基于SDN/NFV的云安全实践

 

    云计算近年来已经得到了众多用户的认可，很多客户已经或者正在规划将其业务系统进行不同规模的云化。在这个过程中，除了用户广泛关注的云计算系统的稳定性、性能、隔离等问题之外，云上业务的安全性也是越来越受到用户的重视。

 

    从管理模式上看，传统的IT系统通常有着唯一的运营使用单位，这样系统提供方和用户之间就有了清晰的安全职责划分，一旦系统出现安全隐患或者安全事件，会有明确的责任人处置。在云计算的这种以服务为核心的模式下，整个IT系统会面临云服务提供方、云租户和云用户多方的关系，如何明确各自的职责，是确保云计算系统安全的一个重要的前提。

 

    从技术上看，云计算采用资源池化的方式为用户提供服务，用户的计算、存储、网络等资源，都能够根据具体的需求进行动态的扩容和收缩，这样传统的安全集中投入的方式就很难满足云计算中资源的按需扩展需求。另外，不同租户对安全的需求也存在很大的差异化，如何满足这种差异化的安全服务需求也是一项很大的挑战。

 

    除此之外，在虚拟化环境中，现有的物理安全机制可能根本无法检测到恶意攻击。如下图所示，虚拟机vm1和vm2是同一租户同一子网的两台虚拟主机，存在于同一台物理主机内，那么两者之间的通信仅存在于vm1、虚拟交换机vSwitch和vm2之间，流量根本就不会出宿主机，那么恶意的流量自然也就无法被外部的安全设备所识别到。

 

 

    如果虚拟机之间通信的数据包出了宿主机，现有的安全机制就能解决云中网络的安全问题了吗？也未必。下面这张图展示的是通常云计算系统的一个简易的部署逻辑图，在云网络中，通常是通过vlan + vxlan/gre这种方式实现租户隔离的，那么当同一子网的两台虚拟主机vm1和vm4在不同的物理主机内，虽然两者之间的通信会经过外部的防火墙，但由于物理主机之间通过隧道相连，如果防火墙只是简单的部署在物理交换机一侧，那么它只能看到vm1到vm2的数据包，而不能去掉隧道的头部，解析vm1到vm2的流量。

 

 

    从上述两个场景可以看出，单从技术的角度来看，传统的安全设备、安全防护方案在云计算这种新的计算模式下，是无法实现网络安全的检测和防护的。

 

    从法律和合规的角度看，国内外的云安全标准机构近年来也是陆续发布了多个云安全的相关标准，比如云安全联盟（CSA）发布的《身份管理与接入控制指导建议书》(白皮书)、《如何保护云数据》（白皮书），美国国家标准技术研究所（NIST）发布的《云计算安全障碍与缓和措施》（标准草案）、《公共云计算中安全域隐私》（标准草案），CSA大中华区C-STAR Tech标准工作组发布的《云计算安全技术要求》（草案），以及国内等保标准里的《信息系统安全等级保护云计算安全扩展要求》（草案）、《信息系统安全等级保护 云计算安全扩展测评要求》（草案）等。如何建设云计算系统的安全措施，保证符合法律和合规的要求，也是用户业务云化面临的一个重要的问题。

 

 

 

    那么回到安全本身，从攻防的角度来看，云安全和传统的安全其实并没有本质的区别，传统安全面临的最大挑战是需要保护资产的动态性、软件化、移动化使得以往固定的环境会随着业务和环境的变更而快速变化。

 

    面对云环境中常态化的变化问题，安全机制部署和安全策略配置完毕后长期不变的时代将一去不复返。安全方案也要能够随着云环境中计算和网络相关资源的变化而动态调整，主要体现在：

 

    （1） 安全设备的形态需要发生变化；

 

    （2） 如何在虚拟化的网络内部部署相应的安全机制；

 

    （3） 能够根据需求，进行按需分配；

 

    （4） 能够自动化的进行动态扩容和收缩；

 

 

 

 

    软件定义网络（Software Defined Networking，SDN）提出了一种全新的网络架构，能够通过逻辑上集中的控制平面，实现网络管理、控制的集中化、自动化。那么SDN和安全又有什么样的关系呢？

 

 

    要解答这个问题，我们首先来看一下SDN的本质，SDN是一种架构，一种思想。根据这种思想可以总结出三个本质的属性：控制与转发分离、集中化的网络控制、开放的编程接口。

 

    控制与转发分离，使得逻辑上集中的控制平面能够拥有全网的完整视图，这样控制平面就能够看到任何正常的、或者不正常的流量；集中化的网络控制，使得控制平面能够控制任何流量能走、不能走、怎么走；开放的编程接口能够将上述所有的操作实现可编程以及自动化。这样看来，SDN天然的就为网络的安全问题提出了很好的解决办法。当然，斯坦福大学最初提出OpenFlow也是在某种程度上为了解决安全问题。