羅原

（中移（蘇州）軟件技術(shù)有限公司/中國(guó)移動(dòng)蘇州研發(fā)中心，蘇州 215163）

一種面向SDN網(wǎng)絡(luò)的云安全技術(shù)方案研究和實(shí)現(xiàn)＊

羅原

（中移（蘇州）軟件技術(shù)有限公司/中國(guó)移動(dòng)蘇州研發(fā)中心，蘇州 215163）

本文從當(dāng)前云計(jì)算快速發(fā)展、安全問(wèn)題影響日益嚴(yán)重的現(xiàn)狀出發(fā)，對(duì)SDN和云安全進(jìn)行了介紹，分析了部署SDN和虛擬化的新型網(wǎng)絡(luò)所帶來(lái)的問(wèn)題和挑戰(zhàn)，提出了安全設(shè)備虛擬化，資源池化，通過(guò)安全運(yùn)營(yíng)管理平臺(tái)與SDN控制器的協(xié)同，對(duì)流量按需調(diào)度，通過(guò)適配OpenStack進(jìn)行資源實(shí)例的自動(dòng)化管理，并針對(duì)方案進(jìn)行了有效的驗(yàn)證和評(píng)估。通過(guò)基于SDN網(wǎng)絡(luò)的云安全研究，對(duì)中國(guó)移動(dòng)集團(tuán)公眾服務(wù)云未來(lái)安全服務(wù)的發(fā)展具有相當(dāng)?shù)膮⒖純r(jià)值。

軟件定義網(wǎng)絡(luò)；云安全；虛擬化；資源池化；自動(dòng)化

1 研究背景

1.1 問(wèn)題提出

云計(jì)算技術(shù)給傳統(tǒng)的IT基礎(chǔ)設(shè)施、應(yīng)用、數(shù)據(jù)以及IT運(yùn)營(yíng)管理都帶來(lái)了革命性改變，引入了新的威脅和風(fēng)險(xiǎn)，進(jìn)而也影響和打破了傳統(tǒng)的信息安全保障體系設(shè)計(jì)、實(shí)現(xiàn)方法和運(yùn)維管理體系，如網(wǎng)絡(luò)與信息系統(tǒng)的安全邊界的劃分和防護(hù)、安全控制措施選擇和部署、安全評(píng)估和審計(jì)、安全審計(jì)、安全監(jiān)測(cè)等許多方面。

隨著國(guó)家和行業(yè)對(duì)安全監(jiān)管的加強(qiáng)，安全已經(jīng)成為組織規(guī)劃、設(shè)計(jì)、建設(shè)和使用云計(jì)算平臺(tái)的重大問(wèn)題，進(jìn)而推進(jìn)云計(jì)算技術(shù)的不斷演進(jìn)和發(fā)展。

SDN是云計(jì)算網(wǎng)絡(luò)發(fā)展的未來(lái)方向，而安全將會(huì)是SDN的重量級(jí)應(yīng)用，SDN技術(shù)將對(duì)網(wǎng)絡(luò)安全領(lǐng)域引入新的變化，如何結(jié)合SDN技術(shù)和開(kāi)發(fā)云安全服務(wù)將會(huì)是一個(gè)重要的研究方向。

1.2 現(xiàn)狀分析

在現(xiàn)有的云服務(wù)規(guī)劃中，定義了網(wǎng)絡(luò)安全服務(wù)的框架和詳盡的業(yè)務(wù)流程，為用戶提供了包括DDoS攻擊防護(hù)，Web應(yīng)用安全防護(hù)，系統(tǒng)漏洞掃描和入侵檢測(cè)等服務(wù)，但存在問(wèn)題，一個(gè)是現(xiàn)有的安全服務(wù)架構(gòu)主要基于硬件安全設(shè)備實(shí)現(xiàn)自動(dòng)化和自服務(wù)管理，成本較高，規(guī)模擴(kuò)展不靈活；另一個(gè)是從部署位置看，現(xiàn)有方案中IDS和WAF的硬件設(shè)備通常部署在數(shù)據(jù)中心出口管面，只能檢測(cè)來(lái)自數(shù)據(jù)中心外部的流量，不能對(duì)內(nèi)部流量進(jìn)行有效檢測(cè)。

