【技术前沿】基于SDN/NFV的云安全实践
背景
云计算近年来已经得到了众多用户的认可,很多客户已经或者正在规划将其业务系统进行不同规模的云化。在这个过程中,除了用户广泛关注的云计算系统的稳定性、性能、隔离等问题之外,云上业务的安全性也越来越受到用户的重视。
从管理模式上看,传统的IT系统通常有着唯一的运营使用单位,这样系统提供方和用户之间就有了清晰的安全职责划分,一旦系统出现安全隐患或者安全事件,会有明确的责任人处置。在云计算这种以服务为核心的模式下,整个IT系统会面临云服务提供方、云租户和云用户多方的关系,如何明确各自的职责,是确保云计算系统安全的一个重要前提。
软件定义
SDN
软件定义网络(Software Defined Networking,SDN)提出了一种全新的网络架构,能够通过逻辑上集中的控制平面,实现网络管理、控制的集中化、自动化。那么SDN和安全又有什么样的关系呢?
要解答这个问题,我们首先来看一下SDN的本质,SDN是一种架构,一种思想。根据这种思想可以总结出三个本质的属性:控制与转发分离、集中化的网络控制、开放的编程接口。
下面这张图是盛科网络早期的时候提出的一种基于SDN的安全解决方案,在该方案中,将SDN交换机部署至机房入口路由的位置,方案中将其作为LB使用。IDS、IPS、FW等安全设备全部连接到这个SDN交换机上,SDN控制器根据需求,向交换机下发相应的流表策略,使特定的流量经过特定的安全设备进行安全检测/防护。当然这种方案还可以将同一条流依次调度到不同的安全设备,实现安全服务链。
2
NFV
传统的网络服务,通常是采用各种各样的私有专用网元设备实现不同的网络/安全功能,比如深度包检测DPI设备、防火墙设备、入侵检测设备等。网络功能虚拟化(Network Function Virtualization,NFV)利用IT虚拟化技术,将现有的各类网络设备功能,整合进标准的IT设备,如高密度服务器、交换机、存储等,通过管理控制平面,实现网络/安全功能的自动化编排。下图是欧洲电信标准化协会(ETSI)为NFV制定的参考架构,从图中可以看出,该参考架构将NFV基本分为了三层:NFV-I(Infrastructure),VNF-M(Manager)和NFV-O(Orchestrator)。
下图是OSM(Open Source MANO)技术白皮书中对于MANO在NFV架构中位置的描述,其中红色的部分为MANO的实现。
从上面的描述和SDN/NFV的架构可以看出,NFV更多强调的是网络功能的管理和服务编排(MANO),其重点应该是在功能层面。而SDN更强调的是集中化的网络管理和控制,重点应该是在流量层面。
SDN和NFV之间并不存在依赖关系,可以相互独立的部署运行。但是二者之间又有着很强的互补性,SDN灵活的流量调度能力和开放的可编程能力,可以使NFV的部署性能增强,简化互操作性;NFV又能为SDN的应用提供良好的使用场景和基础设施支持。这样二者融合在一起,就可以实现一个完整的、开放的虚拟化网络平台。
3
基于SDN/NFV的安全架构
基于SDN/NFV技术,可以构建一个完整的、开放的虚拟化网络平台,那么能否在此基础上,整合构建出一个虚拟化的安全解决方案呢?答案当然是肯定的。
如下图所示,就是一种基于SDN/NFV的安全方案架构图,除去计算、存储、网络等硬件基础设施之外,整个架构自底向上共分为资源池、安全控制平台和安全应用三个层次。
资源池是各种安全防护功能的集合,具体可以包括但不限于:
安全预防类功能:系统漏洞扫描(vRSAS)、web漏洞扫描(vWVSS)等;
安全检测类功能:网络入侵检测系统(vNIDS)、网络流量分析系统(vNTA)等;
安全防护类功能:网络入侵防御系统(vNIPS)、下一代防火墙(vNF)等;
安全响应类功能:安全审计系统(vSAS)、堡垒机等。
在设备形态上,安全资源池内的安全功能既可以是依托虚拟化的安全设备(VNFs),也可以是传统的硬件安全设备;在基础设施层面,既可以采用独立的安全节点进行部署,也可以依托OpenStack、VMware、FusionSphere等云计算IaaS平台。具体可参考下面的示意图。
云安全实践
那么这种基于SDN/NFV的安全架构应该怎么样来集成到业务系统进行安全防护呢?
要回答这个问题,我们先把使用场景分为两类:
(1)云计算、软件定义数据中心这类的系统/平台;
(2)NFV系统。
下面我们从第一个场景着手,看一下绿盟科技是如何设计其安全解决方案的。如下图所示,是方案的整体架构图,主要分为4个部分,最下面的VNFs,也就是安全的资源池,这里的安全功能提供者既可以是绿盟的设备,也可以是第三方厂商的设备,设备之间通过SDN网络实现互联。SIEM系统主要是用来收集下层安全设备的日志和告警等信息,提供威胁分析的数据来源。安全资源池控制器一方面负责VNFs的管理控制,同时还负责与云平台进行适配。最上面是云安全管理平台的门户,为用户提供安全服务和运维服务等多个使用门户。
绿盟科技云安全解决方案为用户云上业务提供预防(RSAS、BVS等)、检测(NIDS等)、保护(NIPS、NF等)和响应(SAS、ESP等)全系列的安全服务。近年来,先后在政府、金融、能源、教育、运营商等众多行业落地应用,解决了用户南北向和东西向流量安全问题。
如下图所示,为某运营商提供南北向和东西向安全服务,绿盟云安全管理平台与客户云计算系统对接,通过外置安全资源池和内置资源池结合的方式,将南北向流量和东西向流量进行调度,完成安全检测和防护。
总结
云计算越来越多的得到人们的认可,随之而来的,其安全问题也引起了更多人的关注。云计算系统作为较传统的IT系统,既涉及到管理模式、服务模式的创新,同时又涉及到虚拟化、隔离等技术层面的创新,因此其安全的着手点也是千姿百态。本文主要针对云上业务的安全,分析并展示了基于SDN/NFV技术的云安全实践方案。
希望通过本文的介绍,能够让大家对云安全有更多的认识。
完整内容请点击文末阅读原文
请点击屏幕右上方“…” NSFOCUS-weixin | |
↑↑↑长按二维码,下载绿盟云APP
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 奋力打开改革发展新天地 7968925
- 2 中国黄金原董事长家搜出大量黄金 7905545
- 3 保时捷断臂求生 7877255
- 4 “冷资源”里的“热经济” 7736003
- 5 女子过马路遭压路机辗压身亡 7617009
- 6 刘强东提前发年终奖 7589549
- 7 向佐红毯小牌大耍 7476823
- 8 喝水后有4种表现提示肾有问题 7306187
- 9 十来岁男孩尾随女孩进电梯脱裤子 7299200
- 10 飞机锁座越来越多 7158845