［何明 樊寧 沈軍］

云數(shù)據(jù)中心安全集中管控架構(gòu)研究

［何明 樊寧 沈軍］

傳統(tǒng)的基于物理邊界防護(hù)的安全架構(gòu)無(wú)法應(yīng)對(duì)虛擬化安全需求，同時(shí)，相對(duì)固化的架構(gòu)也無(wú)法根據(jù)業(yè)務(wù)應(yīng)用場(chǎng)景進(jìn)行靈活的功能調(diào)整和定制，不能滿足業(yè)務(wù)的彈性、按需的安全需求，這給云數(shù)據(jù)中心安全業(yè)務(wù)的開(kāi)展帶來(lái)挑戰(zhàn)。文章通過(guò)分析云數(shù)據(jù)中心的安全業(yè)務(wù)需求以及面臨的技術(shù)挑戰(zhàn)，提出基于SDN架構(gòu)的集中安全控制架構(gòu)，通過(guò)集中安全控制器與SDN網(wǎng)絡(luò)控制器以及云管理平臺(tái)的協(xié)同，實(shí)現(xiàn)安全業(yè)務(wù)自助式即時(shí)開(kāi)通、安全資源按需彈性提供，滿足云安全業(yè)務(wù)需求。

云數(shù)據(jù)中心 SDN 安全集中管控 安全能力編排

何明

碩士，中國(guó)電信股份有限公司廣東研究院，工程師，主要研究方向：通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全。

樊寧

碩士，中國(guó)電信股份有限公司廣東研究院，工程師，主要研究方向：通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全。

沈軍

碩士，中國(guó)電信股份有限公司廣東研究院，高級(jí)工程師，主要研究方向：通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全。

1 背景

隨著互聯(lián)網(wǎng)+戰(zhàn)略的提速，定位為互聯(lián)網(wǎng)基礎(chǔ)支撐設(shè)施的云計(jì)算開(kāi)始加速?gòu)慕ㄔO(shè)階段向普及階段邁進(jìn)。在這個(gè)過(guò)程中，云計(jì)算的安全可控成為核心要素，關(guān)系著云計(jì)算是否能平穩(wěn)落地，實(shí)現(xiàn)健康可持續(xù)地發(fā)展。由于云計(jì)算平臺(tái)匯聚了大量的數(shù)據(jù)、應(yīng)用，更容易吸引黑客的注意力，因此，近年來(lái)針對(duì)云服務(wù)的攻擊事件逐年增多。安全不僅成為云服務(wù)提供商面臨的挑戰(zhàn)，也是廣大用戶選擇云計(jì)算應(yīng)用時(shí)首要的考慮因素。

云計(jì)算雖然改變了服務(wù)方式，但并沒(méi)有顛覆傳統(tǒng)的安全模式，因此業(yè)界對(duì)于云計(jì)算安全防護(hù)基本都采用了相同的路線，即基于成熟的安全理論及體系，結(jié)合云計(jì)算應(yīng)用特點(diǎn)，融合傳統(tǒng)安全技術(shù)、安全新技術(shù)以及安全新機(jī)制，并將其延伸到云計(jì)算應(yīng)用及安全管理中，滿足云計(jì)算應(yīng)用的安全防護(hù)需求。具體來(lái)說(shuō)，主要是綜合利用加密、安全隔離、細(xì)粒度訪問(wèn)控制、安全審計(jì)等傳統(tǒng)安全技術(shù)的基礎(chǔ)之上，重點(diǎn)加強(qiáng)虛擬化層安全管控、規(guī)范內(nèi)部安全運(yùn)營(yíng)管理，解決云計(jì)算由于服務(wù)模式、虛擬化技術(shù)帶來(lái)的特有的安全問(wèn)題。

本文通過(guò)分析目前的虛擬化安全技術(shù)發(fā)展情況，結(jié)合云計(jì)算安全業(yè)務(wù)發(fā)展需求，提出基于SDN架構(gòu)的集中安全控制架構(gòu)，期望通過(guò)集中安全控制器與SDN網(wǎng)絡(luò)控制器以及云管理平臺(tái)的協(xié)同，實(shí)現(xiàn)安全業(yè)務(wù)自助式即時(shí)開(kāi)通、安全資源按需彈性提供，滿足云安全業(yè)務(wù)需求。

