運營商的商業(yè)轉(zhuǎn)型引發(fā)了其網(wǎng)絡架構(gòu)的轉(zhuǎn)型,安全也必須隨之進行SDN/NFV轉(zhuǎn)型,才能適應運營商網(wǎng)絡的新架構(gòu),支撐其商業(yè)訴求的達成。
運營商云化轉(zhuǎn)型的安全訴求
近年來,傳統(tǒng)電信業(yè)務增長放緩,促使運營商建設(shè)全新的云化(NFV和SDN)基礎(chǔ)設(shè)施,以支撐其業(yè)務驅(qū)動的轉(zhuǎn)型,滿足其降低TCO(Total Cost of Ownership)和TTM(Time To Market)、資源彈性化以及運維自動化的商業(yè)訴求。
運營商的新商業(yè)訴求,相應對安全也提出了新的要求:
業(yè)務敏捷,加速業(yè)務上線,縮減TTM:安全自動的業(yè)務發(fā)放是電信云化和IT云化場景的共性需求,是加速業(yè)務上線、縮減TTM背后的基礎(chǔ)競爭力之一。
降低OPEX(Operating Expense),解放管理員,去手工:安全自動運維和簡化管理是SDN/NFV和云安全實現(xiàn)的基石,也是客戶的痛點,同時還是解放傳統(tǒng)安全運維操作復雜和手工依賴的出路。
增值服務PAYG(Pay-As-You-Grow),滿足業(yè)務彈性:創(chuàng)新業(yè)務收入是運營商向SDN/NFV演進的重要驅(qū)動力,提供豐富的租戶增值安全業(yè)務、彈性擴縮和按需編排是關(guān)鍵支撐能力。而傳統(tǒng)的安全解決方案越來越難以滿足運營商云化場景下的安全訴求:
靜態(tài)安全軟硬件失效:靜態(tài)的傳統(tǒng)安全設(shè)備和軟件部署在網(wǎng)絡邊界和主機等位置,在云化場景下,對于VM之間的東西向流量無法感知并保障安全。
安全管理復雜化:在大型云數(shù)據(jù)中心中云安全策略繁多,傳統(tǒng)的手工申請、審核和配置需要耗費巨大的安全運維人力全天候處理策略的更新、審批和維護。
運營商網(wǎng)絡的總體架構(gòu)包括接入網(wǎng)(無線接入+固定接入)、核心網(wǎng)(NFV Cloud)、骨干傳輸網(wǎng)(Backbone)和云數(shù)據(jù)中心(IT Cloud),接入網(wǎng)和骨干傳輸網(wǎng)仍以傳統(tǒng)架構(gòu)為主,NFV和SDN安全特性主要在核心網(wǎng)和云數(shù)據(jù)中心應用。
在運營商新的網(wǎng)絡架構(gòu)中,不同位置有著不同的安全需求:(1)vEPC的安全需求是信令安全,安全設(shè)施需要提供3GPP IPSec加密等功能;(2)vMSE的安全需求包括高性能NAT和URL過濾,以及Anti-DDoS等;(3)vCPE的安全需求包括提供給企業(yè)邊界防護的端到端VPN加密、端到端QoS、IPS和防病毒等;(4)IT Cloud作為運營商提供增值電信業(yè)務(例如視頻等)的重要設(shè)施,其核心安全需求是租戶級的邊界安全。
在上述4個場景中,虛擬化和云化的基礎(chǔ)設(shè)施都要求安全業(yè)務NFV化;在場景(3)和(4)中,由于涉及到企業(yè)安全邊界的防護(vCPE)和租戶的防護(IT Cloud),需 要對網(wǎng)絡設(shè)備(包括硬件盒子和虛擬化設(shè)備vSwitch)進行引流調(diào)度,所以安全還須融入到SDN網(wǎng)絡,適配整網(wǎng)架構(gòu)。
綜上所述,運營商的商業(yè)轉(zhuǎn)型引發(fā)了其網(wǎng)絡架構(gòu)轉(zhuǎn)型,安全也必須隨之進行SDN/NFV轉(zhuǎn)型,才能適應運營商網(wǎng)絡的新架構(gòu),支撐其商業(yè)訴求的達成。
安全NFV化
