余競(jìng)航，陳 欣，陳 石，張 頌，奚夢(mèng)婷

(國(guó)網(wǎng)江蘇省電力有限公司信息通信分公司，江蘇 南京 210024)

0 引言

云計(jì)算服務(wù)技術(shù)的普及應(yīng)用，使網(wǎng)絡(luò)安全穩(wěn)定性的挑戰(zhàn)也不斷增多，如何做好網(wǎng)絡(luò)安全維護(hù)是云計(jì)算日后發(fā)展的重心。目前，云供應(yīng)商逐步強(qiáng)化軟件定義網(wǎng)絡(luò)(Software Defined Network, SDN)和信息安全保障技術(shù)的研究，利用云計(jì)算特有的方式及功能，促進(jìn)計(jì)算機(jī)信息領(lǐng)域和網(wǎng)絡(luò)云服務(wù)的穩(wěn)定發(fā)展，探索有效途徑解決各類相關(guān)問題。隨著大數(shù)據(jù)時(shí)代的到來，高效計(jì)算和存儲(chǔ)數(shù)據(jù)已經(jīng)成為未來網(wǎng)絡(luò)計(jì)算中需要解決的關(guān)鍵問題。云計(jì)算是在并行處理、分布式計(jì)算、網(wǎng)格計(jì)算等技術(shù)基礎(chǔ)上發(fā)展起來的一種網(wǎng)絡(luò)計(jì)算技術(shù)。根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的說法，云計(jì)算是一個(gè)共享的資源池(如網(wǎng)絡(luò)、服務(wù)、存儲(chǔ)、應(yīng)用)，當(dāng)用戶快速獲取和釋放資源時(shí)，這種計(jì)算模式減少了與服務(wù)提供商的交互和管理費(fèi)用。在云計(jì)算模式下，用戶終端設(shè)備變得非常簡(jiǎn)單，用戶只需要發(fā)送請(qǐng)求就可以使用云服務(wù)提供商提供的計(jì)算資源、存儲(chǔ)空間等應(yīng)用軟件，用戶不需要購(gòu)買產(chǎn)品，可以直接購(gòu)買服務(wù)。云計(jì)算之所以發(fā)展如此迅速，是因?yàn)樗裱恕鞍葱枋召M(fèi)”的原則。用戶訪問由軟件、硬件和存儲(chǔ)設(shè)備組成的資源池時(shí)，不需要知道資源池的物理位置和相關(guān)技術(shù)。云計(jì)算技術(shù)具有經(jīng)濟(jì)實(shí)用、高擴(kuò)展性、高可靠性、便捷性和按需服務(wù)等特點(diǎn)。近年來，云計(jì)算技術(shù)得到越來越廣泛的應(yīng)用。將云計(jì)算應(yīng)用于移動(dòng)通信系統(tǒng)的基帶云(云蜂窩)，可以有效地解決高速移動(dòng)終端(如高鐵)頻繁切換的問題。然而，傳統(tǒng)的云計(jì)算網(wǎng)絡(luò)仍然存在許多問題，例如在云計(jì)算環(huán)境中，用戶需要為云應(yīng)用配置不同的網(wǎng)絡(luò)層結(jié)構(gòu)，如交換機(jī)、子網(wǎng)等[1]。如果可以將具有高度自治連接性能的服務(wù)級(jí)網(wǎng)絡(luò)作為云計(jì)算的一部分，則可以很容易地解決這個(gè)問題。軟件定義網(wǎng)絡(luò)是一種新興的網(wǎng)絡(luò)技術(shù)，它將控制層和數(shù)據(jù)層結(jié)合起來分層分離，在控制層為用戶提供編程接口，使用戶可以根據(jù)自己的需求，通過編程實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的動(dòng)態(tài)監(jiān)控和管理，同時(shí)，實(shí)現(xiàn)網(wǎng)絡(luò)資源的動(dòng)態(tài)靈活部署，因此，SDN被認(rèn)為是解決當(dāng)前云計(jì)算問題的一種有效方法。其主要平臺(tái)架構(gòu)如圖1所示。

圖1 基于SDN云網(wǎng)絡(luò)的云平臺(tái)架構(gòu)

