论文部分内容阅读
【摘 要】基于SDN解决云计算安全问题是未来数据中心网络发展的趋势。随着SDN网络规模的扩展,单一的控制器结构的SDN网路处理能力受限,从而面临着各种风险。论文对如何构建安全的SDN体系架构以解决云计算安全存在的问题进行了讨论。以华为和戴尔的解决方案为例,深入探究了企业应该如何安全有效地部署SDN网络,以及未来SDN的发展趋势。最后期冀能够构建一个安全、健康、和谐、稳定的移动互联网及大数据时代。
【Abstract】Solving the problem of cloud computing security based on SDN is the trend of future data center network development. With the expansion of the scale of SDN, the SDN with a single controller structure is limited in processing capacity, so it is faced with various risks. This paper discusses how to build a secure SDN architecture to solve the problems existing in cloud computing security. Taking solutions of Huawei and Dell as examples, this paper deeply explores how enterprises should deploy SDN network safely and effectively, as well as the development trend of SDN in the future. Finally, we hope to build a safe, healthy, harmonious and stable era of mobile internet and big data.
【关键词】软件定义网络(SDN);云计算;控制器;解决方案
【Keywords】software defined network (SDN); cloud computing; controller; solutions
【中图分类号】TP393.0 【文献标志码】A 【文章编号】1673-1069(2021)10-0122-03
1 引言
云计算的安全问题自从云计算存在那天开始就一直备受关注。云计算是一种在构建上非常具有弹性,依赖于互联网并且以网络技术、分布式计算为基础的计算方式,然而,任何一种依赖互联网的应用都具有很大的风险,当然云计算也不例外。近年来,基于SDN的云计算安全解决方案成为解决云计算安全问题的主流及未来发展趋势。
2 云数据带来的安全威胁
云计算(Cloud Computing)是一种新兴的并行计算模式,由远程数据中心中的服务器和电脑组成,可以为用户提供各种资源和服务。云计算由硬件层(Hardware)、基础设施层(Infrastructure)、平台层(Platform)和应用层(Application)组成(见表1)。硬件层的具体载体为数据中心,主要负责利用各种资源技术管理调用底层的数据资源;平台层主要包括操作系统和应用框架;应用层则直接与用户进行交流。
2.1 十二大云计算威胁
随着越来越多应用程序和数据的云端移动化,信息安全问题也接踵而至,云计算在带来数据共享的同时也带来了新的安全威胁和挑战。Gartner公司副总裁兼云计算安全负责人Jay Heiser表示:“公共云的使用量正在快速增长,因此不可避免地导致更多的敏感内容可能存在风险。”
然而,保护这些云数据的主要任务正在从云计算提供商过渡到云计算用户本身,因此,为让企业能够作出更正确的决策,云计算安全联盟(CSA)发布了《十二大云计算顶级威胁:行业洞察报告》。这12个主要的安全问题分别是:数据泄露;身份、凭证和访问管理不足;不安全的接口和应用程序编程接口(API);系统漏洞;账户劫持;恶意内部人士;高级持续威胁(APT);数据丢失;尽职调查不足;滥用和恶意使用云服务;拒绝服务(DoS);共享技术漏洞。虽然企业可以提供一些补丁来暂时消除威胁,但是这些安全隐患对于云计算服务提供上来说仍然是一个非常严重的问题,仍然还会有最新的漏洞无法修补,这就要求提供商们找寻新的应对措施。
2.2 SDN发展背景及与云计算之间的关系
云計算所储存的用户数据是完全暴露在提供服务的企业面前的,一旦泄露,将会对用户造成极大的损失和威胁,这种情况令人十分担忧。因此,在这种环境下软件定义网络(SDN)体系结构应运而生。
3 如何构建安全的SDN及安全强化方案
3.1 SDN体系架构 SDN的核心诉求为通过自动化业务简化网络运维,其目的在于实现网络流量的灵活控制,使网络管理更加智能高效。现在企业使用的大多数SDN体系架构分为3层(见图1):底层是转发层——支持SDN功能的网络基础设施;中间层是控制层——在SDN中拥有网络核心控制权;上层是应用层——包括SDN配置管理的服务和应用程序。在这个体系构架中,强调了OpenFlow在控制层的重要性,如图2的结构所示,这种架构大大降低了管理的复杂度,增强了网络的可靠性和安全性,实现更细致的网络控制。
3.2 SDN面临的新的挑战
①数据层的攻击:攻击目标可能为某个节点,例如,OF交换机或者接入SDN交换机的主机。攻击者在未通过网络访问权限的情况下攻击运行状态不稳的某个网络节点。
②控制层的攻击:这种攻击是最常见且最明显的攻击目标,攻击者可能会向控制器发起资源消耗攻击,使控制器处理消息变得缓慢,最终导致网络崩溃从而绕过控制器所部署的安全检测。
