoS 是一種利用網(wǎng)絡(luò)上已被攻陷的主機(jī)作為“僵尸機(jī)”，向某一目標(biāo)電腦發(fā)送大量服務(wù)請(qǐng)求的攻擊，把目標(biāo)主機(jī)的網(wǎng)絡(luò)資源或系統(tǒng)資源消耗殆盡，使之無法正常響應(yīng)用戶的服務(wù)請(qǐng)求[4]。針對(duì)其技術(shù)特點(diǎn)，可以抽象出以下幾個(gè)功能原子：（1）流量統(tǒng)計(jì)，根據(jù)五元組或其他信息流進(jìn)行流聚類以此統(tǒng)計(jì)流信息從而作為DDoS 攻擊檢測(cè)的數(shù)據(jù)依據(jù)；（2）信譽(yù)評(píng)估，即用于根據(jù)流表項(xiàng)發(fā)

送頻率進(jìn)行信譽(yù)評(píng)級(jí)，如果發(fā)送頻率超過預(yù)警值、防護(hù)值或緊急值的數(shù)據(jù)流分別進(jìn)行信譽(yù)評(píng)估，從而作為數(shù)據(jù)處理的依據(jù)；（3）策略配置，完成數(shù)據(jù)處理策略的配置、更新及查詢。入侵檢測(cè)主要采用高性能網(wǎng)絡(luò)抓包技術(shù)通過數(shù)據(jù)鏡像端口獲取網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，對(duì)各種類型的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文進(jìn)行預(yù)處理后，通過規(guī)則庫特征匹配算法實(shí)現(xiàn)攻擊檢測(cè)，對(duì)發(fā)現(xiàn)的攻擊異常行為進(jìn)行實(shí)時(shí)告警，產(chǎn)生日志文件。入侵防御是能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)，能夠即時(shí)的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。可以看出，同防火墻和DDoS 防御一樣，ⅠDS 和ⅠPS 依然會(huì)有流識(shí)別、統(tǒng)計(jì)、策略配置等同樣的功能原子。我們就是把這些相同的功能原子進(jìn)行合并、刪掉冗余，減少中間重復(fù)解析和處理的時(shí)延，從而達(dá)到對(duì)安全資源統(tǒng)一管理、按需分配，高效靈活配置的目的。

4 結(jié)語

近年來隨著大量網(wǎng)服務(wù)轉(zhuǎn)移到云端，網(wǎng)絡(luò)邊界的定義越來越模糊化，網(wǎng)絡(luò)攻擊的形式和手段也越來越隱蔽復(fù)雜和靈活多變，傳統(tǒng)的串糖葫蘆的安全防御方式已無法適應(yīng)和面對(duì)網(wǎng)絡(luò)安全現(xiàn)有局勢(shì)，因此網(wǎng)絡(luò)安全防御體系需要進(jìn)行根本性的變革。Gartner 早在2014 年即將“軟件定義安全”作為當(dāng)年的十大信息安全技術(shù)之一，將其作為平臺(tái)革命。隨著這些年SDN 和NFV 技術(shù)的發(fā)展，以及人工智能的快速發(fā)展，軟件定義安全從原來的概念變得越來越清晰化。在實(shí)際應(yīng)用實(shí)踐中這些年各大廠商也是各顯其能，發(fā)揮各自的優(yōu)勢(shì)。但目前多數(shù)僅停留在利用虛擬化技術(shù)實(shí)現(xiàn)的面向云計(jì)算的原生資源池，而非軟件定義。因此在未來網(wǎng)絡(luò)研究中安全原子模型的構(gòu)建有其可行性和必然性。