本方案的意義和研究點(diǎn)在于，通過(guò)將安全設(shè)備虛擬化部署后，可以對(duì)數(shù)據(jù)中心云平臺(tái)內(nèi)部流量進(jìn)行有效檢測(cè)；安全設(shè)備資源池化，便于安全管理平臺(tái)統(tǒng)一納管，集中資源調(diào)配，提高效率；基于OpenStack架構(gòu)適配的安全設(shè)備軟件化和虛擬化，可實(shí)現(xiàn)按需部署和滿足多租戶的需求；面向SDN網(wǎng)絡(luò)的對(duì)接，增強(qiáng)了安全設(shè)備對(duì)流量和策略的感知，配合SDN基于策略來(lái)進(jìn)行管理和配置。

2 云安全與傳統(tǒng)安全

傳統(tǒng)IT安全主要采用隔離作為安全的手段，具體分為物理隔離、內(nèi)外網(wǎng)隔離、加密隔離，網(wǎng)絡(luò)邊界解決方案證明這種隔離手段針對(duì)傳統(tǒng)IT架構(gòu)能起到有效的防護(hù)。同時(shí)這種隔離為主的安全體系催生了一批以硬件銷售為主的安全公司，例如各種FireWall（防火墻）、IDS/IPS（入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)）、WAF(Web應(yīng)用防火墻)、UTM(統(tǒng)一威脅管理)、SSL網(wǎng)關(guān)、加密機(jī)等。但傳統(tǒng)IT安全表現(xiàn)出分散割據(jù)化、對(duì)應(yīng)用的封閉化、硬件盒子化的3個(gè)特征。

云安全與傳統(tǒng)安全相比，主要的差異在于三方面：一是動(dòng)態(tài)、虛擬化網(wǎng)絡(luò)邊界安全，傳統(tǒng)網(wǎng)絡(luò)安全的首要步驟是劃分安全域、確定網(wǎng)絡(luò)邊界，但在虛擬化環(huán)境中網(wǎng)絡(luò)邊界隨著虛擬機(jī)遷移、計(jì)算和存儲(chǔ)資源高度整合、基礎(chǔ)網(wǎng)絡(luò)架構(gòu)統(tǒng)一、資源池收縮動(dòng)態(tài)調(diào)整，整個(gè)網(wǎng)絡(luò)邊界在虛擬環(huán)境中，無(wú)法直接通過(guò)物理區(qū)域進(jìn)行劃分隔離。二是虛擬化安全，計(jì)算虛擬化、存儲(chǔ)虛擬化、網(wǎng)絡(luò)虛擬化，物理資源共享帶來(lái)的虛擬機(jī)安全問(wèn)題，如何控制流量，如何做到隔離，如何對(duì)虛機(jī)間通信進(jìn)行監(jiān)控等等。三是數(shù)據(jù)保密和防泄漏，用戶與數(shù)據(jù)之間的物理分離帶來(lái)的隱私保護(hù)和可用性之間的矛盾，做好審計(jì)等。以上這些都是云計(jì)算環(huán)境中迫切需要解決的安全問(wèn)題。

3 云安全技術(shù)方案

3.1 整體方案

云計(jì)算環(huán)境下的虛擬化，特別是與網(wǎng)絡(luò)虛擬化技術(shù)的結(jié)合，為安全設(shè)備的部署提供的新思路，中國(guó)移動(dòng)大云所采用的OpenStack架構(gòu)，同時(shí)也適用于云安全的設(shè)計(jì)新理念。SDN的特點(diǎn)是將網(wǎng)絡(luò)中的控制平面與數(shù)據(jù)平面分離，通過(guò)集中控制的方式管理網(wǎng)絡(luò)數(shù)據(jù)和路由，OpenStack的特點(diǎn)是按需分配，彈性可擴(kuò)展、靈活、自動(dòng)化。因此，研究方向可以從以下幾方面入手：

安全設(shè)備虛擬化，使用虛擬化技術(shù)，將安全架構(gòu)部署在云計(jì)算環(huán)境中，更有利于提高對(duì)云平臺(tái)內(nèi)部流量的感知和檢測(cè)。

安全設(shè)備資源池化，將各類安全設(shè)備抽象為多個(gè)具有不同安全能力的資源池，并根據(jù)具體業(yè)務(wù)規(guī)模橫向擴(kuò)展該資源池的規(guī)模，滿足不同客戶的安全性能要求。

