基于SDN的云計算網(wǎng)絡(luò)平臺安全技術(shù)分析

余競航，陳 欣，陳 石，張 頌，奚夢婷

(國網(wǎng)江蘇省電力有限公司信息通信分公司，江蘇 南京 210024)

0 引言

云計算服務(wù)技術(shù)的普及應(yīng)用，使網(wǎng)絡(luò)安全穩(wěn)定性的挑戰(zhàn)也不斷增多，如何做好網(wǎng)絡(luò)安全維護是云計算日后發(fā)展的重心。目前，云供應(yīng)商逐步強化軟件定義網(wǎng)絡(luò)(Software Defined Network, SDN)和信息安全保障技術(shù)的研究，利用云計算特有的方式及功能，促進計算機信息領(lǐng)域和網(wǎng)絡(luò)云服務(wù)的穩(wěn)定發(fā)展，探索有效途徑解決各類相關(guān)問題。隨著大數(shù)據(jù)時代的到來，高效計算和存儲數(shù)據(jù)已經(jīng)成為未來網(wǎng)絡(luò)計算中需要解決的關(guān)鍵問題。云計算是在并行處理、分布式計算、網(wǎng)格計算等技術(shù)基礎(chǔ)上發(fā)展起來的一種網(wǎng)絡(luò)計算技術(shù)。根據(jù)美國國家標準與技術(shù)研究所(NIST)的說法，云計算是一個共享的資源池(如網(wǎng)絡(luò)、服務(wù)、存儲、應(yīng)用)，當用戶快速獲取和釋放資源時，這種計算模式減少了與服務(wù)提供商的交互和管理費用。在云計算模式下，用戶終端設(shè)備變得非常簡單，用戶只需要發(fā)送請求就可以使用云服務(wù)提供商提供的計算資源、存儲空間等應(yīng)用軟件，用戶不需要購買產(chǎn)品，可以直接購買服務(wù)。云計算之所以發(fā)展如此迅速，是因為它遵循了“按需收費”的原則。用戶訪問由軟件、硬件和存儲設(shè)備組成的資源池時，不需要知道資源池的物理位置和相關(guān)技術(shù)。云計算技術(shù)具有經(jīng)濟實用、高擴展性、高可靠性、便捷性和按需服務(wù)等特點。近年來，云計算技術(shù)得到越來越廣泛的應(yīng)用。將云計算應(yīng)用于移動通信系統(tǒng)的基帶云(云蜂窩)，可以有效地解決高速移動終端(如高鐵)頻繁切換的問題。然而，傳統(tǒng)的云計算網(wǎng)絡(luò)仍然存在許多問題，例如在云計算環(huán)境中，用戶需要為云應(yīng)用配置不同的網(wǎng)絡(luò)層結(jié)構(gòu)，如交換機、子網(wǎng)等[1]。如果可以將具有高度自治連接性能的服務(wù)級網(wǎng)絡(luò)作為云計算的一部分，則可以很容易地解決這個問題。軟件定義網(wǎng)絡(luò)是一種新興的網(wǎng)絡(luò)技術(shù)，它將控制層和數(shù)據(jù)層結(jié)合起來分層分離，在控制層為用戶提供編程接口，使用戶可以根據(jù)自己的需求，通過編程實現(xiàn)對網(wǎng)絡(luò)的動態(tài)監(jiān)控和管理，同時，實現(xiàn)網(wǎng)絡(luò)資源的動態(tài)靈活部署，因此，SDN被認為是解決當前云計算問題的一種有效方法。其主要平臺架構(gòu)如圖1所示。

圖1 基于SDN云網(wǎng)絡(luò)的云平臺架構(gòu)

1 云安全技術(shù)方案概況

1.1 整體方案

SDN的優(yōu)勢主要體現(xiàn)為對網(wǎng)元結(jié)構(gòu)的垂直面進行標準化和開放化處理，對平面和控制平面的分離狀態(tài)進行合理的管控，使得路由分布和網(wǎng)絡(luò)數(shù)據(jù)得以自動化管控。Openstack的優(yōu)勢體現(xiàn)為自動化指標、靈活性、可擴展性和彈性等，在開展研究工作時，在云計算環(huán)境中，使用虛擬化技術(shù)和虛擬化的安全設(shè)備來對安全架構(gòu)進行創(chuàng)建，使平臺內(nèi)部的流量檢測和感知取得最佳的效果[2]。

所有的安全設(shè)備在資源池中被抽象成為多個資源池，使得安全功能變得各不相同。在對資源池規(guī)模進行拓展時，要以具體的業(yè)務(wù)為基礎(chǔ)，積極開展橫向擴展工作，使客戶多樣化的安全需求得到最大程度的滿足。

