隨著云計算、SDN等新技術(shù)的廣泛應(yīng)用以及APT等新型攻擊方式的日益發(fā)展,傳統(tǒng)網(wǎng)絡(luò)安全模式面臨著巨大挑戰(zhàn)。在云計算環(huán)境中,物理安全設(shè)備不能監(jiān)控和理解虛擬化數(shù)據(jù)流,難以對其進(jìn)行有效防護(hù);傳統(tǒng)安全架構(gòu)不能提供按需彈性的網(wǎng)絡(luò)安全功能,無法適應(yīng)新型業(yè)務(wù)發(fā)展要求;現(xiàn)有安全設(shè)備系統(tǒng)普遍缺乏有效協(xié)同及聯(lián)動的手段與機(jī)制,影響對APT等攻擊的及時發(fā)現(xiàn)與防御。
在此背景下,軟件定義安全(SDS)在軟件定義網(wǎng)絡(luò)SDN的基礎(chǔ)上被提出,期望實(shí)現(xiàn)安全由業(yè)務(wù)和應(yīng)用驅(qū)動,從而實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)的安全防護(hù),提升安全防護(hù)能力和用戶安全體驗(yàn)。廣義SDN可分為兩大類,其中OpenFlow、Overlay、I2RS強(qiáng)調(diào)通過向應(yīng)用開放接口實(shí)現(xiàn)基于應(yīng)用的網(wǎng)絡(luò)控制,而NFV更強(qiáng)調(diào)硬件的通用性,通過虛擬化技術(shù)實(shí)現(xiàn)業(yè)務(wù)快速部署并降低成本。與此相對應(yīng),SDS技術(shù)也可分為兩大類:一類致力于打破傳統(tǒng)的安全黑盒子,向上層應(yīng)用開放API,把編程控制權(quán)從廠商內(nèi)置轉(zhuǎn)化為用戶自定義;另一類則將傳統(tǒng)安全設(shè)備虛擬化后,以虛擬軟件的形式運(yùn)行在通用商業(yè)硬件上。這兩類技術(shù)并不是割裂的,可以有機(jī)融合,可在采用虛擬化技術(shù)實(shí)現(xiàn)安全功能的同時,對外開放API。
當(dāng)前SDS發(fā)展較快的是基于OpenFlow、Overlay和NFV架構(gòu)的安全技術(shù),但尚無基于I2RS架構(gòu)的軟件定義安全解決方案。
基于OpenFlow的SDS
基于OpenFlow的SDS按照控制與轉(zhuǎn)發(fā)分離的原則,將安全架構(gòu)分為安全應(yīng)用、安全控制、安全資源三層。安全應(yīng)用層通過各類安全應(yīng)用App,直接調(diào)用安全控制層的計算能力及數(shù)據(jù)進(jìn)行安全分析,將各種個性化的安全功能需求轉(zhuǎn)化為具體的安全資源調(diào)度策略,并通過安全控制層予以下發(fā),實(shí)現(xiàn)安全防護(hù)的智能化、自動化、服務(wù)化;安全控制層對安全應(yīng)用下發(fā)的安全策略進(jìn)行策略解析與沖突檢測后,將安全策略下發(fā)給資源層的安全設(shè)備,或者根據(jù)策略對轉(zhuǎn)發(fā)資源進(jìn)行基于流的調(diào)度;安全資源層由各種物理形態(tài)或虛擬形態(tài)的網(wǎng)絡(luò)安全設(shè)備組成,接受控制層的統(tǒng)一部署、管理、調(diào)度,實(shí)現(xiàn)按需協(xié)同安全防護(hù)功能。
在安全控制層的實(shí)現(xiàn)上,原有SDN控制器無法滿足SDS的需求:OpenFlow的控制功能均集中在控制層,轉(zhuǎn)發(fā)層僅僅根據(jù)流表進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),而安全系統(tǒng)的設(shè)備功能多樣化,控制指令也相對復(fù)雜,與網(wǎng)絡(luò)設(shè)備有較大區(qū)別,控制層面無法進(jìn)行如此細(xì)致的控制;OpenFlow主要側(cè)重于4層以下流量的控制調(diào)度,無法滿足L4以上的流量安全控制調(diào)度需求。因此安全控制器的實(shí)現(xiàn),需要在SDN控制器中內(nèi)嵌一個安全控制Agent或者單獨(dú)配置一個安全控制器,滿足安全設(shè)備的管理控制以及4層以上流量的安全控制調(diào)度要求。
基于Overlay的SDS
基于Overlay技術(shù)架構(gòu)實(shí)現(xiàn)的軟件定義安全技術(shù)原理是基于Overlay網(wǎng)絡(luò)構(gòu)建服務(wù)鏈,各種安全設(shè)備組合抽象成統(tǒng)一安全資源,由服務(wù)鏈控制流量的調(diào)度,實(shí)現(xiàn)按需安全服務(wù)。
這種解決方案要求安全設(shè)備能夠理解隧道協(xié)議,識別業(yè)務(wù)標(biāo)簽,才能實(shí)現(xiàn)按需安全服務(wù)。對于無法識別隧道協(xié)議的安全設(shè)備,需要協(xié)議轉(zhuǎn)換網(wǎng)關(guān),將其轉(zhuǎn)換為安全設(shè)備能識別的信息,因此,這個網(wǎng)關(guān)將不可避免地成為性能瓶頸。