安全“NFV化”是一個統(tǒng)稱,具體還分為安全設(shè)施形態(tài)軟件化、安全業(yè)務微服務化,以及在云架構(gòu)中的大容量集群和彈性伸縮。
安全設(shè)施形態(tài)軟件化
安全NFV化,首先是安全設(shè)施的形態(tài)可硬可軟、可大可小。硬件NGFW(Next Generation Firewall)采用傳統(tǒng)方式部署在云數(shù)據(jù)中心網(wǎng)絡的各個邊界,而軟件NGFW則部署在每個VM(Virtual Machine)中,VM啟動的時候需要同時啟動軟件防火墻,或者啟動安全業(yè)務的Agent。硬件和軟件NGFW都需要能實現(xiàn)一虛多和多虛一,其中一虛多是指根據(jù)NFV業(yè)務的需要,將一套NGFW軟硬件虛擬成多套,被不同的主機或者業(yè)務調(diào)用;而多虛一則是指多套NGFW軟硬件池化,根據(jù)業(yè)務的需要靈活調(diào)用其中的一部分安全資源。在一虛多和多虛一的場景中,軟硬件NGFW的靈活性和易用性都非常重要,能使一虛多和多虛一的管理更加簡潔方便。
安全業(yè)務微服務化
安全NFV化,其次是業(yè)務微服務化,調(diào)度方式可分可合。vNGFW(Virtual Next Generation Firewall)包含10多種安全業(yè)務,包括應用識別、NAT、VPN、IPS和URL過濾等等。具體實現(xiàn)時,這些安全業(yè)務可以All in One集中部署在一個vNGFW中,優(yōu)點是部署簡單;也可以分布式部署,每個虛擬安全網(wǎng)元(可以是一臺VM)體現(xiàn)為一個VNF,在使用時通過服務鏈(Service Chain)調(diào)用相應的安全業(yè)務來實現(xiàn),優(yōu)點是靈活性高。
大容量集群,彈性伸縮
安全NFV化,第三是要能夠?qū)崿F(xiàn)大容量集群,更好地支持大流量運營商管道業(yè)務。具體的實現(xiàn)方式有兩種:其一是分布式架構(gòu),一個vNGFW的不同模塊(例如URL過濾、VPN和IPS)部署在不同的VM上,多個VM共同組成一個vNGFW,實現(xiàn)大容量集群;其二是每個vNGFW部署在一個VM上,但通過綁定多個VM實現(xiàn)集群。vNGFW實現(xiàn)大容量集群后,能夠根據(jù)業(yè)務的需要組合成不同規(guī)模的安全網(wǎng)關(guān),從而保證云數(shù)據(jù)中心內(nèi)部各類規(guī)模流量和業(yè)務的安全防護。
安全融入SDN網(wǎng)絡
與安全“NFV化”類似,安全融入SDN網(wǎng)絡也是一個統(tǒng)稱,在具體實現(xiàn)時,安全設(shè)施需要開放北向接口被SDN控制器調(diào)度,同時還要支持微分段,最好還能支持不同的控制器生態(tài),從而能夠在多廠商混合網(wǎng)絡中發(fā)揮作用。
開放北向,被控制器調(diào)度
安全融入SDN網(wǎng)絡,首先需要安全網(wǎng)元能夠被控制器平臺自動化部署,基于業(yè)務鏈發(fā)放業(yè)務,按需調(diào)度威脅防護,實現(xiàn)分鐘級業(yè)務發(fā)放(Plug &Play)、自定義服務(自動開通、擴展和回收)以及靈活引流。
在SDN網(wǎng)絡中,安全網(wǎng)元的具體業(yè)務流程如下:(1)外部用戶或VM發(fā)起一條流的首包,經(jīng)過vSwitch后vPath基于策略進行解析;(2)vSwitch識別出是一條新的流,需要被指定vFW(Virtual Firewall)檢測,將流送到對應的vFW;(3)vFW實施ACL策略,并緩存ACL策略到vSwitch;(4)如果策略允許,報文被送到目的VM,否則被丟棄。
由此可見,安全網(wǎng)元在控制器的調(diào)度之下,需要與vSwitch等云的網(wǎng)絡設(shè)施緊密協(xié)同,真正在虛擬化網(wǎng)絡中承擔安全防護的職責。
