基于SDN的云數(shù)據(jù)中心安全防護(hù)技術(shù)研究

張少芳 王劍釗 劉延鋒

摘 要：區(qū)別于傳統(tǒng)的數(shù)據(jù)中心，云數(shù)據(jù)中心資源虛擬化的特性使其內(nèi)部網(wǎng)絡(luò)變得扁平化，隨之而來的主要網(wǎng)絡(luò)流量方向的變化、網(wǎng)絡(luò)邏輯邊界的模糊等問題，使得傳統(tǒng)的數(shù)據(jù)中心安全技術(shù)已經(jīng)無法滿足其需求。而SDN通過給出多個維度的立體安全防護(hù)設(shè)計(jì)，能夠有效滿足云數(shù)據(jù)中心對安全的彈性需求，為其業(yè)務(wù)提供更為可靠的安全保障。

關(guān)鍵詞：SDN;數(shù)據(jù)中心;安全;控制器;網(wǎng)絡(luò)

1 SDN的概念

SDN全稱為Software Defined Network，中文名稱為軟件定義網(wǎng)絡(luò)。作為一種網(wǎng)絡(luò)虛擬化技術(shù)，它最早由美國斯坦福大學(xué)Nick McKeown教授所領(lǐng)導(dǎo)的研究組提出。其技術(shù)的關(guān)鍵是將傳統(tǒng)網(wǎng)絡(luò)設(shè)備中緊密耦合在一起的轉(zhuǎn)發(fā)平面和控制平面進(jìn)行邏輯上的剝離，從而實(shí)現(xiàn)對網(wǎng)絡(luò)中通信數(shù)據(jù)的動態(tài)控制，使網(wǎng)絡(luò)更易于集中管理并能對用戶需求變化及時做出響應(yīng)。

在傳統(tǒng)網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備是純分布式的控制，其控制面和轉(zhuǎn)發(fā)面緊密耦合，數(shù)據(jù)的轉(zhuǎn)發(fā)行為受到各種網(wǎng)絡(luò)協(xié)議的控制，而網(wǎng)絡(luò)管理員無法直接操控轉(zhuǎn)發(fā)行為。

SDN則進(jìn)行了轉(zhuǎn)控的分離，采用集中式的控制方式，使網(wǎng)絡(luò)管理員可以直接通過應(yīng)用程序來操控設(shè)備的轉(zhuǎn)發(fā)行為，而不受任何協(xié)議的影響。

SDN的基本架構(gòu)如圖1所示。

1.1 網(wǎng)絡(luò)設(shè)備

與傳統(tǒng)的物理網(wǎng)絡(luò)設(shè)備不同，在SDN中網(wǎng)絡(luò)設(shè)備被看作一個邏輯層次，以轉(zhuǎn)發(fā)平面的形式出現(xiàn)。實(shí)際中，它可以是諸如交換機(jī)、路由器、防火墻等硬件設(shè)備，也可以是類似OpenVSwitch的虛擬交換機(jī)。網(wǎng)絡(luò)設(shè)備負(fù)責(zé)存儲網(wǎng)絡(luò)中所有的轉(zhuǎn)發(fā)表項(xiàng)，并基于SDN控制器的指令來接收用戶的數(shù)據(jù)報(bào)文，然后根據(jù)流表對其進(jìn)行轉(zhuǎn)發(fā)。

網(wǎng)絡(luò)設(shè)備在其上層SDN控制器的控制下進(jìn)行工作，他們之間的通信基于南向接口實(shí)現(xiàn)，網(wǎng)絡(luò)設(shè)備一方面需要接收并執(zhí)行SDN控制器對其發(fā)出的指令，另一方面在遇到異常情況時也會主動發(fā)送Trap報(bào)文到SDN控制器。

1.2 南向接口

南向接口是轉(zhuǎn)發(fā)平面與控制平面之間進(jìn)行溝通的通道。在傳統(tǒng)網(wǎng)絡(luò)中，南向接口、控制平面和轉(zhuǎn)發(fā)平面一起被集成在硬件網(wǎng)絡(luò)設(shè)備中，對外并不可見。而在SDN架構(gòu)中，希望通過對南向接口進(jìn)行標(biāo)準(zhǔn)化來對網(wǎng)絡(luò)設(shè)備的軟硬件進(jìn)行解耦，否則SDN到最后還是特定軟件只能在特定硬件上運(yùn)行。

注意：南向接口向上屏蔽了硬件交換機(jī)和虛擬交換機(jī)的區(qū)別，上層能看到的只是抽象的轉(zhuǎn)發(fā)平面。

1.3 控制器

在一個SDN網(wǎng)絡(luò)中，控制器（Controller）的數(shù)量可能不止一個，當(dāng)存在多個Controller時，它們之間的關(guān)系可能是相互獨(dú)立的對等關(guān)系，也可能是主從的關(guān)系。如果多個Controller之間為主從關(guān)系，則只能有一臺主Controller。Controller和網(wǎng)絡(luò)設(shè)備之間的關(guān)系則可以是多對多的關(guān)系。Controller一般會被安裝在專門進(jìn)行網(wǎng)絡(luò)管理的服務(wù)器上。

