马剑光,甘小强,陈 诚
(中国联合网络通信集团有限公司江西省分公司,江西 南昌 330096)
由于当前日益复杂的网络安全威胁,智能化的高端安全产品需求量不断增加;同时,随着云计算的快速发展,未来网络安全需求也逐渐转向云端实现。传统的传统安全产品是计算(检测)+存储(审计)+通信(网关)能力的组合体,主要以CPE终端(如防火墙)为核心,为用户提供安全功能保障。因为成本较高,所以只适合企业、教育、集团、金融、政府等集团大客户。同时,目前传统网络安全建设也是问题重重:首先,企业网络安全构建的成本高、维护难度大,且3~5年后安全设备就存在软件及硬件的升级换代问题;其次,网络安全服务以硬件产品进行交付,交付周期长,需要专人进行开通及维护。最后,开通及安装需要专业人员到达现场,不能实现快速安装、不能一键免维,需要大量的专业技术人员进行装机及维护。
随着SDN化技术的演进与发展,传统的网络安全技术逐步演进为“资源池+SDN引流”的安全技术,通过现有SDN技术与云资源池、CPE设备(安全网关)相结合实现网络安全的防护,从而实现了运营商实现快速安装、极简运维。
当前,利用“资源池技术+SDN引流”技术可实现通信设备与计算存储资源的解耦,NFV技术在全球范围内得到大规模商用和验证。“资源池技术+SDN引流技术”使运营商不仅能将网络安全服务于企业、教育、集团、金融、政府等集团大客户,也可提供适用于中小微企业及连锁机构、沿街商铺、专业市场的网络安全服务。
云技术是一种高度可扩展的计算方式,通过互联网将资源以“按需服务”的形式提供给用户,而用户不需要了解、控制、支持这些服务的技术基础架构[1]。
安全云专线充分利用“资源池技术+SDN引流技术”技术,采用控制与存储转发分离的设计方式为企业用户提供安全网络服务。安全云专线需要两个资源池来实施部署:一个云资源池发挥SDN控制器的作用,实现对安全资源池及安全网关的控制及调度;另一个云资源池为安全资源池,资源池采用内嵌安全组件的方式实现流量的存储转发、安全功能的实现及安全审计日志存储等功能。
安全云专线是一种以“资源池技术+SDN引流”技术为核心,通过部署随选节点实现overlay与underlay网络相结合,通过VXLAN建立端到端跨业务域通道,实现安全服务的推送,提供一种面向客户安全服务的overlay网络[2]。
安全云专线网络体系主要由门户网站、ITMS终端管理平台、SDN控制器、安全资源池以及安全网关组成。ITMS终端管理平台实现企业用户宽带业务的开通,SDN控制器负责安全业务的开通,主要实现对资源池及安全网关管理及配置下发。
图1 运营商安全云专线网络结构图
安全云专线通过在安全网关与安全资源池之间内嵌Vxlan隧道实现专线业务的互通,同时保障业务的安全隔离,从而实现安全业务的自助订阅与自动开通。
⊙ ITMS网管负责传统宽带业务或者互联网业务的管理及开通。
⊙ 接入城域网负责OLT及BRAS业务的数据下发和管理。
⊙ 用户通过运营商门户订购安全产品,安全资源池负责将安全服务推送至安全网关,安全网关采用插件方式接收资源池推送的组件并内置,为用户提供可选购的安全服务。
安全云专线业务除了平台、安全网关、资源池的部署外,同时也需通过如下4个关键技术,使企业客户能根据不同业务实现自助订阅不同的安全服务,实现用户业务的网络加固及安全保障:一是业务处理及和分流技术;二是实现资源统一管理的SDN技术;三是多租户访问技术;四是实现安全网关与安全池的VXLAN隧道构建等关键技术。
安全云专线采用业务处理及分流技术,用户可以根据其互联网业务、专线业务、上云业务等,订阅不同的安全服务。
图2 业务处理及分流图
(1)企业普通互联网应用及宽带上网,可通过网关识别业务流后,不加任何协议封装及安全服务,通过BRAS直接转发至互联网。
(2)企业需要安全的互联网应用及宽带上网业务,在网关识别业务流以后,通过VXLAN将其进行封装并送至安全池进行安全加固后推送至互联网。