2 云數(shù)據(jù)中心安全需求分析

本質(zhì)上，云計(jì)算應(yīng)用和普通信息系統(tǒng)并無(wú)不同，因此其同樣會(huì)遭受傳統(tǒng)安全威脅。云數(shù)據(jù)中心的安全運(yùn)維同樣要解決傳統(tǒng)安全威脅的防護(hù)，包括邊界防護(hù)、DDOS防護(hù)、入侵防護(hù)等等。同時(shí)，安全運(yùn)維人員還必須面對(duì)虛擬化技術(shù)以及業(yè)務(wù)模式的改變所引入的新的安全挑戰(zhàn)：

首先，虛擬化技術(shù)的應(yīng)用，使得傳統(tǒng)的物理安全設(shè)備無(wú)法監(jiān)測(cè)虛擬機(jī)之間的東西向流量，留下了安全監(jiān)控的盲點(diǎn)；

其次，虛擬化、SDN等技術(shù)使得云計(jì)算網(wǎng)絡(luò)朝著自動(dòng)化、智能化方向發(fā)展，業(yè)務(wù)快速變化，而傳統(tǒng)安全解決方案缺乏對(duì)云計(jì)算業(yè)務(wù)的感知，無(wú)法適應(yīng)虛擬化環(huán)境下業(yè)務(wù)的快速變更；

第三，傳統(tǒng)安全部署缺乏自動(dòng)化的手段，在云計(jì)算快速變化的環(huán)境下，需要進(jìn)行大量的人工操作，管理效率低下且容易出現(xiàn)安全疏漏。

為了應(yīng)對(duì)上述挑戰(zhàn)，云數(shù)據(jù)中心的安全部署應(yīng)滿足如下要求：

首先安全資源應(yīng)該盡量池化，通過(guò)安全資源集中，可為云計(jì)算安全業(yè)務(wù)資源的彈性調(diào)用奠定基礎(chǔ)。同時(shí)通過(guò)安全資源的橫向整合，可以極大簡(jiǎn)化網(wǎng)絡(luò)拓?fù)洌瑴p少設(shè)備的配置管理工作；

其次，應(yīng)實(shí)現(xiàn)安全資源對(duì)云計(jì)算業(yè)務(wù)變化的感知。當(dāng)云計(jì)算業(yè)務(wù)安全需求發(fā)生變化時(shí)，能自動(dòng)調(diào)整安全資源，并下發(fā)安全策略，實(shí)現(xiàn)云計(jì)算安全業(yè)務(wù)的一鍵部署。

3 業(yè)界虛擬化安全技術(shù)發(fā)展情況

傳統(tǒng)基于物理安全邊界的防護(hù)機(jī)制無(wú)法滿足虛擬化環(huán)境下的多租戶應(yīng)用的安全防護(hù)需求，需要將已有的安全控制、安全監(jiān)控等手段和機(jī)制延伸到虛擬化應(yīng)用中，來(lái)解決虛擬機(jī)之間的隔離和監(jiān)控。目前，業(yè)界主要有3類解決方案：

（1）VM+Agent方案

這種解決方案主要將安全軟件以Agent的形式安裝在被保護(hù)的物理主機(jī)上，利用Hypervision層開(kāi)放的擴(kuò)展接口，將虛擬機(jī)之間的流量先劫持到agent中進(jìn)行安全處理后，再進(jìn)行正常流轉(zhuǎn)[1]。此解決方案與Hypervision層開(kāi)放的擴(kuò)展接口密切相關(guān)，安全產(chǎn)品受Hypervison的安全接口所限，部分安全功能無(wú)法實(shí)現(xiàn)。同時(shí)，安全產(chǎn)品占用了用戶虛擬機(jī)所在的物理主機(jī)資源，產(chǎn)品性能不僅受限于其所分配的資源，對(duì)用戶虛擬機(jī)性能也有一定影響。

目前業(yè)界產(chǎn)品主要基于Vmware系統(tǒng)實(shí)現(xiàn)，由于Vmware市場(chǎng)策略發(fā)生改變，其安全擴(kuò)展接口不再開(kāi)放，使得本解決方案不具有可持續(xù)性。

（2）VM+VRouter方案

這種解決方案在vRouter上加載安全控制功能，或者將虛擬化安全軟件和vRouter裝在同一個(gè)物理主機(jī)上，由于vRouter是網(wǎng)關(guān)，虛擬機(jī)流量均需通過(guò)其進(jìn)行轉(zhuǎn)發(fā)，因此vRouter可將所流經(jīng)的流量均轉(zhuǎn)發(fā)給虛擬化安全軟件過(guò)濾，從而實(shí)現(xiàn)安全監(jiān)控。

