張 奇

(北京工業(yè)大學 計算機學院,北京 100124)

隨著云計算和軟件定義網絡(Software Defined Network,SDN)的快速發(fā)展,如何快速的重構傳統(tǒng)網絡的安全解決方案,進而提升網絡安全防護的靈活性與效率,成為了亟待解決的問題. 傳統(tǒng)網絡的服務鏈(Service Chain,SC)將滿足特定屬性的網絡數據流牽引經過由多個業(yè)務功能服務節(jié)點編排組成的服務序列,為傳統(tǒng)網絡提供了防控惡意攻擊的手段. 軟件定義安全(Software Defined Security,SDS)架構將網絡安全設備的控制平面與數據平面進行了解耦,底層抽象為安全資源池里的資源,頂層通過軟件定義的方式彈性的編排安全服務來實現靈活的安全防護. 本文結合傳統(tǒng)網絡的服務鏈思想與軟件定義安全理念,研究虛擬化網絡環(huán)境中動態(tài)編排虛擬安全服務節(jié)點的策略,通過擴展基于屬性的訪問控制策略模型[1](Attribute-Based Access Control,ABAC) 對網絡中的數據流、虛擬安全設備(Virtualized Security Appliance,VSA)等資源進行描述,構建網絡流與虛擬安全設備等資源的映射關系,形成針對特定網絡流的個性化的安全服務鏈. 本文提出了基于軟件定義網絡與網絡功能虛擬化(Network Function Virtualization,NFV)技術思想的安全服務鏈自動化編排部署框架. 該框架根據策略構建安全服務鏈,按照優(yōu)先級明確需要使用安全資源池中的哪些類虛擬安全設備,確定其先后順序以編排虛擬安全設備序列(VSA序列),然后選取負載與實時鏈路傳輸時延最優(yōu)的虛擬安全設備實例(VSA實例)加入安全服務鏈,組成針對該安全需求策略的安全服務鏈,并通過SDN網絡流表機制將網絡業(yè)務流依次牽引經過所需的虛擬安全設備實例進行檢測防護. 論文重點討論了安全服務鏈的安全需求策略描述、策略沖突、設備編排以及網絡流調度問題.

1 相關工作

傳統(tǒng)網絡的服務鏈與物理網絡拓撲緊密結合,通過手工配置多種防護策略,將安全設備串行到網絡流路徑中,設備之間耦合度大、拓撲依賴嚴重,難以滿足業(yè)務快速迭代需求.

近年來,SDN領域也有一些關于安全服務鏈的相關研究. 當前關于安全服務鏈的研究主要集中于策略構建、網絡流調度等幾個方面. 在安全服務鏈的策略構建方面,文獻[2]提出了基于SDN/NFV構建安全服務鏈的技術思想,通過編排軟件安全模塊來滿足未來網絡安全業(yè)務需求,但其缺少具體的安全服務構建策略. 文獻[3]基于OpenFlow協(xié)議對網絡資源進行集中的監(jiān)控和管理,通過下發(fā)交換機流指令牽引網絡流到中間設備,但并未提及應用層的策略決策機制. 文獻[4]通過修改OpenFlow協(xié)議QoS字段來標識不同網絡流服務需求,提出了基于服務類型的安全服務鏈理論模型. 但該方案拓展了SDN網絡的南向標準協(xié)議,兼容性較差且需預先編排各個服務類型對應的服務鏈. 文獻[5]提出了基于策略的網絡虛擬資源管理機制,根據不同數據流的業(yè)務需求動態(tài)的編排服務節(jié)點,但其并未涉及應用策略更新引起的策略沖突問題.

在安全服務鏈的網絡流調度研究方面,文獻[6]為了兼容傳統(tǒng)硬件安全設備,在SDN網絡中部署傳統(tǒng)硬件安全設備來實現安全防護目標,其主要思想是通過SDN的全局拓撲感知與網絡流調度能力將業(yè)務流依次牽引到各種實體安全設備中進行安全防護. 但該方案拓撲依賴嚴重、且需手工部署安全設備. 文獻[7]提出了基于鏈路時延的貪婪算法,通過路由跳數來評估鏈路時延并根據流量規(guī)模來部署安全設備從而有效牽引數據流. 但其并未綜合考慮實時網絡鏈路狀態(tài)以及網絡流動態(tài)多變特性且缺乏對安全設備負載的有效評估.