1 云安全技術(shù)方案概況

1.1 整體方案

SDN的優(yōu)勢(shì)主要體現(xiàn)為對(duì)網(wǎng)元結(jié)構(gòu)的垂直面進(jìn)行標(biāo)準(zhǔn)化和開放化處理，對(duì)平面和控制平面的分離狀態(tài)進(jìn)行合理的管控，使得路由分布和網(wǎng)絡(luò)數(shù)據(jù)得以自動(dòng)化管控。Openstack的優(yōu)勢(shì)體現(xiàn)為自動(dòng)化指標(biāo)、靈活性、可擴(kuò)展性和彈性等，在開展研究工作時(shí)，在云計(jì)算環(huán)境中，使用虛擬化技術(shù)和虛擬化的安全設(shè)備來對(duì)安全架構(gòu)進(jìn)行創(chuàng)建，使平臺(tái)內(nèi)部的流量檢測(cè)和感知取得最佳的效果[2]。

所有的安全設(shè)備在資源池中被抽象成為多個(gè)資源池，使得安全功能變得各不相同。在對(duì)資源池規(guī)模進(jìn)行拓展時(shí)，要以具體的業(yè)務(wù)為基礎(chǔ)，積極開展橫向擴(kuò)展工作，使客戶多樣化的安全需求得到最大程度的滿足。

對(duì)于安全運(yùn)營(yíng)管理平臺(tái)而言，向上作為程序應(yīng)用編程的接口，向下提供設(shè)備資源池化管理策略，縱向部署使業(yè)務(wù)管理平臺(tái)的各項(xiàng)需求得到滿足。內(nèi)部結(jié)構(gòu)能夠合理地分解所有接口收集到的數(shù)據(jù)信息資源，使安全運(yùn)行標(biāo)準(zhǔn)、日志報(bào)警模塊和資產(chǎn)庫(kù)信息得以不斷地分裂，借助分解信息，使命令推送、智能決策和任務(wù)調(diào)度等功能取得最佳的效果，并使用全自動(dòng)智能控制模式來取代半自動(dòng)輸入和手動(dòng)輸入模式。

安全數(shù)據(jù)和平面得到高效控制以后，對(duì)網(wǎng)絡(luò)安全設(shè)備的訪問形式、部署方式和實(shí)現(xiàn)功能實(shí)現(xiàn)了逐一的解耦。抽象行為是安全資源池中的主要資源類型，軟件編程對(duì)頂層業(yè)務(wù)分配實(shí)施了自動(dòng)化和智能化管理，充分發(fā)揮了安全作用，創(chuàng)建了具有較強(qiáng)安全級(jí)別的防護(hù)網(wǎng)。

1.2 設(shè)置功能模塊

整個(gè)系統(tǒng)的開發(fā)模塊主要包括4個(gè)部分的內(nèi)容，具體情況如圖2所示。

圖2 系統(tǒng)開發(fā)模塊

運(yùn)行維護(hù)人員和用戶使用的操作界面為展示層，將用戶的指令發(fā)送出去，使得運(yùn)行維護(hù)管理界面得以高效地利用。

云業(yè)務(wù)處理和Espc借助處理層得以實(shí)現(xiàn)，Espc的具體功能為用戶管理、統(tǒng)一日志、接收日志、報(bào)警管理、安全設(shè)備管理和授權(quán)認(rèn)證等；云業(yè)務(wù)管理的具體功能為安全管控、安全資源管理和安全應(yīng)用中心等；所有安全服務(wù)的應(yīng)用程序由安全應(yīng)用中心提供，將用戶配置快速地轉(zhuǎn)化為設(shè)備配置語言，對(duì)管理配置進(jìn)行科學(xué)劃分，并與用戶管理實(shí)現(xiàn)權(quán)限的連接；安全的權(quán)限認(rèn)證和使用時(shí)長(zhǎng)管理由安全資源管理負(fù)責(zé)，實(shí)現(xiàn)了科學(xué)地設(shè)置連接用戶管理功能和合理地劃分用戶資源。

接口層的類型為縱向南接口和縱向北接口，用戶管理、數(shù)據(jù)庫(kù)訪問和第三方日志的對(duì)接接口由北部接口提供；日志接口和安全設(shè)備控制接口由南部接口提供。

虛擬設(shè)備為能力層，本文的研究對(duì)象為普遍的安全設(shè)備，即VWWSS，vwaf，VRSA，vbvs和vids等。

1.3 技術(shù)方案

1.3.1 OpenStack

OpenStack(K版)在所有的安全設(shè)備中能夠正常運(yùn)行。

1.3.2 虛擬安全

在openstack云環(huán)中實(shí)現(xiàn)配置驗(yàn)證系統(tǒng)和漏洞掃描的資源池化，對(duì)K版openstack的鏡像給予大力的支持，在管理鏡像時(shí)，openstack的glance組件發(fā)揮著積極的作用，虛擬化管理時(shí)，openstack的Nova組件相互作用，共同發(fā)展。

