云計算、虛擬化等新技術(shù)的發(fā)展帶來新一輪IT技術(shù)變革，賦予了應(yīng)用靈活性、擴(kuò)展性、快速交付，但也給網(wǎng)絡(luò)與業(yè)務(wù)帶來巨大挑戰(zhàn)。

　　新型應(yīng)用如社交網(wǎng)絡(luò)、在線大流量視頻以及創(chuàng)新的服務(wù)模式如物聯(lián)網(wǎng)、大數(shù)據(jù)的出現(xiàn)，對網(wǎng)絡(luò)安全提出了更高的要求。而傳統(tǒng)的安全部署模式在管理性、伸縮性、業(yè)務(wù)快速升級等方面逐漸表現(xiàn)出對業(yè)務(wù)支撐能力的不足。

　　SDN和NFV化解難題

　　針對云計算所帶來的安全挑戰(zhàn)，SDN和NFV作為新一代網(wǎng)絡(luò)技術(shù)，既可通過獨(dú)自層面去解決不同的網(wǎng)絡(luò)問題、滿足不同角度的業(yè)務(wù)需求，又能夠緊密結(jié)合，實(shí)現(xiàn)網(wǎng)絡(luò)靈活調(diào)度、動態(tài)擴(kuò)展、按需快速交付，產(chǎn)生更大的價值，最大限度地滿足用戶對業(yè)務(wù)部署的要求。

　　根據(jù)ONF的SDN分層體系，SDN Fabric網(wǎng)絡(luò)實(shí)現(xiàn)了控制與轉(zhuǎn)發(fā)分離、軟硬件解耦，轉(zhuǎn)發(fā)層面由支持OpenFlow及Overlay等核心技術(shù)的網(wǎng)絡(luò)硬件設(shè)備組成，控制則由軟件控制集群及硬件設(shè)備的操作系統(tǒng)完成。同時，通過創(chuàng)新性地將NFV Manager以APP形式集成VCFC控制集群上，可實(shí)現(xiàn)SDN控制器集群對NFV的定義、NFV的自動化部署及NFV資源池的彈性伸縮等生命周期控制管理。

　　融合SDN及NFV技術(shù)的云安全體系如圖1所示，基礎(chǔ)硬件層和物理抽象層不僅包括運(yùn)行NFV的物理服務(wù)器，還同時包括物理安全設(shè)備、嵌入安全的vSwitch物理服務(wù)器、支持虛擬化的安全物理設(shè)備等設(shè)施，對應(yīng)SDN架構(gòu)中的數(shù)據(jù)轉(zhuǎn)發(fā)層面；NFV操作系統(tǒng)、設(shè)備的操作系統(tǒng)與上層應(yīng)用組成業(yè)務(wù)控制層面。

　　云安全體系特點(diǎn)及價值

　　SDN以控制和轉(zhuǎn)發(fā)分離思想為基礎(chǔ)，通過各種標(biāo)準(zhǔn)南北向開放接口為手段，實(shí)現(xiàn)網(wǎng)絡(luò)靈活適配應(yīng)用，NFV利用虛擬化技術(shù)，通過標(biāo)準(zhǔn)X86服務(wù)器運(yùn)行防火墻、IPS、LB等網(wǎng)絡(luò)安全業(yè)務(wù)，并形成資源池化，讓網(wǎng)絡(luò)不再依賴于專用硬件，從而使云安全體系的安全業(yè)務(wù)能夠“彈性擴(kuò)展”、“快速交付”、“統(tǒng)一部署”，并解決傳統(tǒng)安全部署時的“拓?fù)湟蕾嚒眴栴}。

　　■可定義、自適應(yīng)的安全

　　SDN通過控制和轉(zhuǎn)發(fā)分離，將控制層面從轉(zhuǎn)發(fā)設(shè)備上分離出來，從而使得網(wǎng)絡(luò)具備軟件靈活定義網(wǎng)絡(luò)的能力基礎(chǔ)。網(wǎng)絡(luò)管理員可以方便的定義基于網(wǎng)絡(luò)流的安全控制策略，并讓這些安全策略應(yīng)用到各種網(wǎng)絡(luò)設(shè)備中，從而實(shí)現(xiàn)整個網(wǎng)絡(luò)通訊的安全控制。

　　SDN網(wǎng)絡(luò)可以實(shí)現(xiàn)基于流的調(diào)度，網(wǎng)絡(luò)管理員可以靜態(tài)配置或者動態(tài)生成引流規(guī)則，將報文牽引到不同的安全設(shè)備上進(jìn)行處理。與傳統(tǒng)的基于IP包的轉(zhuǎn)發(fā)規(guī)則，基于流的調(diào)度使安全服務(wù)和管控更加細(xì)粒度，提升安全服務(wù)的防護(hù)效率和準(zhǔn)確性。

　　基于控制器的軟件編程能力，網(wǎng)絡(luò)管理員通過安全APP方式或者安全模板的方式提供安全即服務(wù)SaaS，安全設(shè)備自動化配置運(yùn)維管理，使得安全設(shè)備運(yùn)行維護(hù)任務(wù)可以更有效、更低成本、更快速的自動化，從而降低安全運(yùn)維和學(xué)習(xí)成本，同時提高安全防護(hù)的及時性和效率。

　　■安全策略統(tǒng)一全局可管理性

　　SDN控制器集群通過對各種物理安全設(shè)備和NFV網(wǎng)元進(jìn)行抽象，將原先離散的、異構(gòu)的設(shè)備形成統(tǒng)一的邏輯安全資源池。這樣，控制器集群可以用全局視野，對所有安全資源進(jìn)行統(tǒng)一調(diào)度，并通過“安全服務(wù)鏈”實(shí)現(xiàn)流量檢測路徑規(guī)劃，提供與拓?fù)錈o關(guān)的全局安全策略。