2 安全服務鏈自動編排部署框架

要在網絡中實現安全防護解決方案的自動化部署,根據上層用戶的安全業(yè)務需求,自動構建安全服務鏈策略,動態(tài)編排虛擬安全設備,快速調度網絡數據流到特定的虛擬安全設備序列實現安全防護的目標,如何有效的實現策略沖突處理與網絡流調度優(yōu)化是兩個關鍵難題. 本文設計的安全服務鏈自動部署框架包括以下幾個部分： 策略沖突決策節(jié)點、網絡流調度節(jié)點、SDN控制器,具體如圖1所示.

2.1 策略沖突決策節(jié)點

策略沖突決策節(jié)點通過開放北向接口,接收用戶安全業(yè)務需求,如為Web服務器提供安全防護,則需為其構建一條由入侵檢測WAF和流量清洗ADS設備組成的安全服務鏈策略,并將訪問數據流依次牽引經過上述策略的VSA序列進行過濾. 因細粒度的訪問控制及網絡流屬性復雜,描述不同安全業(yè)務需求的策略可能涉及相同的網絡流,使得先后下發(fā)的策略之間存在動作沖突. 策略沖突決策節(jié)點通過優(yōu)先級完成特定屬性網絡流的VSA序列的正確編排,保證網絡中不存在沖突,并將策略決策結果發(fā)送給網絡流調度節(jié)點.

2.2 網絡流調度節(jié)點

網絡流調度節(jié)點主要負責管理安全資源池的VSA實例,監(jiān)控它們的負載信息(CPU使用率、內存使用率),配置它們的防護策略,同時根據策略決策結果解析 VSA 序列中安全設備類型并結合實時鏈路狀態(tài)信息,評估最優(yōu)的網絡流調度路由,選取合適的 VSA 實例,并將這些信息加入策略中,發(fā)送交給 SDN 控制器處理完成流量重定向.

2.3 SDN控制器

SDN控制器對網絡資源進行集中的控制與管理,具備全局網絡拓撲監(jiān)控與流指令下發(fā)能力. 當收到網絡流調度節(jié)點的路由選擇結果,SDN控制器對其進行解析、生成流指令并下發(fā)給交換機,將網絡流重定向并依次牽引經過對應的VSA實例進行安全防護處理,完成整個安全服務鏈框架的自動化部署. 相反,SDN控制器也可根據上述網絡流調度路由等信息,刪除之前已下發(fā)的交換機流指令.

圖1 安全服務鏈自動編排部署框架

3 安全服務鏈實現機制

3.1 安全服務鏈策略描述

安全需求的描述是自動編排和部署安全服務鏈的依據和前提. 基于屬性的訪問控制模型提供了復雜信息系統(tǒng)中的動態(tài)的權限分配和更加細粒度的訪問控制[1]. 本文通過擴展ABAC策略模型對SDN網絡中的上層應用的安全需求進行描述,構建安全服務鏈策略,每條策略均可解析為一條安全服務鏈. 策略的主體、客體、權限以及VSA優(yōu)先級可表示為Policy(Subject,Object,Permission,Priority),策略語法樹如圖2所示.

圖2 策略語法樹

3.2 策略沖突決策算法

為了保證所有安全服務鏈策略正確實施,使得網絡流正確的經過安全服務鏈策略對應的VSA序列進行防護,需要建立完備的策略沖突決策機制. 為此,采用優(yōu)先級對安全服務鏈策略中的VSA序列進行動態(tài)的、合理的編排以解決策略沖突.

