基于SDN和NFV的云安全体系建设

admin

文字版：
26FINANCIAL COMPUTER OF CHINA
VIEWPOINT观点
基于SDN和NFV的云安全体系建设
招商银行股份有限公司信息技术部施海滨钟祝君
随着云计算、虚拟化、SDN（软件定义网络）以及
NFV（网络功能虚拟化）等新技术的发展，传统硬件设
备对应用所需要的灵活性、动态性、可调度性支持的缺
失，使人们更多地希望通过新技术来解决这些问题，基
于SDN和NFV的云安全防护体系能够满足应用对这些
特性的需求，该体系在客户侧大规模部署建设是公认的
技术发展方向，是大势所趋。SDN及NFV技术出色的
灵活性和可定义的特性，非常符合计算虚拟化环境下的
网络支撑需求，业界都在讨论如何利用其架构及技术特
点来解决云计算存在的安全问题。
一、云计算面临的安全挑战
云计算、虚拟化等新技术的发展，带来了新一轮的
IT技术变革，赋予了应用灵活性、扩展性、快速交付等
特性，但同时也给网络与业务带来巨大的挑战，如需要
网络能够支持面向应用的二层环境，策略能够根据应用
变化而调整，网络服务模式需要从传统的连接服务转向
面向应用的网络交付，社交网络、在线大流量视频以及
创新的服务模式如物联网、大数据的出现，对网络安全
提出了更高的要求。传统的安全部署模式在管理性、伸
缩性、业务快速升级等方面逐渐表现出对业务支撑能力
的不足：基于拓扑结构的局部安全部署，由于串联设备
性能差异巨大，导致木桶效应明显；分散的设备策略配
置管理，对管理员安全技能要求高；安全规则复杂，手
工配置和维护困难；安全能力无法动态复用，资源浪费
明显；物理安全设备容易成为“拥塞点”和性能瓶颈；
物理安全设备对虚拟机东西向流量不可见，无法实施有
效的安全策略管理；物理安全设备特性开发部署周期长，
不能随着应用需求的变化而快速调整；物理安全设备大
都是封闭、固化的，不能动态伸缩，部署初期资源浪费，
后期网络拓展困难。
二、基于SDN和NFV的云安全体系架构
针对云计算所带来的安全挑战，SDN和NFV作为
新一代网络技术，既可独立部署解决不同的网络问题，
满足不同的业务需求，又能够紧密结合，实现网络灵活
调度、动态扩展、按需快速交付，可最大程度地满足用
户对业务部署的要求。
根据ONF（OpenNetworkFoundation）的SDN分
层体系，SDNFabric网络实现了控制与转发分离、软硬
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。27
观点Viewpoint
2015.11中国金融电脑
件解耦，转发层由支持OpenFlow及Overlay等核心技
术的网络硬件设备组成，控制层由软件控制集群及硬件
设备的操作系统完成。同时，创新性地将NFVManager
以APP的形式集成到VCFC控制集群上，可实现SDN
控制器集群对NFV的定义、NFV的自动化部署及NFV
资源池的弹性伸缩等生命周期控制管理。
基于SDN及NFV技术的云安全体系架构的基础硬
件层和物理抽象层不仅包括运行NFV的物理服务器，
还包括物理安全设备、嵌入安全的vSwitch物理服务器、
支持虚拟化的安全物理设备等设施，与SDN架构中的
数据转发层相对应；业务控制层则由NFV操作系统、
设备操作系统与上层应用组成。
基于SDN及NFV技术的云安全体系的功能区域包
括以下几部分：一是云计算接入安全，通过嵌入式安全
vSwitch技术，形成基于状态的安全防护体系；二是云
计算出口安全，支持虚拟化的高性能安全物理设备、灵
活的NFV技术等最大化满足公有云的安全防护及网络
安全业务需求；三是云计算互访安全，面对虚拟化、复
杂的云计算东西向流量和南北向流量，云安全资源池可
实现对不同租户计算、相同租户下不同计算互访的安全
需求，如防火墙、IPS、负载均衡、DPI等，通过SDN
控制器集群实现安全业务的按需动态部署及自动化弹性
伸缩，达到云计算安全业务的自动化交付、简化管理；
四是云计算VCFC控制器集群，作为云安全体系的控制
大脑，VCFC控制器集群不仅负责基于SDNFabric部署
Overlay虚拟化网络创建、流量转发与维护等的管理，
还负责完成对云计算安全业务的动态部署、NFV生命周
期管理等，并提供丰富的北向API，完成和云管理平台
的无缝对接。
三、云安全体系特点及价值
SDN基于控制与转发分离理念，以各种标准南北向
开放接口为手段，实现网络灵活适配应用；NFV利用虚
拟化技术，通过标准x86服务器运行防火墙、IPS、LB
等网络安全业务，并形成资源池化，让网络不再依赖于
专用硬件，从而使云安全体系的安全业务能够“弹性扩
展”、“快速交付”、“统一部署”，解决传统安全部
署的“拓扑依赖”问题。
1.可定义、自适应的安全
SDN将控制层从转发设备上分离出来，为实现软件
灵活定义网络创造了条件。网络管理员可以方便地定义
基于网络流的安全控制策略，并将其应用到各种网络设
备中，从而实现对整个网络通信的安全控制。
SDN网络可以实现基于流的调度，网络管理员可以
静态配置或者动态生成引流规则，将报文牵引到不同的
安全设备上进行处理。与传统的基于IP包的转发规则
相比，基于流的调度使安全服务和管控更加细粒度，提
