[何明 樊宁 沈军]
云数据中心安全集中管控架构研究
[何明 樊宁 沈军]
传统的基于物理边界防护的安全架构无法应对虚拟化安全需求,同时,相对固化的架构也无法根据业务应用场景进行灵活的功能调整和定制,不能满足业务的弹性、按需的安全需求,这给云数据中心安全业务的开展带来挑战。文章通过分析云数据中心的安全业务需求以及面临的技术挑战,提出基于SDN架构的集中安全控制架构,通过集中安全控制器与SDN网络控制器以及云管理平台的协同,实现安全业务自助式即时开通、安全资源按需弹性提供,满足云安全业务需求。
云数据中心 SDN 安全集中管控 安全能力编排
何明
硕士,中国电信股份有限公司广东研究院,工程师,主要研究方向:通信网络及网络安全。
樊宁
硕士,中国电信股份有限公司广东研究院,工程师,主要研究方向:通信网络及网络安全。
沈军
硕士,中国电信股份有限公司广东研究院,高级工程师,主要研究方向:通信网络及网络安全。
随着互联网+战略的提速,定位为互联网基础支撑设施的云计算开始加速从建设阶段向普及阶段迈进。在这个过程中,云计算的安全可控成为核心要素,关系着云计算是否能平稳落地,实现健康可持续地发展。由于云计算平台汇聚了大量的数据、应用,更容易吸引黑客的注意力,因此,近年来针对云服务的攻击事件逐年增多。安全不仅成为云服务提供商面临的挑战,也是广大用户选择云计算应用时首要的考虑因素。
云计算虽然改变了服务方式,但并没有颠覆传统的安全模式,因此业界对于云计算安全防护基本都采用了相同的路线,即基于成熟的安全理论及体系,结合云计算应用特点,融合传统安全技术、安全新技术以及安全新机制,并将其延伸到云计算应用及安全管理中,满足云计算应用的安全防护需求。具体来说,主要是综合利用加密、安全隔离、细粒度访问控制、安全审计等传统安全技术的基础之上,重点加强虚拟化层安全管控、规范内部安全运营管理,解决云计算由于服务模式、虚拟化技术带来的特有的安全问题。
本文通过分析目前的虚拟化安全技术发展情况,结合云计算安全业务发展需求,提出基于SDN架构的集中安全控制架构,期望通过集中安全控制器与SDN网络控制器以及云管理平台的协同,实现安全业务自助式即时开通、安全资源按需弹性提供,满足云安全业务需求。
本质上,云计算应用和普通信息系统并无不同,因此其同样会遭受传统安全威胁。云数据中心的安全运维同样要解决传统安全威胁的防护,包括边界防护、DDOS防护、入侵防护等等。同时,安全运维人员还必须面对虚拟化技术以及业务模式的改变所引入的新的安全挑战:
首先,虚拟化技术的应用,使得传统的物理安全设备无法监测虚拟机之间的东西向流量,留下了安全监控的盲点;
其次,虚拟化、SDN等技术使得云计算网络朝着自动化、智能化方向发展,业务快速变化,而传统安全解决方案缺乏对云计算业务的感知,无法适应虚拟化环境下业务的快速变更;
第三,传统安全部署缺乏自动化的手段,在云计算快速变化的环境下,需要进行大量的人工操作,管理效率低下且容易出现安全疏漏。
为了应对上述挑战,云数据中心的安全部署应满足如下要求:
首先安全资源应该尽量池化,通过安全资源集中,可为云计算安全业务资源的弹性调用奠定基础。同时通过安全资源的横向整合,可以极大简化网络拓扑,减少设备的配置管理工作;
其次,应实现安全资源对云计算业务变化的感知。当云计算业务安全需求发生变化时,能自动调整安全资源,并下发安全策略,实现云计算安全业务的一键部署。
传统基于物理安全边界的防护机制无法满足虚拟化环境下的多租户应用的安全防护需求,需要将已有的安全控制、安全监控等手段和机制延伸到虚拟化应用中,来解决虚拟机之间的隔离和监控。目前,业界主要有3类解决方案:
(1)VM+Agent方案
这种解决方案主要将安全软件以Agent的形式安装在被保护的物理主机上,利用Hypervision层开放的扩展接口,将虚拟机之间的流量先劫持到agent中进行安全处理后,再进行正常流转[1]。此解决方案与Hypervision层开放的扩展接口密切相关,安全产品受Hypervison的安全接口所限,部分安全功能无法实现。同时,安全产品占用了用户虚拟机所在的物理主机资源,产品性能不仅受限于其所分配的资源,对用户虚拟机性能也有一定影响。
目前业界产品主要基于Vmware系统实现,由于Vmware市场策略发生改变,其安全扩展接口不再开放,使得本解决方案不具有可持续性。
(2)VM+VRouter方案
这种解决方案在vRouter上加载安全控制功能,或者将虚拟化安全软件和vRouter装在同一个物理主机上,由于vRouter是网关,虚拟机流量均需通过其进行转发,因此vRouter可将所流经的流量均转发给虚拟化安全软件过滤,从而实现安全监控。