(3)企业需要网络安全服务的入云业务或者其他专线业务,在网关识别业务流、进行VXLAN封装后将其传输至安全池进行安全加固,然后再转发至目的IP地址。
(1)业务自助订阅、安全服务自助开通,可实现快速安装、一键免维,无须耗费大量的专业技术人员及装机及维护时间。
(2)安全防护及服务采用虚拟化技术提供,以云资源池部署软件的形态存在。可按用户需求自助订阅后,通过工单方式由SDN控制器下发配置到用户端。
(3)通过对安全设备的资源池化,实现对安全资源的统一纳管、集中调度和调配,弹性可扩展[3]。
(4)通过门户Portal、OSS与SDN控制器的协同,实现安全服务、业务网络、管理网络等相关网络功能,同时实现对安全实例的高效流量牵引[3]。
(5)采用多租户的概念,使得不同租户访问同一虚拟机成为可能,降低了安全资源池的建设成本及耗费的云资源。
表1 安全服务功能表
由SDN控制安全网关并对安全网关访问安全资源池要求进行发令请求,安全网关的访问请求能够通过接入的网络进行有效的转发,与公共网络中安全资源池进行通信,而安全资源池里的Vroute及Vnat功能在对本地的流表实施查询的同时可进行最合理有效地匹配。流表在匹配中完全成功后,就能送达安全池的安全组件。如果安全池能够充分接受相关访问请求,用户就能够访问相关的安全资源。在请求指令发送之后,SDN控制器就能够直接接受该方面的指令请求,同时对整个网络结构中的相关安全网关部署状况实施查询。在现网中如果部署了安全网关,SDN控制器就向此网络中的安全资源池发送指令,同时构建路由,建立Vxlan实现安全传输。
传统安全云的租户概念采用一个租户访问一个虚拟机方式,导致安全云资源池资源缺乏有效利用,因而建设成本高。安全云专线采用统一的架构和管理平台为多租户提供可自定义的私有云环境,且各环境之间相互独立、互不干扰。安全资源池采用多租户访问技术,可使得多个租户访问一个安全虚拟机,每个租户建立不同的用户访问界面,使安全池的CPU及内存资源利用率大大提高:同一个虚拟机支持每租户单独的日志信息、租户之间的信息相互隔离、相互无法查看,从而保证租户信息安全。
安全云专线采用“资源池技术+SDN引流”架构,将安全组件内置于云资源池内,通过SDN安全网关引流方式实现对用户的网络安全服务。可提供的主要安全服务如下。
(1)互联网访问行为审计与控制:应用识别、URL过滤、流量控制、流量清洗、行客认证、商客认证、日志报表等服务。
(2)入侵防御与病毒防护:安全策略、L2~L7层的全面防护、应用识别检测、数据防泄漏等服务。
(3)威胁检测与溯源:数据采集、AI智能建模及算法、攻击模拟分析、攻击及威胁分析处置、业务性能分析等服务。
(4)上网行为感知:工作效率分析、关键事件分析、校园网贷过滤、沉迷网络防护、用户行为画像等服务。
安全云专线相比传统防火墙具备有以下几个特点。
(1)安全服务可自助订阅、自助开通,具有快速安装、一键免维等特点,因此避免了大量的专业技术人员及装机及维护时间的消耗。
(2)安全服务采用虚拟化技术提供,以云资源池部署软件的形态存在,可按用户需求自助订阅后通过工单方式,采用SDN控制器下发配置到安全网关实现。
(3)通过安全设备的资源池化,实现对安全资源及设备的统一纳管与集中调度,具备弹性可扩展的优点。
(4)通过门户Portal、OSS与SDN控制器的协同,实现了安全服务及业务网络和管理网络等网络功能,最大程度对安全实例进行高效的流量牵引。
(5)采用多租户的概念,使得不同租户访问同一虚拟机成为可能,降低了安全资源池的建设成本及耗费的云资源。
网络技术在企业办公和生产中发挥难以取代的作用,因此网络安全问题也将长期存在且日益重要。如何保证用户网络安全性,为企业构建低成本、高效、安全的网络环境是目前各运营商需要考虑的问题,“资源池+SDN引流”技术的安全云专线实现了用户安全服务的自助订阅、自助开通,同时采用多租户技术为用户提供性价比更高的安全服务。■