策略沖突決策節(jié)點為用戶的安全業(yè)務需求構建安全服務鏈策略后,首先由SDN控制器檢索網絡中所有交換機上當前正在執(zhí)行的包含有新構建的安全服務鏈策略中12元組對應的網絡流的流規(guī)則,將其刪除以觸發(fā)Packet-in消息. 然后,策略沖突決策節(jié)點監(jiān)聽所有的Packet-in消息并依次為這些消息描述的所有網絡流重構相應的安全服務鏈策略（該策略由用戶下發(fā)的安全服務鏈策略重構所得,經由網絡流調度節(jié)點、SDN控制器依次處理并轉換為流規(guī)則后即刪除）,以此解決策略沖突,下文將介紹具體過程.

(1) Packet-in消息觸發(fā)

在SDN網絡中,網絡流一般由多個數據包組成,當沒有該網絡流的轉發(fā)流規(guī)則時,交換機會將該網絡流的首個數據包封裝為Packet-in消息并發(fā)送給SDN控制器請求下發(fā)流規(guī)則,后續(xù)數據包則按此流規(guī)則進行轉發(fā). 因此,為了保證安全服務鏈策略的正確實施,每當安全服務鏈框架為用戶的安全業(yè)務需求構建一條新的安全服務鏈策略時,會檢索網絡中所有交換機的流規(guī)則,根據OpenFlow協(xié)議[8]的12元組匹配域結構來判斷流規(guī)則包頭域的12元組匹配域是否包含于策略的客體屬性域中,若是,則說明網絡中已經有針對該12元組的網絡流的流規(guī)則在執(zhí)行,那么將這些流規(guī)則刪除以觸發(fā)Packet-in消息.

(2) 安全服務鏈策略重構

策略沖突決策節(jié)點通過擴展SDN控制器以監(jiān)聽并解析交換機上傳的Packet-in消息,并依次將這些Packet-in消息封裝的數據包信息與用戶下發(fā)的所有安全服務鏈策略逐條進行檢測,判斷該數據包的12元組匹配域是否包含于這些策略的客體屬性域中; 若該數據包并未包含于某條安全服務鏈策略中,則直接交給SDN控制器的默認轉發(fā)模塊Forwarding處理,該模塊會為該數據包建立轉發(fā)路由以使該數據包從屬的網絡流到達目的主機; 否則,則為該數據包重構其安全服務鏈策略,具體過程如下：

1) 若該數據包包含于某一條安全服務鏈策略中,則直接為該數據包重構相應的安全服務鏈策略,策略客體屬性域為該數據包的12元組匹配域信息,動作權限與VSA優(yōu)先級為匹配上的安全服務鏈策略的VSA序列與VSA優(yōu)先級信息.

在安全服務鏈框架中,為了保證虛擬安全設備的有序編排,同一個策略內不允許存在數值相等的優(yōu)先級; 為了保證安全服務鏈策略的重構,在用戶下發(fā)安全服務鏈策略時檢測該策略是否與已有策略存在沖突.若存在,則檢測新加入策略是否與已有策略存在相等數值的優(yōu)先級,若是則不執(zhí)行該策略并反饋給用戶; 在策略重構過程中,若多條安全服務鏈策略的VSA序列中存在同一種類VSA且它們的優(yōu)先級數值不同,則以最新安全服務鏈策略的VSA優(yōu)先級覆蓋其他安全服務鏈策略的VSA優(yōu)先級,以滿足用戶更新VSA優(yōu)先級的業(yè)務需求.

2) 若該數據包同時包含于多條安全服務鏈策略中,則將這些策略加入策略集合policylist中,并以policylist中的所有策略為依據,為該數據包重構相應的安全服務鏈策略policyn,具體如圖3所示.

圖3 安全服務鏈策略重構

3.3 網絡流調度算法

為了提高虛擬安全設備VSA的利用率和網絡流調度效率,進而提升其承載物理服務器的利用率. 本文采用Qemu或Kvm等虛擬化技術實現虛擬安全設備的彈性部署,并根據安全設備需求、VSA實例負載、實時鏈路狀態(tài),動態(tài)的選取VSA實例完成安全服務鏈的網絡流調度路由選擇優(yōu)化.