此解決方案中，安全功能可以不受限制，因此可繼承傳統(tǒng)安全設(shè)備成熟的功能體系。但是，這種方案僅適用于三層以上流量的安全管控，因?yàn)槎右韵碌牧髁坑商摂M交換機(jī)直接交換，不會(huì)流經(jīng)網(wǎng)關(guān)設(shè)備。同時(shí)，在openstack的分布式路由場(chǎng)景中，路由是由計(jì)算節(jié)點(diǎn)直接計(jì)算決定，不再需要到網(wǎng)關(guān)路由器中轉(zhuǎn)，因此，這種解決方案的適用場(chǎng)景將大為受限，業(yè)界的相關(guān)產(chǎn)品也相對(duì)較少。

（3）SDN引流方案

隨著云數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化進(jìn)程的推進(jìn)，基于SDN引流實(shí)現(xiàn)安全控制的方案開(kāi)始發(fā)展。此方案利用SDN控制器將流量調(diào)配到安全設(shè)備，從而實(shí)現(xiàn)安全控制[2]。

此解決方案中，SDN控制器以業(yè)務(wù)鏈的方式進(jìn)行流量調(diào)度，流量可被靈活地、按特定次序調(diào)配由服務(wù)功能處理，實(shí)現(xiàn)安全資源的按需訪問(wèn)。同時(shí)，安全設(shè)備形態(tài)可以是傳統(tǒng)硬件安全設(shè)備或者虛擬機(jī)形態(tài)的安全設(shè)備，可繼承傳統(tǒng)安全設(shè)備成熟的功能體系，并通過(guò)集中部署，形成安全資源池，有助于實(shí)現(xiàn)安全能力的按需彈性擴(kuò)展。具體如圖1。

圖1 SDN引流方案

4 基于SDN的集中安全控制架構(gòu)

從技術(shù)路線來(lái)看，SDN引流方案將是未來(lái)的發(fā)展方向，有助于實(shí)現(xiàn)業(yè)務(wù)層與網(wǎng)絡(luò)層快速對(duì)接、動(dòng)態(tài)網(wǎng)絡(luò)與業(yè)務(wù)開(kāi)放聯(lián)動(dòng)。因此，本文提出了一種基于SDN的集中安全控制架構(gòu)，通過(guò)解耦底層安全資源與安全應(yīng)用，并與SDN網(wǎng)絡(luò)控制器等進(jìn)行協(xié)調(diào)，基于自動(dòng)網(wǎng)絡(luò)編排、安全資源編排、安全策略編排等技術(shù)，實(shí)現(xiàn)安全業(yè)務(wù)按需彈性部署。具體架構(gòu)如圖2。

圖2 基于SDN的集中安全控制架構(gòu)

整個(gè)集中安全控制平臺(tái)架構(gòu)分為三個(gè)層次，分別是業(yè)務(wù)運(yùn)營(yíng)層、能力編排層和資源管理層：

（1）業(yè)務(wù)運(yùn)營(yíng)層：完成安全應(yīng)用管理、客戶管理、業(yè)務(wù)定制、事件相應(yīng)等功能，通過(guò)建立業(yè)務(wù)模型以及事件響應(yīng)模型，分析具體的安全業(yè)務(wù)需求和安全響應(yīng)需求，并下發(fā)給能力編排層；

（2）能力編排層：根據(jù)業(yè)務(wù)運(yùn)營(yíng)層下發(fā)的具體的安全業(yè)務(wù)需求或者安全響應(yīng)需求，分別進(jìn)行網(wǎng)絡(luò)資源、安全資源、安全策略的編排，完成安全邏輯網(wǎng)絡(luò)與物理安全資源的映射和關(guān)聯(lián)；