升了安全服务的防护效率和准确性。
SDN网络具有基于控制器的软件编程能力，网络
管理员通过安全APP或者安全模板提供安全即服务
SaaS，安全设备运维管理自动化配置，实现维护服务更
有效、更低成本、更快速，在降低安全运维和学习成本
的同时提高安全防护的及时性和效率。
2.可管理的全局安全策略
SDN控制器集群通过对各种物理安全设备和NFV
网元进行抽象，将原先离散的、异构的设备形成统一的
逻辑安全资源池，并对所有安全资源进行统一调度，同
时通过“安全服务链”实现流量检测路径规划，提供与
拓扑无关的全局安全策略。
SDN控制器集群具备全局视野，掌握整个管理域
范围内的流信息，可以实现分布式安全设备的协同工
作。如当在IPS检测点发现DDOS攻击时，可以立刻
通知控制器集群在接入侧（如嵌入式安全vSwitch）生
成一条动态黑名单或者防火墙策略，将特定攻击报文
丢弃，从而使恶意流量在源端即被遏制，提升安全防
护效率。
全局安全资源池可以实现安全资源的动态复用和弹
性扩展。这样，在网络部署初期不需要为未来的扩展预
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。28FINANCIAL COMPUTER OF CHINA
VIEWPOINT观点
留不必要的安全设备，而且可以通过虚拟设备做到一机
多用，减少安全设备的数量和投入成本。当安全设备性
能不足时，可以在资源池中新增相应的逻辑安全资源，
SDN控制器集群根据HASH引流规则，将不同的流量
分配到不同的安全资源上，实现资源的弹性扩展。
3.安全自动化快速部署、弹性扩展
云计算业务的多样化以及快速变化的特点，对安全
业务提出了灵活性要求。传统安全设备内置的业务及业
务流程相对固定，无法随着应用需求的变化而变化，而
SDN和NFV技术的结合可完美地实现安全业务的灵活
定义、按需快速部署、弹性扩展。
NFV技术通过将设备的硬件和软件解耦，可将传统
设备提供的安全业务功能分解成一个个VNF单元，通
过云平台或SDNVCFC控制器集群对NFV资源池、安
全设备、网络设备及vSwitch上的业务进行统一管理，
根据应用需求、业务流量特点定义不同的业务链，实现
不同业务流经过不同安全单元进行差异化处理，并通过
模板化方式实现各种复杂业务的快速部署。
（1）NFV资源弹性部署
通过VCFC控制器集群不仅可创建并对服务器动态
下发NFV资源节点，如vFW、vNAT、vIPS、vDPI、
vLB等，同时针对支持虚拟化的安全设备，动态创建虚
拟FW、虚拟LB等，实现不同租户、同一租户不同应
用的云安全业务部署。
（2）嵌入式安全
VCFC控制器集群基于虚拟化技术抽象定义出VNF
安全业务，下发至SDNFabric网络的接入vSwitch及统
一出口网关设备，满足不同租户、同一租户不同业务的
云计算在接入层面、出口层面的安全业务需求。
嵌入VNF安全业务在云计算环境中，对同一服务
器内部众多的东西向流量可提供有效的安全防护。同时，
嵌入VNF安全业务是基于状态的，能够对东西向流量
进行安全策略和TCP状态检查。
在虚拟环境中，VM的迁移非常常见，因此安全防
护策略需要跟随VM迁移实现自动防护；当虚拟机迁移，
VNF中对VM的引流策略以及相关的安全策略要能够
自动迁移到新主机，确保VM安全防护策略不因迁移而
发生变化。
（3）业务安全自动化
基于SDNFabric的云安全体系，通过VCFC控制
器集群部署的NFV资源、VNF安全业务自动关联至对
应的租户或租户的业务流量，实现服务链的自动部署。
4.南北向API的全面、兼容性
SDN和NFV技术的开放性决定了云安全体系也是
一个开放的体系。SDN和NFV云安全体系各组件秉承
标准、开放、端到端的理念，提供全面、丰富、灵活的
南北向接口。
5.灵活的安全云服务
随着云计算和移动互联网的蓬勃发展，网络数据量
爆炸式增长。安全管理员在利用流量日志分析安全威胁
时很容易淹没在大量的“噪音”数据中，很难发现日
志中存在的高风险异常现象或趋势。云安全体系可通过
安全资源池海量网络流量、日志、告警、状态、异常数
据信息综合采集和分析，输出网络安全报表，内容包括
TOPN攻击，基于地址或者应用的丢包TOPN，基于地
址或者应用的连接数TOPN，过去1小时、1天甚至1
个月的会话新建和并发统计数报表等，让网络管理员对
网络数据了如指掌，主动感知网络安全态势，利用SDN
控制器机群统一的安全策略下发和控制，动态实时更新
学习安全策略和修复网络。云安全体系还提供在线病毒
和特征库升级以及紧急风险策略同步，有效防御0-day
攻击，提供智能灵活的云安全服务。
当前云计算模式已得到业界普遍认同，成为信息技
术领域新的发展方向。随着云计算的大量应用，云环境
的安全问题也日益突出。建立自动化、虚拟化、可动态
弹性伸缩的云安全防护体系已是大势所趋。随着SDN
和NFV技术的不断演进，云安全的防护体系也将日益
完善，推动云计算更加健康、有序地发展。FCC
栏目编辑：李庆莉liqingli@fcc.com.cn
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。