由于Overlay的控制平面依賴于廠家設(shè)計,開放性、兼容性較差,因此基于Overlay架構(gòu)的軟件定義安全解決方案主要由Overlay網(wǎng)絡(luò)設(shè)備商實(shí)現(xiàn)。
基于NFV的SDS
基于NFV架構(gòu)是目前業(yè)界主流實(shí)現(xiàn)方式,通過將傳統(tǒng)安全設(shè)備虛擬化后,以虛擬軟件的形式運(yùn)行在通用商業(yè)硬件上。具體實(shí)現(xiàn)方式可分為Agent形態(tài)和獨(dú)立形態(tài)兩種。
Agent形態(tài)指虛擬化安全軟件以Agent形式裝載在物理主機(jī)上,利用虛擬化軟件供應(yīng)商開放的安全擴(kuò)展接口實(shí)現(xiàn)產(chǎn)品功能,主要用于虛擬機(jī)之間流量的安全防護(hù)。依據(jù)與虛擬化軟件的耦合度,可分為“松耦合”與“緊耦合”兩種模式。“松耦合”模式只調(diào)用網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)類別的API,通過在虛擬化層中實(shí)現(xiàn)的代理轉(zhuǎn)發(fā)數(shù)據(jù)包,將流量牽引到虛擬服務(wù)器狀態(tài)的安全產(chǎn)品進(jìn)行檢測與處置。此類數(shù)據(jù)包轉(zhuǎn)發(fā)機(jī)制較為簡單,管理范圍無法跨出物理服務(wù)器的邊界,代表廠商有checkpoint等。“緊耦合”模式則更深層次地與虛擬化軟件的安全框架相結(jié)合,直接調(diào)用虛擬化軟件商提供的安全機(jī)制,將安全防護(hù)功能執(zhí)行模塊輕薄化,嵌入Hypervisor層中。其依靠虛擬化軟件商提供的接口,可實(shí)現(xiàn)跨物理服務(wù)器的管理,代表廠商有趨勢、Juniper等??傮w而言,Agent形態(tài)與Hypervisor耦合度較高,安全產(chǎn)品受限較大,同時其占用用戶虛擬機(jī)所在的物理主機(jī)資源,產(chǎn)品性能受限于所分配的資源,對用戶性能也有一定影響。
獨(dú)立形態(tài)的虛擬化安全軟件單獨(dú)安裝在標(biāo)準(zhǔn)的x86服務(wù)器上,通過內(nèi)部網(wǎng)絡(luò)通信,構(gòu)成一個可平滑擴(kuò)展的大容量產(chǎn)品集群,并通過一個統(tǒng)一的管理界面實(shí)現(xiàn)彈性、按需部署。與Agent形態(tài)相比,其單獨(dú)使用物理資源,在不擠占用戶虛擬機(jī)資源的同時,性能可隨x86的資源擴(kuò)展而平滑擴(kuò)展。與傳統(tǒng)芯片加速型硬件防火墻相比,其性能受網(wǎng)卡處理速度、CPU的處理能力和處理機(jī)制、Hypervisor虛擬交換機(jī)轉(zhuǎn)發(fā)速度等因素影響,調(diào)優(yōu)更為復(fù)雜。普通網(wǎng)卡所有數(shù)據(jù)都需要經(jīng)過Hypervisor虛擬交換機(jī)過濾/轉(zhuǎn)發(fā),存在較嚴(yán)重的性能瓶頸。而通過SR-IOV網(wǎng)卡,可以將VF直接分配給虛擬機(jī),虛擬機(jī)直接訪問VF,數(shù)據(jù)不再經(jīng)過Hypervisor虛擬交換機(jī)過濾/轉(zhuǎn)發(fā),可以有效提高網(wǎng)絡(luò)I/O性能。但該方案需要服務(wù)器網(wǎng)卡支持SR-IOV技術(shù),虛擬機(jī)的Guest OS也要支持相應(yīng)的驅(qū)動;CPU處理能力和處理機(jī)制也是制約其性能的重要因素,尤其是對小包的處理效率。
總體而言,軟件定義安全技術(shù)仍處于起步階段,但隨著SDN技術(shù)的快速發(fā)展,運(yùn)營商可在跟蹤研究相關(guān)技術(shù)的基礎(chǔ)上,積極探索軟件定義安全防護(hù)技術(shù)的引入及部署。一方面結(jié)合IDC的SDN引入進(jìn)程,研究并驗(yàn)證軟件定義化安全設(shè)備的部署應(yīng)用方案,引導(dǎo)廠商滿足運(yùn)營商的實(shí)際需求。尤其是安全設(shè)備虛擬化后,其性能主要取決于CPU,需考量其性能損耗是否能滿足現(xiàn)網(wǎng)實(shí)際需求,謹(jǐn)慎推進(jìn)。建議針對傳統(tǒng)安全設(shè)備與虛擬安全設(shè)備混合組網(wǎng)進(jìn)行測試驗(yàn)證,并與安全廠商合作,共同推動軟件定義化安全設(shè)備的發(fā)展。另一方面研究軟件定義安全架構(gòu)實(shí)現(xiàn)技術(shù),利用軟件定義安全架構(gòu)的集中控制性和開放性,解決現(xiàn)有各安全系統(tǒng)缺乏有效協(xié)同、聯(lián)動以及可擴(kuò)展性不強(qiáng)的問題,推動網(wǎng)絡(luò)安全架構(gòu)的演進(jìn)。