安全運(yùn)營(yíng)管理平臺(tái)（面向SDN對(duì)接，適配OpenStack），向上為應(yīng)用提供編程接口，向下提供設(shè)備資源池化管理，東西向可適配不同的業(yè)務(wù)管理平臺(tái)（如OpenStack云管理平臺(tái)、SDN控制平臺(tái)和客戶定制的管理平臺(tái)等）。在內(nèi)部，從這些不同的接口的獲得信息轉(zhuǎn)化成標(biāo)準(zhǔn)的安全策略、資產(chǎn)庫(kù)信息、日志告警，并利用這些信息完成任務(wù)調(diào)度、智能決策和命令推送，將以往需要人工完成或半自動(dòng)完成的管理流程轉(zhuǎn)換成了接近全自動(dòng)化控制。

通過(guò)將安全數(shù)據(jù)與控制平面的分離，對(duì)物理及虛擬的網(wǎng)絡(luò)安全設(shè)備與其接入模式、部署方式、實(shí)現(xiàn)功能進(jìn)行解耦，底層抽象為安全資源池里的資源，頂層統(tǒng)一通過(guò)軟件編程的方式進(jìn)行智能化、自動(dòng)化的業(yè)務(wù)編排和管理，以完成相應(yīng)的安全功能，從而實(shí)現(xiàn)一種靈活的安全防護(hù)。整體架構(gòu)如圖1所示。

3.2 功能模塊

整個(gè)系統(tǒng)主要分為4個(gè)主要的開(kāi)發(fā)模塊，如圖2所示。

展示層，主要分為針對(duì)用戶使用的操作界面，以及客戶的運(yùn)維人員使用的運(yùn)維管理界面。

處理層，主要分為ESPC和云業(yè)務(wù)管理。ESPC包括提供安全設(shè)備管理、告警管理、日志接收、日志歸一、用戶管理功能，集中授權(quán)。云業(yè)務(wù)管理包括安全應(yīng)用中心、安全資源管理以及安全控制管理；安全應(yīng)用中心提供各種安全業(yè)務(wù)的APP，需要負(fù)責(zé)提供將用戶的配置翻譯為設(shè)備的配置，并負(fù)責(zé)配置的管理，對(duì)接用戶管理完成權(quán)限對(duì)接；安全資源管理負(fù)責(zé)管理安全實(shí)例的生命周期、權(quán)限、對(duì)接用戶管理的設(shè)置，分配用戶資源，監(jiān)視安全資源使用情況，提供安全資源配置管理；安全控制管理負(fù)責(zé)對(duì)接網(wǎng)絡(luò)控制器完成流量的管理。

接口層包括北向接口和南向接口，北向接口提供對(duì)接第三方日志，數(shù)據(jù)庫(kù)訪問(wèn)，用戶管理的對(duì)接接口，南向接口對(duì)接物理和安全設(shè)備控制接口和日志接口。

能力層主要是虛擬設(shè)備（本方案以常見(jiàn)安全設(shè)備為研究對(duì)象）：vIDS、vBVS、vRSAS、vWAF、vWVSS。

3.3 技術(shù)方案

3.3.1 OpenStack

安全設(shè)備均支持適配OpenStack （K版）。

3.3.2 虛擬安全實(shí)例

漏洞掃描和配置核查系統(tǒng)的資源池化完全實(shí)現(xiàn)在OpenStack云環(huán)境內(nèi)。兩種系統(tǒng)提供支持K版本OpenStack的鏡像，通過(guò)OpenStack的Glance組件，進(jìn)行鏡像的統(tǒng)一集中管理，通過(guò)OpenStack的Nova組件實(shí)現(xiàn)安全設(shè)備虛擬化實(shí)例管理。

3.3.3 網(wǎng)絡(luò)集成

在網(wǎng)絡(luò)方面，分為管理網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)。

管理網(wǎng)絡(luò)用于安全運(yùn)營(yíng)管理平臺(tái)同各虛擬安全設(shè)備管理互聯(lián)，實(shí)現(xiàn)安全運(yùn)營(yíng)管理平臺(tái)對(duì)設(shè)備下達(dá)策略、集中管理、日志收集等功能。所有虛擬安全設(shè)備均需有一塊網(wǎng)卡接入管理網(wǎng)絡(luò)。業(yè)務(wù)網(wǎng)絡(luò)用于檢測(cè)用戶流量（包括東西向、南北向）。

圖1 整體架構(gòu)圖

圖2 模塊圖

3.3.4 安全運(yùn)營(yíng)管理平臺(tái)