3.3.1 安全資源池

(1) 安全資源池中有多個類型的安全設備,可提供多種不同安全能力,如： 入侵檢測ADS、網頁防護WAF、防火墻FW等. 具備p種類型安全設備的安全資源池表示為,其中,p為正整數.

(3) 若某VSA實例的CPU或者內存利用率的空閑程度小于零,則認為該實例已過載,需要初始化新的實例并接入到網絡中.

3.3.2 鏈路狀態(tài)度量

安全服務鏈牽引網絡流經過特定順序的安全服務節(jié)點,需要考慮鏈路傳輸時延對數據傳輸性能的影響.安全服務鏈中時延分為兩類：鏈路傳輸時延、服務節(jié)點處理時延. 服務節(jié)點處理時延為安全業(yè)務節(jié)點時延之和,指數據包進入虛擬安全設備后,對數據包進行相應的檢測與分析,由于同一條服務鏈的內部虛擬安全設備順序、類型固定,且時延差異不大,本文忽略不計.對,隨機測量t次時延取其均值,則鏈路時延可表示為：

3.3.3 安全服務鏈解析

安全服務鏈通過策略來描述,每條策略可解析為一條安全服務鏈. 如當防御DDoS攻擊時,用戶需要構建策略調度網絡流依次經過Web防護設備WAF、流量清洗設備ADS形成細粒度的安全防護,該策略對應的安全服務鏈可表示為：且可分解為三個子單元. 那么有：

算法1. 網絡流調度算法

輸入：G(V,E),policyn

輸出：policynwith VSA Instances’ Info

policyn所需VSA類型

3. For eachDpin

4. For eachdpqin

7. select the topkVSAs of each type and input toListpath//獲得種實例組合選擇,每種組合對應一條網絡流調度路由path并存入集合Listpath中

9. End for

10. End for

11. For allpathinListpath

12. computeDelay(e)(3) //采用最短路徑優(yōu)先算法對每種網絡流調度路由計算其傳輸性能：時延消耗

13. select the min delay of allpath//最小時延的作為最優(yōu)數據流調度路由和最佳VSA實例組合

14. write VSA Instances’ Info intopolicyn//將最優(yōu)路由上的實例信息寫入policyn

15. End for

16. Sendpolicynto SDN Controller

4 實驗設計和結果分析

4.1 實驗環(huán)境

本文的實驗環(huán)境搭建在64位Ubuntu服務器上.通過擴展開源控制器FloodLight實現策略沖突決策與網絡流調度機制,并啟動兩臺虛擬交換機(OpenV Switch,OVS)連接至控制器,將安全設備Web應用防火墻WAF(串聯部署模式)、流量清洗設備ADS(旁路部署模式)和流量生成器Tester部署至網絡中. 通過流量生成器模擬訪問者(正常數據流與攻擊數據流,IP地址為3.3.3.1)與被訪問者(Web服務器,IP地址為6.6.6.5),實驗環(huán)境如圖4所示.

圖4 實驗環(huán)境

4.2 實驗過程

基于上述環(huán)境,本文通過安全服務鏈框架開放的北向接口實現并測試了抗分布式拒絕服務攻擊(Distributed Denial of Service,DDoS)實驗,其應用層的安全需求為： 對部署在6.6.6.5上的Web服務器進行安全防護. 用戶構建了兩條安全服務鏈,策略描述為： 策略1將訪問數據流重定向到WAF檢測異常數據流,VSA優(yōu)先級為10; 策略2將訪問數據流重定向到ADS清洗異常數據流,VSA優(yōu)先級為20. 可分別表示為： 策略1(策略沖突決策節(jié)點,訪問數據流,WAF,10); 策略2(策略沖突決策節(jié)點,訪問數據流,ADS,20).