③应用层的攻击:攻击者利用公开但没有认证机制的北向接口协议,从而实现通过控制器来控制SDN网络的通信并且部署自己的网络设置。
3.3 SDN构架方案
3.3.1 基于专用接口的方案
此方案是为了构建一个开放的网络环境,其目的是让网络更加灵活、更适应新的网络和趋势。onePK为此战略的重要组成部分,能够深入访问各种操作系统和硬件平台。其最大的优点是对网络部署的改动小,实时操作方便快捷。
3.3.2 基于叠加网络的方案
大部分的SDN参考架构如图3所示,其中叠加网络的典型性代表是虚拟局域网(VLAN),但这一方案并不是最近才提出的,因此,为满足云计算等新业务的要求,Nicira公司提出了网络虚拟化平台(NVP)方案(见图4)。网络虚拟化平台很好地实现了网络的虚拟化并与虚拟化管理相互整合,使网络资源的按需调度更加便捷。
3.3.3 基于开放协议的方案
此方案为当前SDN实现的主流方案,其基于开放式网络协议并实现了控制平台与转发平台的分离,获得了很多业界支持,相关技术发展迅速,如ONF SDN和ETSI NFV都为此类方案。
3.4 SDN構架的安全强化
由此我们可以了解到控制层和数据层的分离保证了整个网络逻辑上的统一管理和控制。所以我们必须加强对3层的安全强化。
3.4.1 数据层的安全强化
典型的SDN系统都是基于x86的处理器并且使用TLS协议来保障平面的安全。企业通常在网络设备代理和控制器之间使用TLS协议来建立认证加密机制,避免网络嗅探和南向接口的欺骗通信。
3.4.2 控制层的安全强化
为阻止在SDN网络中出现没有经过授权就访问的行为,系统应允许管理员通过安全认证来登录SDN控制器,在各个策略中必须要确保管理员的存在。如果一个控制器受到了攻击,那么它必须要有一个高可靠性的构架。如若攻击者的攻击方式为隐形攻击的话,那么被攻击的目标极易不被发现。
3.4.3 应用层的安全强化
为防止这种情况的发生,需要在应用层进行另一个保护措施——使用带外数据网络来控制流量传输。需要在数据中心部署一个带外数据网络,并且需要给北向接口的应用程序发出请求SDN资源的安全编码,使那些在应用程序、控制器、服务之间的数据请求都有能对应的各自的加密认证方式,以此来确保数据和通信的安全,这种部署比在企业广域网中进行部署成本更低且更加简单便捷。
4 SDN如何解决云计算存在的安全威胁
4.1 华为云数据中心SDN安全解决方法
在华为全联大会上,华为发布了这一安全解决方案。华为安全网关领域总经理刘立柱是这样形容的:“这个云数据中心安全解决方案会把它感知到的威胁送到智能分析系统,它是一个运用大数据系统构造的自动分析系统,这个大脑分析判断出机体是否得病、得了什么病,再把这个结果反馈到SDN软件定义的控制器,控制器实时做出动态响应。”
4.2 戴尔灵动网络解决方案支持SDN
在2013中国SDN大会上,戴尔网络事业部执行总监表示SDN的愿景不仅仅是软件定义网络、软件定义互联,更应该是软件定义企业。
戴尔针对这一愿景推出了戴尔灵动基础架构,这个架构将服务器、存储、网络、安全软件无缝整合在一起,使他们以同一个政策运行并作为一个统一体管理。同时这个架构可与旧设备或其他厂商兼容。
采用戴尔灵动基础架构的基于SDN的Fabric十分简单、灵活及便于编程,无需人力的资源配置,无需逐台分配交换机,拥有集中化的控制面板,使整个网络架构的管理和控制更加统一灵动。
5 企业怎样部署SDN
随着云计算数据中心建设规模的壮大,为更好地满足业务需求,在数据中心应用SDN技术组网成为各国运营商普遍的解决方案。
5.1 公有云大规模部署SDN
在企业的大规模部署时,其云平台通常是OpenStack云平台,其目标是结合SDN实现业务的自动化发放功能。企业根据用户在云平台上的逻辑组网及用户的各种需求,设计在SDN控制器下自动调控各个环节下的配置,这些配置使用户在使用时感到更加方便的同时也确保了安全性,也使部署的平台及其业务能力具有计算弹性、网络弹性、负载均衡弹性、安全弹性等特点。
5.2 企业大规模部署SDN时需注意的方面
①根据不同数据中心场景部署不同的架构。例如,underlay架构适用于规模较小的数据中心,由硬件交换机负责虚拟机的通信。因此需要重新审视应用程序编码标准,确保应用程序的安全性。
②根据不同需求考虑SDN控制器的工作方式和设备管理能力。SDN对不同的虚拟平台支持的成熟度不同,例如,KVM和VMware具备商用条件。
③统筹考虑SDN解决方案与虚拟平台、负载均衡和防火墙的兼容性。考虑部署vLB/Vfw有利于实现不同租户的业务隔离。
④SDN的云安全问题。可以知道的是,现在大部分的安全产品的部署方式为把安全产品都部署在南北向,这种南北向的部署方式具有一个很大的弊端——极易忽略一些非常严重的安全问题。解决这一弊端的方法是对南北向的流量进行处理监控;对东西向可能接近租户的业务和虚拟机的流量进行处理监控;在虚拟化层面引入流量,形成一个监控网络。
6 结语
云计算与互联网相互融合、相互促进,给人们生活带来便捷和利益的同时,也让我们面临着各种安全泄露问题。SDN作为当前网络领域中最热门最具发展前途的技术之一,具有许多前所未有的优势,使网络能被更加灵活地控制,优化了网络信息并提升了网络性能,极具发展潜力。
但同时我们仍然面临着数据层和控制层关键技术不足的难题,如SDN的扩展性能、规则部署与跨域通信等。因此,更好地发挥SDN的各项优势,避免不必要的安全风险是未来SDN发展的主要目的,只有这样才能构建一个安全、健康、和谐、稳定的移动互联网及大数据时代。
【参考文献】
【1】孟强.基于云计算的移动互联网安全问题[J].电子商务,2016(03):42-43.