1.3.3 網(wǎng)絡(luò)集成

服務(wù)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)共同構(gòu)成了網(wǎng)絡(luò)系統(tǒng)，虛擬安全設(shè)備管理和安全運(yùn)行平臺(tái)互聯(lián)借助管理網(wǎng)絡(luò)得以實(shí)現(xiàn)，以發(fā)揮安全運(yùn)營(yíng)管理平臺(tái)的功能，高效處理發(fā)布策略、集中管理、日志收集等任務(wù)需求。并要知曉虛擬安全設(shè)備都需要經(jīng)過網(wǎng)卡認(rèn)證授權(quán)方可進(jìn)入訪問；服務(wù)網(wǎng)絡(luò)用于監(jiān)測(cè)統(tǒng)計(jì)用戶流量(包括東西方向和南北方向)的變化，精準(zhǔn)定位用戶需求。

1.3.4 安全運(yùn)營(yíng)管理平臺(tái)

Openstack與安全操作管理平臺(tái)實(shí)現(xiàn)了集成創(chuàng)建，對(duì)安全操作管理平臺(tái)接口對(duì)接實(shí)施了合理的支配，openstack中虛擬化安全設(shè)備生命周期管理取得了最佳的效果，虛擬化設(shè)備的整個(gè)全自動(dòng)化處理得以高效地完成。

1.3.5 對(duì)接SDN網(wǎng)絡(luò)

在設(shè)計(jì)SDN網(wǎng)絡(luò)時(shí)，其處理方式具有較強(qiáng)的特殊性，會(huì)給安全系統(tǒng)的應(yīng)用帶來不同程度的影響，做好虛擬化Web應(yīng)用防火墻的設(shè)置工作，將專用的安全資源池嵌入其中。openstack環(huán)境中單獨(dú)存在著安全獨(dú)占資源池，在引導(dǎo)受保護(hù)對(duì)象的傳入流量時(shí)，SDN系統(tǒng)的GRE隧道發(fā)揮著重要的作用。

2 驗(yàn)證技術(shù)方案和評(píng)估體系

2.1 驗(yàn)證技術(shù)方案

2.1.1 虛擬化掃描器RSAS，BVS，WVSS

用戶是不是配置掃描設(shè)備，需要借助安全應(yīng)用程序來實(shí)現(xiàn)啟動(dòng)判斷，同時(shí)借助openstack的restapi對(duì)掃描儀進(jìn)行創(chuàng)建，安全應(yīng)用程序在對(duì)租戶的所有信息進(jìn)行獲取時(shí)，openstack的restapi發(fā)揮著重要的作用，接著對(duì)需要掃描的地址網(wǎng)絡(luò)信息進(jìn)行查詢。安全應(yīng)用程序在對(duì)掃描儀自身的配置信息進(jìn)行獲取時(shí)，需要借助openstack的restapi得以實(shí)現(xiàn)，分析掃描儀設(shè)備與網(wǎng)絡(luò)是不是已經(jīng)連接，假如沒有連接上，需要在掃描設(shè)備中添加網(wǎng)絡(luò)，接著再對(duì)掃描設(shè)備進(jìn)行啟動(dòng)[3]。

2.1.2 虛擬化網(wǎng)絡(luò)入侵檢測(cè)