如圖4所示,策略1被自動編排部署后,牽引訪問數據流至WAF做異常檢測. 當在訪問Web服務器的數據流中混入DDoS攻擊數據流(SYN_FLOOD)后,用戶檢測WAF日志并發(fā)現異常流攻擊時,如圖5,觸發(fā)策略2下發(fā). 因策略2的VSA優(yōu)先級大于策略1,執(zhí)行策略沖突決策算法生成子策略(策略沖突決策節(jié)點,訪問數據流,ADS→WFA,20→10),來替代已下發(fā)策略1和新加入策略2. 網絡流調度算法解析編排結果,選取合適的VSA實例,配置其防護策略,更新策略執(zhí)行者,寫入ADS和WAF信息,然后發(fā)送給SDN控制器生成流指令并下發(fā)交換機,先牽引數據流至ADS清洗攻擊流如圖6,并將正常數據流回注網絡繼續(xù)發(fā)送給WAF檢測,此時并未發(fā)現異常攻擊流.

為了衡量該框架的時間性能,本文進一步統(tǒng)計了控制器FloodLight在收到各安全服務鏈策略與OpenFlow流表下發(fā)完成之間的時間差,每條策略均重復多次,取其均值. 具體如表1所示.

圖5 WAF檢測攻擊流記錄

圖6 ADS清洗攻擊流記錄

表1 安全服務鏈的時間開銷

實驗結果表明了安全服務鏈自動編排部署框架能準確地進行策略相關性檢測、處理策略沖突、選取VSA實例、配置防護策略、生成并下發(fā)交換機流表,實現虛擬化環(huán)境中安全服務鏈的自動化編排和部署.同時,該框架具有毫秒級的響應速度,雖然策略2下發(fā)時與已有策略1存在沖突,沖突檢測與處理增加了時間消耗但并不明顯,在實際網絡中用戶的安全服務鏈策略應該避免過多復雜關聯的出現,且與傳統(tǒng)網絡的人工手動部署安全設備與配置防護策略相比,該框架具備良好的時間性能,大大的縮減了人工部署與運維成本,提高了虛擬化網絡中安全防護的效率.

5 結論

本文設計了策略沖突決策算法和網絡流調度算法,通過優(yōu)先級解決策略沖突以保證VSA序列的正確編排,并將VSA實例負載和實時鏈路傳輸時延作為網絡流調度依據,提出了基于SDN/NFV的彈性的、動態(tài)的安全服務鏈自動編排部署框架. 在云計算等虛擬化網絡中,安全服務鏈框架既可部署于網絡邊界位置作為邊界網關,實現“南北向”網絡流防護,也可部署在租戶內部VM之間,實現“東西向”網絡流防護,均可靈活、快速地按照用戶應用的安全需求提供深度安全防護,同時提高虛擬安全設備和底層基礎設施的效率.

1Yuan E,Tong J. Attributed based access control (ABAC) for web services. Proceedings of 2015 IEEE International Conference on Web Services. Orlando,FL,USA. 2005. 569.

2Lee W,Choi YH,Kim N. Study on virtual service chain for secure software-defined networking. The International Conference on Control and Automation. 2013. 177-180.

3Gushchin A,Walid A,Tang A. Scalable routing in SDN-enabled networks with consolidated middleboxes. Proceedings of the 2015 ACM SIGCOMM Workshop on Hot Topics in Middleboxes and Network Function Virtualization. London,UK. 2015. 55-60.

4Martini B,Paganelli F,Mohammed AA,et al. SDN controller for context-aware data delivery in dynamic service chaining.Proceedings 1st IEEE Conference on Network Softwarization(NetSoft). London,UK. 2015. 1-5.

5Giotis K,Kryftis Y,Maglaris V. Policy-based orchestration of NFV services in software-defined networks. Proceedings of the 1st IEEE Conference on Network Softwarization. London,UK. 2015. 1-5.

6Qazi ZA,Tu CC,Chiang L,et al. SIMPLE-fying middlebox policy enforcement using SDN. Proceedings of the ACM SIGCOMM 2013. New York,NY,USA. 2013. 27-38.

7Zhang Y,Beheshti N,Beliveau L,et al. StEERING： A software-defined networking for inline service chaining.Proceedings of the 21st IEEE International Conference on Network Protocols. Goettingen,Germany. 2013. 1-10.

8McKeown N,Anderson T,Balakrishnan H,et al. OpenFlow：Enabling innovation in campus networks. ACM SIGCOMM Computer Communication Review,2014,38(2)： 69-74.