余竞航,陈 欣,陈 石,张 颂,奚梦婷
(国网江苏省电力有限公司信息通信分公司,江苏 南京 210024)
云计算服务技术的普及应用,使网络安全稳定性的挑战也不断增多,如何做好网络安全维护是云计算日后发展的重心。目前,云供应商逐步强化软件定义网络(Software Defined Network, SDN)和信息安全保障技术的研究,利用云计算特有的方式及功能,促进计算机信息领域和网络云服务的稳定发展,探索有效途径解决各类相关问题。随着大数据时代的到来,高效计算和存储数据已经成为未来网络计算中需要解决的关键问题。云计算是在并行处理、分布式计算、网格计算等技术基础上发展起来的一种网络计算技术。根据美国国家标准与技术研究所(NIST)的说法,云计算是一个共享的资源池(如网络、服务、存储、应用),当用户快速获取和释放资源时,这种计算模式减少了与服务提供商的交互和管理费用。在云计算模式下,用户终端设备变得非常简单,用户只需要发送请求就可以使用云服务提供商提供的计算资源、存储空间等应用软件,用户不需要购买产品,可以直接购买服务。云计算之所以发展如此迅速,是因为它遵循了“按需收费”的原则。用户访问由软件、硬件和存储设备组成的资源池时,不需要知道资源池的物理位置和相关技术。云计算技术具有经济实用、高扩展性、高可靠性、便捷性和按需服务等特点。近年来,云计算技术得到越来越广泛的应用。将云计算应用于移动通信系统的基带云(云蜂窝),可以有效地解决高速移动终端(如高铁)频繁切换的问题。然而,传统的云计算网络仍然存在许多问题,例如在云计算环境中,用户需要为云应用配置不同的网络层结构,如交换机、子网等[1]。如果可以将具有高度自治连接性能的服务级网络作为云计算的一部分,则可以很容易地解决这个问题。软件定义网络是一种新兴的网络技术,它将控制层和数据层结合起来分层分离,在控制层为用户提供编程接口,使用户可以根据自己的需求,通过编程实现对网络的动态监控和管理,同时,实现网络资源的动态灵活部署,因此,SDN被认为是解决当前云计算问题的一种有效方法。其主要平台架构如图1所示。
图1 基于SDN云网络的云平台架构
SDN的优势主要体现为对网元结构的垂直面进行标准化和开放化处理,对平面和控制平面的分离状态进行合理的管控,使得路由分布和网络数据得以自动化管控。Openstack的优势体现为自动化指标、灵活性、可扩展性和弹性等,在开展研究工作时,在云计算环境中,使用虚拟化技术和虚拟化的安全设备来对安全架构进行创建,使平台内部的流量检测和感知取得最佳的效果[2]。
所有的安全设备在资源池中被抽象成为多个资源池,使得安全功能变得各不相同。在对资源池规模进行拓展时,要以具体的业务为基础,积极开展横向扩展工作,使客户多样化的安全需求得到最大程度的满足。
对于安全运营管理平台而言,向上作为程序应用编程的接口,向下提供设备资源池化管理策略,纵向部署使业务管理平台的各项需求得到满足。内部结构能够合理地分解所有接口收集到的数据信息资源,使安全运行标准、日志报警模块和资产库信息得以不断地分裂,借助分解信息,使命令推送、智能决策和任务调度等功能取得最佳的效果,并使用全自动智能控制模式来取代半自动输入和手动输入模式。
安全数据和平面得到高效控制以后,对网络安全设备的访问形式、部署方式和实现功能实现了逐一的解耦。抽象行为是安全资源池中的主要资源类型,软件编程对顶层业务分配实施了自动化和智能化管理,充分发挥了安全作用,创建了具有较强安全级别的防护网。
整个系统的开发模块主要包括4个部分的内容,具体情况如图2所示。
图2 系统开发模块
运行维护人员和用户使用的操作界面为展示层,将用户的指令发送出去,使得运行维护管理界面得以高效地利用。
云业务处理和Espc借助处理层得以实现,Espc的具体功能为用户管理、统一日志、接收日志、报警管理、安全设备管理和授权认证等;云业务管理的具体功能为安全管控、安全资源管理和安全应用中心等;所有安全服务的应用程序由安全应用中心提供,将用户配置快速地转化为设备配置语言,对管理配置进行科学划分,并与用户管理实现权限的连接;安全的权限认证和使用时长管理由安全资源管理负责,实现了科学地设置连接用户管理功能和合理地划分用户资源。
接口层的类型为纵向南接口和纵向北接口,用户管理、数据库访问和第三方日志的对接接口由北部接口提供;日志接口和安全设备控制接口由南部接口提供。
虚拟设备为能力层,本文的研究对象为普遍的安全设备,即VWWSS,vwaf,VRSA,vbvs和vids等。
1.3.1 OpenStack
OpenStack(K版)在所有的安全设备中能够正常运行。
1.3.2 虚拟安全