（3）資源管理層：根據(jù)能力編排的要求，實(shí)現(xiàn)對(duì)底層資源的具體配置管理和策略檢查/下發(fā)等資源管理工作。

本架構(gòu)的業(yè)務(wù)定制流程如圖3。集中安全控制平臺(tái)業(yè)務(wù)運(yùn)營(yíng)層的業(yè)務(wù)定制模塊根據(jù)安全業(yè)務(wù)自服務(wù)平臺(tái)提供的服務(wù)對(duì)象、服務(wù)組合、資源要求、安全要求、安全等級(jí)等信息，建立與客戶相對(duì)應(yīng)的業(yè)務(wù)模型；客戶管理模塊則管理客戶資源、客戶自身等信息。安全編排層根據(jù)業(yè)務(wù)運(yùn)營(yíng)層的業(yè)務(wù)模型以及具體的安全服務(wù)要求，調(diào)配適宜的安全資源、編排安全策略以及網(wǎng)絡(luò)資源，并向SDN控制器發(fā)送流量調(diào)度指令，將客戶流量牽引至指定的安全資源進(jìn)行處理；資源管理層則對(duì)策略進(jìn)行統(tǒng)一的合規(guī)性檢查，以免出現(xiàn)策略沖突、配置錯(cuò)誤等人為問(wèn)題，并將安全策略下發(fā)到指定的安全資源。

在目前嚴(yán)峻的安全形勢(shì)下，被動(dòng)的修補(bǔ)防護(hù)體系已經(jīng)無(wú)法從根本上解決安全威脅，為了阻止攻擊在進(jìn)入云計(jì)算網(wǎng)絡(luò)內(nèi)部后的橫向平移，必須采取更細(xì)粒度更智能化的網(wǎng)絡(luò)隔離技術(shù)，能根據(jù)內(nèi)部網(wǎng)絡(luò)信息流動(dòng)的情況以及安全告警信息，自適應(yīng)調(diào)整安全策略，防止風(fēng)險(xiǎn)擴(kuò)大并快速響應(yīng)安全事件。因此，本架構(gòu)設(shè)置了事件響應(yīng)流程，當(dāng)事件響應(yīng)模塊收到安全分析平臺(tái)的威脅告警時(shí)，將對(duì)攻擊目標(biāo)資源、攻擊類型（潛在攻擊目標(biāo)、最佳防護(hù)方式）進(jìn)行分析，關(guān)聯(lián)安全防護(hù)資源，確定最佳防護(hù)策略和客戶授權(quán)的防護(hù)動(dòng)作。然后通過(guò)安全能力編排調(diào)用底層安全資源，向其下發(fā)適宜的安全策略，完成安全響應(yīng)。例如，當(dāng)發(fā)現(xiàn)疑似中毒的主機(jī)時(shí)，安全集中控制平臺(tái)可以將其暫時(shí)隔離，或者限制訪問(wèn)，再啟動(dòng)安全加固流程進(jìn)行處理。

5 結(jié)束語(yǔ)

本架構(gòu)基于SDN技術(shù)，通過(guò)對(duì)安全資源的集中管控以及與SDN網(wǎng)絡(luò)控制等平臺(tái)的協(xié)同，實(shí)現(xiàn)云數(shù)據(jù)中心新型網(wǎng)絡(luò)與業(yè)務(wù)環(huán)境的安全資源統(tǒng)一管理和控制。本架構(gòu)共分為三個(gè)層次，分別是業(yè)務(wù)運(yùn)營(yíng)層、能力編排層和資源管理層，可實(shí)現(xiàn)對(duì)安全資源的生命周期管理以及全局的狀態(tài)監(jiān)測(cè)；集中管控安全策略；實(shí)現(xiàn)云計(jì)算安全業(yè)務(wù)快速開(kāi)通、安全能力的按需實(shí)施與彈性擴(kuò)展以及安全事件的協(xié)同處理。不僅將維護(hù)人員從準(zhǔn)備資源、調(diào)試網(wǎng)絡(luò)、配置策略等一系列復(fù)雜操作中解放，避免逐個(gè)安全資源安裝、調(diào)試等人工操作帶來(lái)的風(fēng)險(xiǎn)，同時(shí)也提升了安全響應(yīng)能力以及租戶的業(yè)務(wù)體驗(yàn)。

圖3 業(yè)務(wù)流程

1 沈余鋒，余小軍.云計(jì)算環(huán)境下虛擬化安全探討.電力信息與通信技術(shù),2013 ,11(11):6-11

2 劉文懋，裘曉峰，陳鵬程等.面向SDN環(huán)境的軟件定義安全架構(gòu).計(jì)算機(jī)科學(xué)與探索,2015 ,9 (1): 63-70

10.3969/j.issn.1006-6403.2016.11.008

（2016-09-26）