對于安全運營管理平臺而言，向上作為程序應(yīng)用編程的接口，向下提供設(shè)備資源池化管理策略，縱向部署使業(yè)務(wù)管理平臺的各項需求得到滿足。內(nèi)部結(jié)構(gòu)能夠合理地分解所有接口收集到的數(shù)據(jù)信息資源，使安全運行標準、日志報警模塊和資產(chǎn)庫信息得以不斷地分裂，借助分解信息，使命令推送、智能決策和任務(wù)調(diào)度等功能取得最佳的效果，并使用全自動智能控制模式來取代半自動輸入和手動輸入模式。

安全數(shù)據(jù)和平面得到高效控制以后，對網(wǎng)絡(luò)安全設(shè)備的訪問形式、部署方式和實現(xiàn)功能實現(xiàn)了逐一的解耦。抽象行為是安全資源池中的主要資源類型，軟件編程對頂層業(yè)務(wù)分配實施了自動化和智能化管理，充分發(fā)揮了安全作用，創(chuàng)建了具有較強安全級別的防護網(wǎng)。

1.2 設(shè)置功能模塊

整個系統(tǒng)的開發(fā)模塊主要包括4個部分的內(nèi)容，具體情況如圖2所示。

圖2 系統(tǒng)開發(fā)模塊

運行維護人員和用戶使用的操作界面為展示層，將用戶的指令發(fā)送出去，使得運行維護管理界面得以高效地利用。

云業(yè)務(wù)處理和Espc借助處理層得以實現(xiàn)，Espc的具體功能為用戶管理、統(tǒng)一日志、接收日志、報警管理、安全設(shè)備管理和授權(quán)認證等；云業(yè)務(wù)管理的具體功能為安全管控、安全資源管理和安全應(yīng)用中心等；所有安全服務(wù)的應(yīng)用程序由安全應(yīng)用中心提供，將用戶配置快速地轉(zhuǎn)化為設(shè)備配置語言，對管理配置進行科學劃分，并與用戶管理實現(xiàn)權(quán)限的連接；安全的權(quán)限認證和使用時長管理由安全資源管理負責，實現(xiàn)了科學地設(shè)置連接用戶管理功能和合理地劃分用戶資源。

接口層的類型為縱向南接口和縱向北接口，用戶管理、數(shù)據(jù)庫訪問和第三方日志的對接接口由北部接口提供；日志接口和安全設(shè)備控制接口由南部接口提供。

虛擬設(shè)備為能力層，本文的研究對象為普遍的安全設(shè)備，即VWWSS，vwaf，VRSA，vbvs和vids等。

1.3 技術(shù)方案

1.3.1 OpenStack

OpenStack(K版)在所有的安全設(shè)備中能夠正常運行。

1.3.2 虛擬安全

在openstack云環(huán)中實現(xiàn)配置驗證系統(tǒng)和漏洞掃描的資源池化，對K版openstack的鏡像給予大力的支持，在管理鏡像時，openstack的glance組件發(fā)揮著積極的作用，虛擬化管理時，openstack的Nova組件相互作用，共同發(fā)展。

1.3.3 網(wǎng)絡(luò)集成

服務(wù)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)共同構(gòu)成了網(wǎng)絡(luò)系統(tǒng)，虛擬安全設(shè)備管理和安全運行平臺互聯(lián)借助管理網(wǎng)絡(luò)得以實現(xiàn)，以發(fā)揮安全運營管理平臺的功能，高效處理發(fā)布策略、集中管理、日志收集等任務(wù)需求。并要知曉虛擬安全設(shè)備都需要經(jīng)過網(wǎng)卡認證授權(quán)方可進入訪問；服務(wù)網(wǎng)絡(luò)用于監(jiān)測統(tǒng)計用戶流量(包括東西方向和南北方向)的變化，精準定位用戶需求。

1.3.4 安全運營管理平臺

Openstack與安全操作管理平臺實現(xiàn)了集成創(chuàng)建，對安全操作管理平臺接口對接實施了合理的支配，openstack中虛擬化安全設(shè)備生命周期管理取得了最佳的效果，虛擬化設(shè)備的整個全自動化處理得以高效地完成。

1.3.5 對接SDN網(wǎng)絡(luò)

在設(shè)計SDN網(wǎng)絡(luò)時，其處理方式具有較強的特殊性，會給安全系統(tǒng)的應(yīng)用帶來不同程度的影響，做好虛擬化Web應(yīng)用防火墻的設(shè)置工作，將專用的安全資源池嵌入其中。openstack環(huán)境中單獨存在著安全獨占資源池，在引導受保護對象的傳入流量時，SDN系統(tǒng)的GRE隧道發(fā)揮著重要的作用。