作為SDN網(wǎng)絡(luò)中的核心，Controller向上會為上層服務(wù)提供應(yīng)用程序接口，向下則基于OpenFlow等協(xié)議控制轉(zhuǎn)發(fā)平面的行為。

1.4 北向接口

在傳統(tǒng)網(wǎng)絡(luò)中，北向接口指的是諸如iMC、eSight等對網(wǎng)絡(luò)進(jìn)行管理的軟件與硬件網(wǎng)絡(luò)設(shè)備之間的接口，一般采用簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）來進(jìn)行通信。在SDN架構(gòu)中，指的則是SDN Controller與上層Application之間的接口。

1.5 應(yīng)用服務(wù)

包括負(fù)載均衡、安全、網(wǎng)絡(luò)運(yùn)行情況檢測、拓?fù)浒l(fā)現(xiàn)等各種服務(wù)，其目的主要是對網(wǎng)絡(luò)進(jìn)行管理，最終表現(xiàn)形式均為軟件應(yīng)用程序。它們的安裝位置既可以與Controller在同一臺物理服務(wù)器上，也可以在不同的服務(wù)器上，只要其與Controller之間通過北向接口可以通信即可。

2 云數(shù)據(jù)中心面臨的安全挑戰(zhàn)

在傳統(tǒng)的數(shù)據(jù)中心中，其網(wǎng)絡(luò)往往采用接入層、匯聚層和核心層的三層架構(gòu)，對網(wǎng)絡(luò)資源通過功能分區(qū)的方式進(jìn)行部署，區(qū)域之間或者通過劃分VLAN結(jié)合VLAN間訪問控制的方式進(jìn)行邏輯上的隔離，或者直接進(jìn)行物理上的隔離。數(shù)據(jù)中心網(wǎng)絡(luò)與外網(wǎng)之間則一般通過硬件防火墻設(shè)備來進(jìn)行隔離。而云數(shù)據(jù)中心通過對資源的虛擬化打破了傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)的物理邊界，網(wǎng)絡(luò)從三層架構(gòu)轉(zhuǎn)變?yōu)檫壿嬌系拇蠖泳W(wǎng)絡(luò)。這也為如何保障云數(shù)據(jù)中心的安全帶來了挑戰(zhàn)。

（1）虛擬化技術(shù)使數(shù)據(jù)中心的流量從以前的南北向流量為主轉(zhuǎn)為了東西向流量為主，而傳統(tǒng)上基于功能分區(qū)的訪問控制導(dǎo)致東西向流量的路徑迂回，從而使通信延遲增大，云數(shù)據(jù)中心無法為租戶提供高效的服務(wù)。

（2）隨著云數(shù)據(jù)中心租戶以及虛擬機(jī)規(guī)模的增大，基于高效利用資源的虛擬機(jī)動態(tài)遷移增加，網(wǎng)絡(luò)安全邊界變得模糊，傳統(tǒng)手工配置的VLAN和ACL明顯無法滿足彈性邊界安全的需求，云數(shù)據(jù)中心需要可以實(shí)現(xiàn)策略隨行的自動化安全策略來保障虛擬應(yīng)用業(yè)務(wù)的安全遷移。

3 基于SDN的云數(shù)據(jù)中心多維安全模型

針對云數(shù)據(jù)中心的特點(diǎn)，需要從“數(shù)據(jù)中心—子網(wǎng)—租戶—端口”各個維度給出立體的安全防護(hù)設(shè)計(jì)，為數(shù)據(jù)中心的業(yè)務(wù)提供更為可靠的安全保障。

與傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全策略類似，云數(shù)據(jù)中心整體安全保障依然需要在網(wǎng)絡(luò)的入口集中式的放置硬件防火墻設(shè)備，當(dāng)然為滿足云數(shù)據(jù)中心對安全的彈性需求，往往還需要結(jié)合虛擬化技術(shù)來實(shí)現(xiàn)防火墻資源的池化。

子網(wǎng)級別的安全需要為不同類型的租戶分配不同的vRouter或者vFireWall實(shí)例，一方面實(shí)現(xiàn)子網(wǎng)之間的隔離，另一方面可以通過策略實(shí)現(xiàn)特定的通信。

租戶級別的安全主要需要實(shí)現(xiàn)不同租戶之間的邏輯隔離，以避免租戶間的信息泄露以及安全問題的互相感染。這可以通過VxLAN等Overlay技術(shù)來實(shí)現(xiàn)。

端口級別的安全則需要將vSwitch上的端口與虛擬機(jī)進(jìn)行綁定，形成安全組。安全組不僅要保障虛擬機(jī)之間東西向流量的安全，還需要保障端口安全策略能夠隨虛擬機(jī)進(jìn)行遷移，實(shí)現(xiàn)策略的隨行。

當(dāng)然，各維度的安全保障都需要SDN技術(shù)的支持，vSwitch、vRouter以及vFireWall等VNF（Virtual Network Funcation，虛擬網(wǎng)絡(luò)功能）實(shí)例均運(yùn)行在SDN的轉(zhuǎn)發(fā)平面，需要由SDN控制平面的Controller通過NETCONF等協(xié)議對其進(jìn)行自動化的配置管理，包括安全策略的配置、對安全組規(guī)則的下發(fā)以及對會話的管理，以及將不同租戶的流量引導(dǎo)到不同的VNF實(shí)例中等。