此解决方案中,安全功能可以不受限制,因此可继承传统安全设备成熟的功能体系。但是,这种方案仅适用于三层以上流量的安全管控,因为二层以下的流量由虚拟交换机直接交换,不会流经网关设备。同时,在openstack的分布式路由场景中,路由是由计算节点直接计算决定,不再需要到网关路由器中转,因此,这种解决方案的适用场景将大为受限,业界的相关产品也相对较少。
(3)SDN引流方案
随着云数据中心网络虚拟化进程的推进,基于SDN引流实现安全控制的方案开始发展。此方案利用SDN控制器将流量调配到安全设备,从而实现安全控制[2]。
此解决方案中,SDN控制器以业务链的方式进行流量调度,流量可被灵活地、按特定次序调配由服务功能处理,实现安全资源的按需访问。同时,安全设备形态可以是传统硬件安全设备或者虚拟机形态的安全设备,可继承传统安全设备成熟的功能体系,并通过集中部署,形成安全资源池,有助于实现安全能力的按需弹性扩展。具体如图1。
图1 SDN引流方案
从技术路线来看,SDN引流方案将是未来的发展方向,有助于实现业务层与网络层快速对接、动态网络与业务开放联动。因此,本文提出了一种基于SDN的集中安全控制架构,通过解耦底层安全资源与安全应用,并与SDN网络控制器等进行协调,基于自动网络编排、安全资源编排、安全策略编排等技术,实现安全业务按需弹性部署。具体架构如图2。
图2 基于SDN的集中安全控制架构
整个集中安全控制平台架构分为三个层次,分别是业务运营层、能力编排层和资源管理层:
(1)业务运营层:完成安全应用管理、客户管理、业务定制、事件相应等功能,通过建立业务模型以及事件响应模型,分析具体的安全业务需求和安全响应需求,并下发给能力编排层;
(2)能力编排层:根据业务运营层下发的具体的安全业务需求或者安全响应需求,分别进行网络资源、安全资源、安全策略的编排,完成安全逻辑网络与物理安全资源的映射和关联;
(3)资源管理层:根据能力编排的要求,实现对底层资源的具体配置管理和策略检查/下发等资源管理工作。
本架构的业务定制流程如图3。集中安全控制平台业务运营层的业务定制模块根据安全业务自服务平台提供的服务对象、服务组合、资源要求、安全要求、安全等级等信息,建立与客户相对应的业务模型;客户管理模块则管理客户资源、客户自身等信息。安全编排层根据业务运营层的业务模型以及具体的安全服务要求,调配适宜的安全资源、编排安全策略以及网络资源,并向SDN控制器发送流量调度指令,将客户流量牵引至指定的安全资源进行处理;资源管理层则对策略进行统一的合规性检查,以免出现策略冲突、配置错误等人为问题,并将安全策略下发到指定的安全资源。
在目前严峻的安全形势下,被动的修补防护体系已经无法从根本上解决安全威胁,为了阻止攻击在进入云计算网络内部后的横向平移,必须采取更细粒度更智能化的网络隔离技术,能根据内部网络信息流动的情况以及安全告警信息,自适应调整安全策略,防止风险扩大并快速响应安全事件。因此,本架构设置了事件响应流程,当事件响应模块收到安全分析平台的威胁告警时,将对攻击目标资源、攻击类型(潜在攻击目标、最佳防护方式)进行分析,关联安全防护资源,确定最佳防护策略和客户授权的防护动作。然后通过安全能力编排调用底层安全资源,向其下发适宜的安全策略,完成安全响应。例如,当发现疑似中毒的主机时,安全集中控制平台可以将其暂时隔离,或者限制访问,再启动安全加固流程进行处理。
本架构基于SDN技术,通过对安全资源的集中管控以及与SDN网络控制等平台的协同,实现云数据中心新型网络与业务环境的安全资源统一管理和控制。本架构共分为三个层次,分别是业务运营层、能力编排层和资源管理层,可实现对安全资源的生命周期管理以及全局的状态监测;集中管控安全策略;实现云计算安全业务快速开通、安全能力的按需实施与弹性扩展以及安全事件的协同处理。不仅将维护人员从准备资源、调试网络、配置策略等一系列复杂操作中解放,避免逐个安全资源安装、调试等人工操作带来的风险,同时也提升了安全响应能力以及租户的业务体验。
图3 业务流程
1 沈余锋,余小军.云计算环境下虚拟化安全探讨.电力信息与通信技术,2013 ,11(11):6-11
2 刘文懋,裘晓峰,陈鹏程等.面向SDN环境的软件定义安全架构.计算机科学与探索,2015 ,9 (1): 63-70
10.3969/j.issn.1006-6403.2016.11.008
(2016-09-26)