从技术上看,云计算采用资源池化的方式为用户提供服务,传统的安全集中投入的方式很难满足云计算中资源的按需扩展需求。另外,如何满足不同租户差异化的安全需求也是一项很大的挑战。
从管理模式上看,传统的IT系统提供方和用户之间有清晰的安全职责划分。在云计算的这种以服务为核心的模式下,整个IT系统会面临云服务提供方、云租户和云用户多方的关系,如何明确各自的职责,是确保云计算系统安全的一个重要前提。
从法律和合规的角度看,国内外的云安全标准机构近年来也是陆续发布了多个云安全的相关标准,比如云安全联盟(CSA)发布的《身份管理与接入控制指导建议书》(白皮书)、《如何保护云数据》(白皮书),国内等保标准里的《信息系统安全等级保护 云计算安全扩展要求》(草案)、《信息系统安全等级保护 云计算安全扩展测评要求》(草案)等。如何建设云计算系统的安全措施,保证符合法律和合规的要求,也是用户业务云化面临的一个重要的问题。
软件定义网络(SDN)提出了一种全新的网络架构,能够通过逻辑上集中的控制平面,实现网络管理、控制的集中化、自动化。那么SDN和安全又有什么样的关系呢?
SDN有三个本质的属性:控制与转发分离、集中化的网络控制、开放的编程接口。
控制与转发分离,使得逻辑上集中的控制平面能够拥有全网的完整视图,这样控制平面就能够看到任何正常的、或者不正常的流量;集中化的网络控制,使得控制平面能够控制任何流量能走、不能走、怎么走;开放的编程接口能够将上述所有的操作实现可编程以及自动化。这样看来,SDN天然的就为网络的安全问题提出了很好的解决办法。当然,OpenFlow也是在某种程度上为了解决安全问题。
网络功能虚拟化(NFV)利用IT虚拟化技术,将现有的各类网络设备功能整合进标准的IT设备,如高密度服务器、交换机、存储等,通过管理控制平面,实现网络/安全功能的自动化编排。
NFV-I提供了虚拟化网络功能运行所必须的基础设施。
VNF-M即各种虚拟化的网络功能层,通过VNF+EMS实现多种虚拟网元的网络功能,这些VNFs由VNF-M进行统一的管理。
NFV-O是最上面的业务层,根据OSS/BSS的业务逻辑和业务需求,NFV-O动态的对下层的VNFs进行编排,以满足业务系统对不同网络功能的需求。
VNF-M和NFV-O共同组成了NFV架构中的管理编排域,简称为MANO,MANO负责对整个NFV-I资源的管理和编排,负责业务网络和NFV-I资源的映射和关联,负责OSS业务资源流程的实施等。
基于SDN/NFV技术可以构建一个完整的、开放的虚拟化网络平台,那么能否在此基础上整合构建出一个虚拟化的安全解决方案呢?答案当然是肯定的。
有一种基于SDN/NFV的安全方案架构,除去计算、存储、网络等硬件基础设施之外,整个架构自底向上共分为资源池、安全控制平台和安全应用三个层次。
图1 安全资源池内的安全设备部署
资源池是各种安全防护功能的集合,具体包括但不限于:(1)安全预防类功能:系统漏洞扫描(vRSAS)、Web漏洞扫描(vWVSS)等;(2)安全检测类功能:网络入侵检测系统(vNIDS);(3)安全防护类功能:网络入侵防御系统(vNIPS)、下一代防火墙(vNF)等;(4)安全响应类功能 :安全审计系统(vSAS)、堡垒机等。
在设备形态上,安全资源池内的安全功能既可以是依托虚拟化的安全设备(VNFs),也可以是传统的硬件安全设备;在基础设施层面,既可以采用独立的安全节点进行部署,也可以依 托 OpenStack、VMware、FusionSphere等云计算IaaS平台。具体可参考图1。
安全控制平台则包括了NFV架 构中的 VI-M、VNF-M和NFV-O,具体到功能层面和NFV架构中的类似,比如VI-M用来管理安全资源池的基础设施资源,同时负责跟网络系统的SDN控制器进行对接;通过VNF-Manager/Agent的方式,实现各个安全功能的管理;通过NFV-O提供北向的应用接口。
这种基于SDN/NFV的安全架构是如何实现云环境下的安全防护的,以下是两种使用场景:(1)云计算、软件定义数据中心这类的系统/平台 ;(2)NFV 系统。
对于第一类场景,可以直接将上述安全架构和云平台进行对接,通过两个控制平台层面的交互实现资产以及防护策略的一致性,然后通过网络将资源层打通,实现流量的灵活调度,完成整个虚拟化环境的安全防护。
对于第二类场景,一方面,可以按照第一类场景的方式进行设计,即两个控制平台进行对接;另一种方式则是将安全资源池集成到NFV的VNFs内部,与NFV共用 VI-M、VNF-M和 NFV-O,这样的话安全和网络就实现了深度的整合,同时也带来了高耦合的风险问题。
下面我们从第一个场景着手,看一下是如何设计其安全解决方案的。如图2所示,是方案的整体架构图,主要分为4个部分,最下面的VNFs,也就是安全的资源池,这里的安全功能提供者既可以是厂商的安全设备,设备之间通过SDN网络实现互联。SIEM系统主要是用来收集下层安全设备的日志和告警等信息,提供威胁分析的数据来源。安全资源池控制器一方面负责VNFs的管理控制,同时还负责与云平台进行适配。最上面是云安全管理平台的门户,为用户提供安全服务和运维服务等多个使用门户。
图2 云计算、软件定义数据中心系统/平台架构
图3 南北向和东西向安流量安全调度
为用户云上业务提供预防(RSAS、BVS等)、检测(NIDS等)、保护(NIPS、NF等)和响应(SAS、ESP等)全系列的安全服务,解决了用户南北向和东西向流量安全问题。
如图3所示,提供南北向和东西向安全服务,云安全管理平台与云计算系统对接,通过外置安全资源池和内置资源池结合的方式,将南北向流量和东西向流量进行调度,完成安全检测和防护。
在云计算架构下,云计算开放网络和业务共享场景更加复杂多变,安全挑战更加严峻;云计算系统较传统IT系统,既涉及到管理模式、服务模式的创新,又涉及到虚拟化、隔离等技术层面的创新,因此其安全的着手点也是千姿百态。本文主要针对云上业务的安全,分析并展示了基于SDN/NFV技术的云安全实践方案。