在openstack云环中实现配置验证系统和漏洞扫描的资源池化,对K版openstack的镜像给予大力的支持,在管理镜像时,openstack的glance组件发挥着积极的作用,虚拟化管理时,openstack的Nova组件相互作用,共同发展。
1.3.3 网络集成
服务网络和管理网络共同构成了网络系统,虚拟安全设备管理和安全运行平台互联借助管理网络得以实现,以发挥安全运营管理平台的功能,高效处理发布策略、集中管理、日志收集等任务需求。并要知晓虚拟安全设备都需要经过网卡认证授权方可进入访问;服务网络用于监测统计用户流量(包括东西方向和南北方向)的变化,精准定位用户需求。
1.3.4 安全运营管理平台
Openstack与安全操作管理平台实现了集成创建,对安全操作管理平台接口对接实施了合理的支配,openstack中虚拟化安全设备生命周期管理取得了最佳的效果,虚拟化设备的整个全自动化处理得以高效地完成。
1.3.5 对接SDN网络
在设计SDN网络时,其处理方式具有较强的特殊性,会给安全系统的应用带来不同程度的影响,做好虚拟化Web应用防火墙的设置工作,将专用的安全资源池嵌入其中。openstack环境中单独存在着安全独占资源池,在引导受保护对象的传入流量时,SDN系统的GRE隧道发挥着重要的作用。
2.1.1 虚拟化扫描器RSAS,BVS,WVSS
用户是不是配置扫描设备,需要借助安全应用程序来实现启动判断,同时借助openstack的restapi对扫描仪进行创建,安全应用程序在对租户的所有信息进行获取时,openstack的restapi发挥着重要的作用,接着对需要扫描的地址网络信息进行查询。安全应用程序在对扫描仪自身的配置信息进行获取时,需要借助openstack的restapi得以实现,分析扫描仪设备与网络是不是已经连接,假如没有连接上,需要在扫描设备中添加网络,接着再对扫描设备进行启动[3]。
2.1.2 虚拟化网络入侵检测
安全应用程序在对扫描的安全组进行更新时,需要借助openstack的restapi接口得以实现,使扫描程序能够准确地进入应用。用户在对IDS保护虚拟IP地址进行发送时,安全应用程序得到高效的利用,用户是否拥有vaids配置需要由安全应用程序后台来决定,假如没有安全应用程序后台,管理网络IP会将其自动分配到vaids中进行管理,对安全资源池的restapi进行调用以后,使vaids安全设备功能得到启用。安全应用后台根据IP地址信息对当前租户网络中其所拥有的虚拟机的vportid进行查询时,需要使用openstack的restapi接口完成查询任务。安全应用后台在对虚拟机所在计算节点主机的IP地址进行查询时,需要对SDN网络接口实施调用,借助vportid完成查询任务。安全应用后台在对GRE通道进行创建时,需要对安全资源池的restapi实施调用,接着对保护主机IP+MAC地址的流量控制表进行高效的创建。VIDS部署拓扑的具体情况如图3所示。
图3 VIDS部署拓扑
2.1.3 虚拟化Web应用防火墙
在进入添加的保护站点后,对保护策略进行启动,得到允许以后,安全应用后台程序能够对用户是否存在vwaf虚拟机进行准确的判断。如果未能发现虚拟机,管理地址会被自动分配,调用安全资源池的restapi,快速地创建vwaf。结合输入的站点信息,如果是域名,安全应用程序后台会完成域名的IP地址解析工作。安全应用程序后台向vwaf发布站点保护策略时,vwaf的rest API起到至关重要的作用。安全应用程序后台开展资源池内部引流分配工作时,会调用安全资源池的restapi[4]。
经验证考核,该技术方案的设计目标达到了预计效果。(1)安全设备采用虚拟化技术,促进匹配的安全设备的形成,保留主要以软件的形式存在。安全设备从实际情况出发,对部署工作开展实时的调整,同步部署安全资源池和openstack环境;(2)安全资源的集中调度、统一管理和部署在科学使用安全设备的资源池化后得以最大程度地满足,提升了可拓展性和灵活性;(3)在对镜像和安全设备进行管理的过程中,openstack云平台的作用得以全面地发挥,上层安全运营管理平台与云平台有机地融合起来,使用openstack接口实现了对安全的高效管理;(4)对数据分类模式做好控制工作,SDN控制器与安全运营管理平台同步合作,实现对调度流量的按需调度,促使服务链变得更加完整。管理网、业务网等网络的衍生功能借助SDN控制器得以实现,同时具备了安全性[5]。
云计算网络平台的安全维护是下一代网络发展的重点项目,现阶段SDN的技术应用能满足云平台的现实需求,但也要根据时代变化改变安全方案设计,优化安全策略的实施,为不同行业安全防护体系的改革提供有力支撑。