安全運(yùn)營(yíng)管理平臺(tái)與OpenStack的集成，安全應(yīng)用調(diào)用安全運(yùn)營(yíng)管理平臺(tái)接口，實(shí)現(xiàn)在OpenStack中虛擬化安全設(shè)備實(shí)例的生命周期等管理。實(shí)現(xiàn)虛擬化設(shè)備從創(chuàng)建、開(kāi)機(jī)、配置、關(guān)閉和刪除等操作的完全自動(dòng)化。

3.3.5 與SDN網(wǎng)絡(luò)對(duì)接

由于SDN網(wǎng)絡(luò)設(shè)計(jì)以及安全系統(tǒng)實(shí)例各自特性，虛擬化Web應(yīng)用防火墻（WAF）和虛擬化入侵檢測(cè)（IDS）實(shí)例部署和管理要求位于專屬安全資源池內(nèi)。安全專屬資源池獨(dú)立于OpenStack環(huán)境，防護(hù)對(duì)象的進(jìn)入流量需要通過(guò)GRE隧道由SDN系統(tǒng)來(lái)牽引到安全專屬資源池。

3.3.5.1 虛擬化WAF

支持將特定公網(wǎng)IP和端口流量引到WAF設(shè)備，并提供REST API，按照買方要求進(jìn)行系統(tǒng)集成。

虛擬安全實(shí)例管理，在專屬安全資源池的每臺(tái)物理主機(jī)部署實(shí)例管理Agent，安全運(yùn)營(yíng)管理平臺(tái)通過(guò)Agent接口，進(jìn)行WAF虛擬化實(shí)例相關(guān)生命周期管理，包括實(shí)例創(chuàng)建、啟動(dòng)和關(guān)閉、刪除等操作。同時(shí)該Agent還會(huì)對(duì)虛擬化WAF實(shí)例進(jìn)行網(wǎng)絡(luò)配置初始化。

部署管理，虛擬化WAF支持每租戶部署方式和多租戶部署方式；虛擬化WAF支持透明、路由旁路和反向代理部署方式；虛擬化WAF支持單臂或雙鏈路部署方式；提供自動(dòng)化部署能力。

網(wǎng)絡(luò)管理，虛擬化WAF實(shí)例的網(wǎng)絡(luò)同樣包含兩個(gè)部分，分別是業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)和管理支持網(wǎng)絡(luò)，兩套網(wǎng)絡(luò)均由Agent通過(guò)調(diào)用SDN系統(tǒng)或網(wǎng)絡(luò)接口獲取。

3.3.5.2 虛擬化IDS

虛擬化IDS的集成在實(shí)例管理和網(wǎng)絡(luò)管理上同虛擬化WAF類似。

在部署管理上，vIDS對(duì)端口鏡像流量進(jìn)行檢測(cè)、處理。在vIDS的數(shù)據(jù)口同樣需要一個(gè)虛擬化交換機(jī)，用于與SDN系統(tǒng)進(jìn)行數(shù)據(jù)交互。

虛擬安全實(shí)例管理，在專屬安全資源池內(nèi)的每臺(tái)物理主機(jī)部署實(shí)例管理Agent，安全管理平臺(tái)通過(guò)Agent接口，進(jìn)行IDS虛擬化實(shí)例相關(guān)生命周期管理，包括實(shí)例創(chuàng)建、啟動(dòng)和關(guān)閉、刪除等操作。同時(shí)該Agent還會(huì)對(duì)虛擬化IDS實(shí)例進(jìn)行網(wǎng)絡(luò)配置初始化。

部署管理，虛擬化IDS支持每租戶部署方式和多租戶部署方式，調(diào)用SDN接口建立GRE隧道，將被檢測(cè)主機(jī)雙向流量自動(dòng)牽引至IDS鏡像所在宿主機(jī)接口，完成入侵檢測(cè)。

網(wǎng)絡(luò)管理，虛擬化IDS實(shí)例的網(wǎng)絡(luò)同樣包含兩個(gè)部分，分別是業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)和管理支持網(wǎng)絡(luò)，兩套網(wǎng)絡(luò)均由Agent通過(guò)調(diào)用SDN系統(tǒng)或網(wǎng)絡(luò)接口獲取。