　　SDN控制器集群具備全局視野，掌握整個管理域范圍內(nèi)的流信息，因此可實(shí)現(xiàn)分布式安全設(shè)備的協(xié)同工作。比如在IPS檢測點(diǎn)發(fā)現(xiàn)DDOS攻擊，可以立刻通知控制器集群在接入側(cè)（如嵌入式安全vSwitch）生成一條動態(tài)黑名單或者防火墻策略，將特定攻擊報文丟棄，從而使惡意流量在源端即被遏制，提升安全防護(hù)效率。

　　全局安全資源池可以實(shí)現(xiàn)安全資源的動態(tài)復(fù)用和彈性擴(kuò)展。這樣，在網(wǎng)絡(luò)部署初期不需要為未來的擴(kuò)展而預(yù)留不必要的安全設(shè)備，而且可以通過虛擬設(shè)備做到一機(jī)多用，減少安全設(shè)備的數(shù)量和投入成本。當(dāng)安全設(shè)備性能不足時，可以在資源池中新增相應(yīng)的邏輯安全資源，SDN控制器集群根據(jù)HASH引流規(guī)則，將不同的流量分擔(dān)到不同的安全資源上處理，實(shí)現(xiàn)資源的彈性擴(kuò)展。

　　■安全自動化快速部署、彈性擴(kuò)展

　　傳統(tǒng)安全設(shè)備內(nèi)置的業(yè)務(wù)及業(yè)務(wù)流程相對固定，無法隨著應(yīng)用需求的變化而變化，而基于SDN和NFV技術(shù)的結(jié)合可完美地實(shí)現(xiàn)安全業(yè)務(wù)的靈活定義、按需快速部署、彈性擴(kuò)展。

　　NFV技術(shù)通過將設(shè)備的硬件和軟件解耦，可將傳統(tǒng)設(shè)備提供的安全業(yè)務(wù)功能分解成一個個VNF單元，通過云平臺或SDN VCFC控制器集群對NFV資源池、安全設(shè)備、網(wǎng)絡(luò)設(shè)備及vSwitch上的業(yè)務(wù)進(jìn)行統(tǒng)一管理，根據(jù)應(yīng)用需求、業(yè)務(wù)流量特點(diǎn)定義不同的業(yè)務(wù)鏈，實(shí)現(xiàn)不同業(yè)務(wù)流經(jīng)過不同安全單元進(jìn)行差異化處理，并通過模板化方式實(shí)現(xiàn)各種復(fù)雜的業(yè)務(wù)快速部署。

　　■南北向API的全面、兼容性

　　SDN和NFV的技術(shù)設(shè)計是開放的，決定云安全體系也是一個開放的體系，易于形成集百家之長、開放融合的體系。

　　SDN和NFV云安全體系各組件秉承標(biāo)準(zhǔn)、開放、端到端的理念，提供全面豐富、靈活的南向接口及北向接口，如圖2所示。

　　通過開放融合的體系，基于SDN和NFV構(gòu)建的云安全體系能夠融入更多的第三方SDN APP和NFV，北向通過Restful API可與獨(dú)立第三方云平臺進(jìn)行對接，南向通過OpenFlow/OVSDB/NetConf等標(biāo)準(zhǔn)API兼容包括第三方的網(wǎng)絡(luò)及安全設(shè)備、NFV產(chǎn)品，確保云安全體系更為靈活、更為全面。

　　■靈活的安全云服務(wù)

　　隨著云計算和移動互聯(lián)網(wǎng)的蓬勃發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)量爆炸式增長。安全管理員在利用流量日志來分析安全威脅的時候很容易淹沒在大量的“噪音”數(shù)據(jù)中，很難發(fā)現(xiàn)日志中存在的高風(fēng)險異?，F(xiàn)象或趨勢。

　　云安全體系可通過安全資源池海量網(wǎng)絡(luò)流量、日志、告警、狀態(tài)、異常數(shù)據(jù)信息綜合采集和分析，輸出網(wǎng)絡(luò)安全報表，比如TOP N攻擊，基于地址或者應(yīng)用的丟包TOP N，基于地址或者應(yīng)用的連接數(shù)TOP N，過去1小時、1天甚至1個月的會話新建和并發(fā)統(tǒng)計數(shù)報表等，讓網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)數(shù)據(jù)了如指掌，主動感知網(wǎng)絡(luò)安全態(tài)勢，利用SDN控制器機(jī)群統(tǒng)一的安全策略下發(fā)和控制，動態(tài)實(shí)時更新學(xué)習(xí)安全策略和修復(fù)網(wǎng)絡(luò)。云安全體系還提供在線病毒和特征庫升級以及緊急風(fēng)險策略同步，有效防御0-day攻擊，提供智能靈活的云安全服務(wù)。

　　在云計算時代，每天新增的數(shù)據(jù)量非常巨大，需要處理的數(shù)據(jù)成倍增加，各應(yīng)用也相應(yīng)的在千變?nèi)f化，因此，建立自動化、虛擬化、可動態(tài)彈性伸縮的云安全防護(hù)體系已經(jīng)是大勢所趨，同時伴隨SDN和NFV技術(shù)的不斷演進(jìn)，SDN及NFV技術(shù)也將不斷完善云安全的防護(hù)體系，最終促使云計算得以更加健康、有序的發(fā)展。

　　杭州華三通信技術(shù)有限公司 謝東 鄢波濤

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……