微分段
傳統(tǒng)數(shù)據(jù)中心用的是邊界安全技術(shù),包括NGFW和IPS等設(shè)施都是通過對流入流量進行浸入式分析來輔助確認威脅,并應用安全策略(阻斷和通過等),允許授權(quán)用戶或業(yè)務流訪問數(shù)據(jù)中心相應資源。這些安全設(shè)施通常只能對南北向流量(進出數(shù)據(jù)中心的流量)進行分析。
但是在云數(shù)據(jù)中心中東西向流量成為主流,由于云數(shù)據(jù)中心的網(wǎng)元從傳統(tǒng)的單一硬件主機形態(tài)發(fā)展成了VM形態(tài),接入云數(shù)據(jù)中心的用戶也從傳統(tǒng)的固定網(wǎng)絡用戶發(fā)展到了動態(tài)租戶和移動與IoT用戶,因此再使用傳統(tǒng)的基于IP來劃分安全區(qū)域的方式,已經(jīng)不能滿足云數(shù)據(jù)中心的安全防范需要。
微分段技術(shù)改變了傳統(tǒng)的通過IP來劃分區(qū)域的方式,可以通過更多的參數(shù)(例如OS、設(shè)備名、安全Tag、VLAN和MAC地址等)來劃分安全組,特別適用于云數(shù)據(jù)中心的動態(tài)(動態(tài)的虛擬網(wǎng)元、動態(tài)的租戶和動態(tài)的遠程接入用戶)安全分組。因此,云數(shù)據(jù)中心內(nèi)的安全網(wǎng)元需要能夠支持微分段,對于任何流量都能基于流量的參數(shù)和標簽識別其安全組,并上報給控制器,同時接受控制器的安全策略下發(fā)并執(zhí)行。
控制器生態(tài)圈
不同的運營商在建設(shè)云數(shù)據(jù)中心時會根據(jù)自身的需求和存量選擇不同廠商的控制器和網(wǎng)絡設(shè)備,這是運營商降低CAPEX(Capital Expenditure)和OPEX的必然訴求。因此,作為云數(shù)據(jù)中心SDN網(wǎng)絡的組件,安全設(shè)施能夠支持被多種云平臺和控制器管理編排,以及能夠支持多種Hypervisor成為必備能力,直接決定了安全設(shè)施在云數(shù)據(jù)中心網(wǎng)絡中能否廣泛使用。
在云數(shù)據(jù)中心里,通常有3種安全管理方式——云平臺(含第三方云平臺)、控制器和傳統(tǒng)網(wǎng)管。安全網(wǎng)元支持被云平臺管理,若是開源云平臺(例如OpenStack),則安全網(wǎng)元需要把自身的管理Plugin發(fā)布到開源社區(qū)并認證;若是第三方云平臺,則安全網(wǎng)元需要主動和第三方廠商進行對接和適配。安全網(wǎng)元支持被SDN控制器管理,需要開放北向接口(通常是Restful),主動對接相應廠商的控制器。獨立網(wǎng)管在未來很長一段時間內(nèi)還需要采用,因此安全網(wǎng)元北向SNMP和CLI接口仍需繼續(xù)開放。
在云數(shù)據(jù)中心內(nèi),VM之間的東西向流量沒有經(jīng)過實體防火墻,虛擬化流量的引流和調(diào)度掌握在Hypervisor以及vSwitch手里,因此安全廠商的虛擬防火墻往往不能獨立發(fā)揮作用,安全網(wǎng)元需要同時適配主流Hypervisor及其vSwitch,否則無法進行有效的安全管控。
支撐運營商云化轉(zhuǎn)型成功
在運營商的云化轉(zhuǎn)型過程中,安全適配新的云架構(gòu)是面向未來的必由之路。當前,主流的網(wǎng)絡安全廠商,例如華為等均已發(fā)布了成熟的NFV化安全設(shè)施,并且充分支持SDN網(wǎng)絡。結(jié)合多年積累的適用于大流量管道的高性能安全能力,華為將會持續(xù)助力運營商簡化運維、縮減TTM、彈性調(diào)度并高效利用資源,最終支撐全球的運營商客戶實現(xiàn)商業(yè)成功。