4 技術(shù)方案驗(yàn)證和評(píng)估

4.1 技術(shù)方案驗(yàn)證

4.1.1 虛擬化掃描器RSAS、BVS、WVSS安全實(shí)例

掃描器部署拓?fù)鋱D如圖3所示，輸入待掃描網(wǎng)絡(luò)地址，下達(dá)掃描指令。安全應(yīng)用判斷該用戶是否存在掃描器，不存在安全實(shí)例，就通過(guò)OpenStack的Rest API創(chuàng)建一個(gè)掃描器的安全實(shí)例。安全應(yīng)用通過(guò)OpenStack的Rest API獲取租戶的所有網(wǎng)絡(luò)信息，然后查詢出待掃描地址所在的網(wǎng)絡(luò)信息。安全應(yīng)用通過(guò)OpenStack的Rest API獲取掃描器自身的實(shí)例配置信息，判斷掃描器是否接入該網(wǎng)絡(luò)中，如果未接入就為掃描器添加該網(wǎng)絡(luò)，然后重啟掃描器。安全應(yīng)用通過(guò)OpenStack的Rest API接口更新待掃描實(shí)例的安全組，保證掃描器能正常訪問(wèn)該實(shí)例。安全應(yīng)用后臺(tái)通過(guò)掃描器實(shí)例的Rest API為掃描器下發(fā)掃描任務(wù)。安全應(yīng)用后臺(tái)等待掃描結(jié)果，通過(guò)ESPC安全運(yùn)營(yíng)管理平臺(tái)獲取掃描結(jié)果報(bào)表，完成掃描。

4.1.2 虛擬化網(wǎng)絡(luò)入侵檢測(cè)安全實(shí)例

圖4為vIDS部署拓?fù)鋱D，用戶通過(guò)安全應(yīng)用下發(fā)IDS保護(hù)虛擬實(shí)例IP地址，安全應(yīng)用后臺(tái)判斷用戶是否存在vIDS，若不存在，安全應(yīng)用后臺(tái)則為vIDS分配管理網(wǎng)絡(luò)IP，然后調(diào)用安全資源池的Rest API啟用vIDS安全設(shè)備。安全應(yīng)用后臺(tái)根據(jù)IP地址，通過(guò)OpenStack的Rest API接口去查詢當(dāng)前租戶網(wǎng)絡(luò)中該IP地址所擁有的虛擬機(jī)的vport_id。安全應(yīng)用后臺(tái)調(diào)用SDN網(wǎng)絡(luò)的接口通過(guò)vport id查詢?cè)揤M所在計(jì)算節(jié)點(diǎn)的主機(jī)的IP地址。安全應(yīng)用后臺(tái)調(diào)用安全資源池的Rest API創(chuàng)建相應(yīng)的gre隧道，然后創(chuàng)建該保護(hù)主機(jī)IP+mac地址的流表。安全應(yīng)用后臺(tái)調(diào)用SDN網(wǎng)絡(luò)的接口，通過(guò)vport id、安全資源池的IP地址創(chuàng)建該虛擬實(shí)例gre隧道完成該虛擬實(shí)例的流量鏡像。

4.1.3 虛擬化Web應(yīng)用防火墻安全實(shí)例

輸入需要添加的保護(hù)站點(diǎn)，啟用防護(hù)策略。安全應(yīng)用后臺(tái)判斷該用戶是否有vWAF虛擬機(jī)實(shí)例，沒(méi)有虛擬機(jī)實(shí)例，則分配管理地址，然后調(diào)用安全資源池的Rest API，創(chuàng)建一個(gè)vWAF的安全實(shí)例。圖5 為vWAF部署拓?fù)鋱D，安全應(yīng)用后臺(tái)根據(jù)輸入站點(diǎn)信息，如果是域名就解析出域名的IP地址。安全應(yīng)用后臺(tái)通過(guò)vWAF的Rest API下發(fā)站點(diǎn)保護(hù)策略到vWAF。安全應(yīng)用后臺(tái)調(diào)用安全資源池Rest API完成資源池內(nèi)部引流flow的下發(fā)。安全應(yīng)用調(diào)用SDN網(wǎng)關(guān)7750的配置接口，完成對(duì)該目標(biāo)主機(jī)路由配置，將流量牽引至vWAF上。完成配置，開(kāi)始防護(hù)。