安全應(yīng)用程序在對(duì)掃描的安全組進(jìn)行更新時(shí)，需要借助openstack的restapi接口得以實(shí)現(xiàn)，使掃描程序能夠準(zhǔn)確地進(jìn)入應(yīng)用。用戶在對(duì)IDS保護(hù)虛擬IP地址進(jìn)行發(fā)送時(shí)，安全應(yīng)用程序得到高效的利用，用戶是否擁有vaids配置需要由安全應(yīng)用程序后臺(tái)來決定，假如沒有安全應(yīng)用程序后臺(tái)，管理網(wǎng)絡(luò)IP會(huì)將其自動(dòng)分配到vaids中進(jìn)行管理，對(duì)安全資源池的restapi進(jìn)行調(diào)用以后，使vaids安全設(shè)備功能得到啟用。安全應(yīng)用后臺(tái)根據(jù)IP地址信息對(duì)當(dāng)前租戶網(wǎng)絡(luò)中其所擁有的虛擬機(jī)的vportid進(jìn)行查詢時(shí)，需要使用openstack的restapi接口完成查詢?nèi)蝿?wù)。安全應(yīng)用后臺(tái)在對(duì)虛擬機(jī)所在計(jì)算節(jié)點(diǎn)主機(jī)的IP地址進(jìn)行查詢時(shí)，需要對(duì)SDN網(wǎng)絡(luò)接口實(shí)施調(diào)用，借助vportid完成查詢?nèi)蝿?wù)。安全應(yīng)用后臺(tái)在對(duì)GRE通道進(jìn)行創(chuàng)建時(shí)，需要對(duì)安全資源池的restapi實(shí)施調(diào)用，接著對(duì)保護(hù)主機(jī)IP+MAC地址的流量控制表進(jìn)行高效的創(chuàng)建。VIDS部署拓?fù)涞木唧w情況如圖3所示。

圖3 VIDS部署拓?fù)?/p>

2.1.3 虛擬化Web應(yīng)用防火墻

在進(jìn)入添加的保護(hù)站點(diǎn)后，對(duì)保護(hù)策略進(jìn)行啟動(dòng)，得到允許以后，安全應(yīng)用后臺(tái)程序能夠?qū)τ脩羰欠翊嬖趘waf虛擬機(jī)進(jìn)行準(zhǔn)確的判斷。如果未能發(fā)現(xiàn)虛擬機(jī)，管理地址會(huì)被自動(dòng)分配，調(diào)用安全資源池的restapi，快速地創(chuàng)建vwaf。結(jié)合輸入的站點(diǎn)信息，如果是域名，安全應(yīng)用程序后臺(tái)會(huì)完成域名的IP地址解析工作。安全應(yīng)用程序后臺(tái)向vwaf發(fā)布站點(diǎn)保護(hù)策略時(shí)，vwaf的rest API起到至關(guān)重要的作用。安全應(yīng)用程序后臺(tái)開展資源池內(nèi)部引流分配工作時(shí)，會(huì)調(diào)用安全資源池的restapi[4]。

2.2 技術(shù)方案評(píng)估體系

經(jīng)驗(yàn)證考核，該技術(shù)方案的設(shè)計(jì)目標(biāo)達(dá)到了預(yù)計(jì)效果。(1)安全設(shè)備采用虛擬化技術(shù)，促進(jìn)匹配的安全設(shè)備的形成，保留主要以軟件的形式存在。安全設(shè)備從實(shí)際情況出發(fā)，對(duì)部署工作開展實(shí)時(shí)的調(diào)整，同步部署安全資源池和openstack環(huán)境；(2)安全資源的集中調(diào)度、統(tǒng)一管理和部署在科學(xué)使用安全設(shè)備的資源池化后得以最大程度地滿足，提升了可拓展性和靈活性；(3)在對(duì)鏡像和安全設(shè)備進(jìn)行管理的過程中，openstack云平臺(tái)的作用得以全面地發(fā)揮，上層安全運(yùn)營(yíng)管理平臺(tái)與云平臺(tái)有機(jī)地融合起來，使用openstack接口實(shí)現(xiàn)了對(duì)安全的高效管理；(4)對(duì)數(shù)據(jù)分類模式做好控制工作，SDN控制器與安全運(yùn)營(yíng)管理平臺(tái)同步合作，實(shí)現(xiàn)對(duì)調(diào)度流量的按需調(diào)度，促使服務(wù)鏈變得更加完整。管理網(wǎng)、業(yè)務(wù)網(wǎng)等網(wǎng)絡(luò)的衍生功能借助SDN控制器得以實(shí)現(xiàn)，同時(shí)具備了安全性[5]。

3 結(jié)語

云計(jì)算網(wǎng)絡(luò)平臺(tái)的安全維護(hù)是下一代網(wǎng)絡(luò)發(fā)展的重點(diǎn)項(xiàng)目，現(xiàn)階段SDN的技術(shù)應(yīng)用能滿足云平臺(tái)的現(xiàn)實(shí)需求，但也要根據(jù)時(shí)代變化改變安全方案設(shè)計(jì)，優(yōu)化安全策略的實(shí)施，為不同行業(yè)安全防護(hù)體系的改革提供有力支撐。