2 驗證技術(shù)方案和評估體系

2.1 驗證技術(shù)方案

2.1.1 虛擬化掃描器RSAS，BVS，WVSS

用戶是不是配置掃描設(shè)備，需要借助安全應(yīng)用程序來實現(xiàn)啟動判斷，同時借助openstack的restapi對掃描儀進行創(chuàng)建，安全應(yīng)用程序在對租戶的所有信息進行獲取時，openstack的restapi發(fā)揮著重要的作用，接著對需要掃描的地址網(wǎng)絡(luò)信息進行查詢。安全應(yīng)用程序在對掃描儀自身的配置信息進行獲取時，需要借助openstack的restapi得以實現(xiàn)，分析掃描儀設(shè)備與網(wǎng)絡(luò)是不是已經(jīng)連接，假如沒有連接上，需要在掃描設(shè)備中添加網(wǎng)絡(luò)，接著再對掃描設(shè)備進行啟動[3]。

2.1.2 虛擬化網(wǎng)絡(luò)入侵檢測

安全應(yīng)用程序在對掃描的安全組進行更新時，需要借助openstack的restapi接口得以實現(xiàn)，使掃描程序能夠準確地進入應(yīng)用。用戶在對IDS保護虛擬IP地址進行發(fā)送時，安全應(yīng)用程序得到高效的利用，用戶是否擁有vaids配置需要由安全應(yīng)用程序后臺來決定，假如沒有安全應(yīng)用程序后臺，管理網(wǎng)絡(luò)IP會將其自動分配到vaids中進行管理，對安全資源池的restapi進行調(diào)用以后，使vaids安全設(shè)備功能得到啟用。安全應(yīng)用后臺根據(jù)IP地址信息對當前租戶網(wǎng)絡(luò)中其所擁有的虛擬機的vportid進行查詢時，需要使用openstack的restapi接口完成查詢?nèi)蝿?wù)。安全應(yīng)用后臺在對虛擬機所在計算節(jié)點主機的IP地址進行查詢時，需要對SDN網(wǎng)絡(luò)接口實施調(diào)用，借助vportid完成查詢?nèi)蝿?wù)。安全應(yīng)用后臺在對GRE通道進行創(chuàng)建時，需要對安全資源池的restapi實施調(diào)用，接著對保護主機IP+MAC地址的流量控制表進行高效的創(chuàng)建。VIDS部署拓撲的具體情況如圖3所示。

圖3 VIDS部署拓撲

2.1.3 虛擬化Web應(yīng)用防火墻

在進入添加的保護站點后，對保護策略進行啟動，得到允許以后，安全應(yīng)用后臺程序能夠?qū)τ脩羰欠翊嬖趘waf虛擬機進行準確的判斷。如果未能發(fā)現(xiàn)虛擬機，管理地址會被自動分配，調(diào)用安全資源池的restapi，快速地創(chuàng)建vwaf。結(jié)合輸入的站點信息，如果是域名，安全應(yīng)用程序后臺會完成域名的IP地址解析工作。安全應(yīng)用程序后臺向vwaf發(fā)布站點保護策略時，vwaf的rest API起到至關(guān)重要的作用。安全應(yīng)用程序后臺開展資源池內(nèi)部引流分配工作時，會調(diào)用安全資源池的restapi[4]。

2.2 技術(shù)方案評估體系

經(jīng)驗證考核，該技術(shù)方案的設(shè)計目標達到了預計效果。(1)安全設(shè)備采用虛擬化技術(shù)，促進匹配的安全設(shè)備的形成，保留主要以軟件的形式存在。安全設(shè)備從實際情況出發(fā)，對部署工作開展實時的調(diào)整，同步部署安全資源池和openstack環(huán)境；(2)安全資源的集中調(diào)度、統(tǒng)一管理和部署在科學使用安全設(shè)備的資源池化后得以最大程度地滿足，提升了可拓展性和靈活性；(3)在對鏡像和安全設(shè)備進行管理的過程中，openstack云平臺的作用得以全面地發(fā)揮，上層安全運營管理平臺與云平臺有機地融合起來，使用openstack接口實現(xiàn)了對安全的高效管理；(4)對數(shù)據(jù)分類模式做好控制工作，SDN控制器與安全運營管理平臺同步合作，實現(xiàn)對調(diào)度流量的按需調(diào)度，促使服務(wù)鏈變得更加完整。管理網(wǎng)、業(yè)務(wù)網(wǎng)等網(wǎng)絡(luò)的衍生功能借助SDN控制器得以實現(xiàn)，同時具備了安全性[5]。

3 結(jié)語

云計算網(wǎng)絡(luò)平臺的安全維護是下一代網(wǎng)絡(luò)發(fā)展的重點項目，現(xiàn)階段SDN的技術(shù)應(yīng)用能滿足云平臺的現(xiàn)實需求，但也要根據(jù)時代變化改變安全方案設(shè)計，優(yōu)化安全策略的實施，為不同行業(yè)安全防護體系的改革提供有力支撐。