4.2 技術(shù)方案評(píng)估

圖3 掃描器部署拓?fù)?/p>

圖4 vIDS部署拓?fù)鋱D

依據(jù)驗(yàn)證情況，技術(shù)方案的設(shè)計(jì)目標(biāo)均已達(dá)到相應(yīng)的效果。第一，安全設(shè)備采用虛擬化技術(shù)按需生成相應(yīng)的安全設(shè)備實(shí)例，以軟件形態(tài)存在，安全設(shè)備可以根據(jù)實(shí)際需求進(jìn)行靈活部署，無(wú)論是OpenStack環(huán)境或安全資源池都可滿足部署要求；第二，通過(guò)安全設(shè)備的資源池化，實(shí)現(xiàn)了對(duì)安全資源的統(tǒng)一納管，集中調(diào)度和調(diào)配，彈性可擴(kuò)展；第三，安全設(shè)備鏡像和實(shí)例的管理利用OpenStack云平臺(tái)來(lái)實(shí)現(xiàn)，上層安全運(yùn)營(yíng)管理平臺(tái)與云平臺(tái)進(jìn)行用戶關(guān)聯(lián)，通過(guò)調(diào)用OpenStack接口實(shí)現(xiàn)對(duì)安全實(shí)例的管理，根據(jù)用戶所需的安全需求就可以從資源池中找到相應(yīng)資源，安全設(shè)備可以做到邏輯簡(jiǎn)單、處理高效，不容易出錯(cuò)而影響系統(tǒng)的穩(wěn)定性，保證全程自動(dòng)化，滿足多租戶需求；第四，通過(guò)控制與數(shù)據(jù)分離，并通過(guò)安全運(yùn)營(yíng)管理平臺(tái)與SDN控制器的協(xié)同，對(duì)流量按需調(diào)度，實(shí)現(xiàn)服務(wù)鏈（Service Chain）。SDN控制器主要實(shí)現(xiàn)了業(yè)務(wù)網(wǎng)絡(luò)、管理網(wǎng)絡(luò)等相關(guān)網(wǎng)絡(luò)功能，同時(shí)實(shí)現(xiàn)了對(duì)安全實(shí)例高效的流量牽引。

圖5 vWAF部署拓?fù)鋱D

5 總結(jié)

云安全建設(shè)是一個(gè)長(zhǎng)期的任務(wù)，需要隨著技術(shù)的發(fā)展和業(yè)務(wù)的更新，及時(shí)地制定設(shè)計(jì)新的安全方案，調(diào)整已有的安全策略。大幅提高云安全防護(hù)的主動(dòng)性和有效性，將安全問(wèn)題控制在源頭，是運(yùn)營(yíng)商安全防護(hù)體系的革命性變化。

[1] 陳馳，于晶, 等. 信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室信息安全叢書:云計(jì)算安全體系[D]. 北京：科學(xué)出版社，2014.

[2] 張衛(wèi)峰. 深度解析SDN利益、戰(zhàn)略、技術(shù)、實(shí)踐[D]. 北京：電子工業(yè)出版社，2013.

[3] 雷葆華，等. SDN核心技術(shù)剖析和實(shí)戰(zhàn)指南[D]. 北京：電子工業(yè)出版社，2013.

[4] 劉文懋. 軟件定義的企業(yè)級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)安全研究[J]. 電信科學(xué), 2014.

[5] (美) 戴夫·沙克爾福. 虛擬化安全解決方案[D]. 張小云,等，譯. 北京：機(jī)械工業(yè)出版社，2016.

SDN-oriented research and realization of technical proposal in cloud security

LUO Yuan (China Mobile (Suzhou) Software Technology Co., Ltd./China Mobile Suzhou R & D Center, Suzhou 215163, China)

This paper firstly described the current status that rapid development of cloud computing and security issues had increasingly brought serious impact on SDN and cloud security; secondly analyzed problems and challenges that the new network deployment of SDN and virtualization brought; this paper presented virtualization, resource pooling of safety devices, through cooperation between security operation management platform and SDN controller, the flow of on-demand scheduling, automatic management of resources through adaptation of openstack, then verified and evaluated the effectiveness of the case. Through research in cloud security based on SDN network, this paper will make a considerable contribution to the development of China Mobile group's public service cloud security services.

SDN; cloud security; virtualization; resource pooling; automation

TP393

A

1008-5599（2017）07-0020-06

2017-06-21

* 中國(guó)移動(dòng)集團(tuán)級(jí)一類科技創(chuàng)新成果，原成果名稱為《大云安全系統(tǒng)BC-Security》。