對于SDN Controller而言，云數(shù)據(jù)中心整體安全策略的配置一般實(shí)施到租戶級別的粒度，且由于策略實(shí)施后一般不會有太多的動態(tài)變化，因此相對來說比較簡單。而安全組規(guī)則的下發(fā)，則需要在“端口/虛擬機(jī)”級別實(shí)現(xiàn)安全防護(hù)。其實(shí)現(xiàn)主要有兩種方式：一種通過傳統(tǒng)的Iptables來實(shí)現(xiàn)，由SDN Controller集中進(jìn)行Iptables規(guī)則的分發(fā)或者配置;另一種則是通過vSwitch設(shè)備的流表匹配相應(yīng)的字段來實(shí)現(xiàn)安全組策略，當(dāng)然這首先需要vSwitch設(shè)備支持標(biāo)準(zhǔn)的SDN南向接口協(xié)議OpenFlow。無論哪種方式，都需要SDN Controller能夠動態(tài)的感知虛擬機(jī)的位置，當(dāng)虛擬機(jī)發(fā)生遷移時能夠及時的將相應(yīng)的安全組規(guī)則隨之遷移。

SDN Controller對于會話的管理主要涉及會話的同步和會話的備份兩部分，會話的同步可以根據(jù)云數(shù)據(jù)中心的實(shí)際場景來選擇實(shí)時同步還是定期同步;會話的備份一般需要SDN Controller在各個VNF實(shí)例上進(jìn)行熱備份，以保障VNF的高可用性。

4 SDN自身的安全

在為云數(shù)據(jù)中心提供安全性保障的同時，SDN自身的安全也應(yīng)該受到重視。因?yàn)橐坏㏒DN的安全性出現(xiàn)問題，則整個云數(shù)據(jù)中心的安全性也就無從談起。當(dāng)然，對于SDN安全的研究還沒有形成特別成熟的體系，但其重點(diǎn)應(yīng)該是SDN Controller的安全。

對于SDN Controller而言，最基本的安全要求是需要在其南向接口和北向接口上進(jìn)行身份的認(rèn)證、數(shù)據(jù)的加密和校驗(yàn)，以防止非法接入、竊聽以及重放等攻擊方式;另外對于一些關(guān)鍵操作需要進(jìn)行行為審計(jì)，以確保其合法性。如果進(jìn)行網(wǎng)絡(luò)部署時需要將SDN控制器暴露在公網(wǎng)上，還需要對其進(jìn)行全面的安全防護(hù)等。

5 結(jié)語

對于云數(shù)據(jù)中心所面臨的安全問題，通過立體的安全防護(hù)設(shè)計(jì)，由SDN為其提供多維度的安全保障，實(shí)現(xiàn)租戶之間的邏輯隔離以及安全策略的隨行，從而可以有效地保障云數(shù)據(jù)中心數(shù)據(jù)以及網(wǎng)絡(luò)的安全。

參考文獻(xiàn)：

[1]張晨.云數(shù)據(jù)中心網(wǎng)絡(luò)與SDN技術(shù)架構(gòu)與實(shí)現(xiàn)[M].北京：機(jī)械工業(yè)出版社，2018.117-119.

[2]陳井泉，王龍，魏月蓮，吳蔣.基于SDN的云計(jì)算數(shù)據(jù)中心安全架構(gòu)研究[J].現(xiàn)代電子技術(shù)，2020（03）.87-91.

[3]陳銀，陳柯，任森.基于SDN技術(shù)的云化數(shù)據(jù)中心解決方案[J].通信技術(shù)，2019（01）：152-156.

[4]謝瑩.云計(jì)算數(shù)據(jù)中心安全防護(hù)技術(shù)研究[J].西南民族大學(xué)學(xué)報(bào)（自然科學(xué)版），2018（11）：616-620.

[5]鐘翠，王蕾，羅興.云數(shù)據(jù)中心的SDN解決方案[J].電信科學(xué)，2018（07）：15-22.

基金項(xiàng)目：石家莊郵電職業(yè)技術(shù)學(xué)院科研項(xiàng)目（項(xiàng)目編號：YB2020019）項(xiàng)目名稱：云計(jì)算環(huán)境下數(shù)據(jù)中心信息安全體系架構(gòu)研究

作者簡介：張少芳（1982— ），男，河北寧晉人，碩士，副教授，主要研究方向?yàn)榫W(wǎng)絡(luò)安全與管理、網(wǎng)絡(luò)集成技術(shù);王劍釗（1974— ），男，河北曲陽人，本科，高級工程師，研究方向：多媒體技術(shù)、網(wǎng)絡(luò)教育培訓(xùn);劉延鋒（1980— ），男，河北邯鄲人，碩士，高級工程師，研究方向：計(jì)算機(jī)基礎(chǔ)教育、計(jì)算機(jī)教學(xué)管理。