【2】张朝昆,崔勇,唐翯翯,等.软件定义网络(SDN)研究进展[J].软件学报,2015,26(01):62-81.
【3】月球,刘芹,杨小乐,等.公有云大规模资源池部署SDN的应用[J].电信科学,2018,34(06):115-122.
【Abstract】Solving the problem of cloud computing security based on SDN is the trend of future data center network development. With the expansion of the scale of SDN, the SDN with a single controller structure is limited in processing capacity, so it is faced with various risks. This paper discusses how to build a secure SDN architecture to solve the problems existing in cloud computing security. Taking solutions of Huawei and Dell as examples, this paper deeply explores how enterprises should deploy SDN network safely and effectively, as well as the development trend of SDN in the future. Finally, we hope to build a safe, healthy, harmonious and stable era of mobile internet and big data.
【关键词】软件定义网络(SDN);云计算;控制器;解决方案
【Keywords】software defined network (SDN); cloud computing; controller; solutions
【中图分类号】TP393.0 【文献标志码】A 【文章编号】1673-1069(2021)10-0122-03
1 引言
云计算的安全问题自从云计算存在那天开始就一直备受关注。云计算是一种在构建上非常具有弹性,依赖于互联网并且以网络技术、分布式计算为基础的计算方式,然而,任何一种依赖互联网的应用都具有很大的风险,当然云计算也不例外。近年来,基于SDN的云计算安全解决方案成为解决云计算安全问题的主流及未来发展趋势。
2 云数据带来的安全威胁
云计算(Cloud Computing)是一种新兴的并行计算模式,由远程数据中心中的服务器和电脑组成,可以为用户提供各种资源和服务。云计算由硬件层(Hardware)、基础设施层(Infrastructure)、平台层(Platform)和应用层(Application)组成(见表1)。硬件层的具体载体为数据中心,主要负责利用各种资源技术管理调用底层的数据资源;平台层主要包括操作系统和应用框架;应用层则直接与用户进行交流。
2.1 十二大云计算威胁
随着越来越多应用程序和数据的云端移动化,信息安全问题也接踵而至,云计算在带来数据共享的同时也带来了新的安全威胁和挑战。Gartner公司副总裁兼云计算安全负责人Jay Heiser表示:“公共云的使用量正在快速增长,因此不可避免地导致更多的敏感内容可能存在风险。”
然而,保护这些云数据的主要任务正在从云计算提供商过渡到云计算用户本身,因此,为让企业能够作出更正确的决策,云计算安全联盟(CSA)发布了《十二大云计算顶级威胁:行业洞察报告》。这12个主要的安全问题分别是:数据泄露;身份、凭证和访问管理不足;不安全的接口和应用程序编程接口(API);系统漏洞;账户劫持;恶意内部人士;高级持续威胁(APT);数据丢失;尽职调查不足;滥用和恶意使用云服务;拒绝服务(DoS);共享技术漏洞。虽然企业可以提供一些补丁来暂时消除威胁,但是这些安全隐患对于云计算服务提供上来说仍然是一个非常严重的问题,仍然还会有最新的漏洞无法修补,这就要求提供商们找寻新的应对措施。
2.2 SDN发展背景及与云计算之间的关系
云計算所储存的用户数据是完全暴露在提供服务的企业面前的,一旦泄露,将会对用户造成极大的损失和威胁,这种情况令人十分担忧。因此,在这种环境下软件定义网络(SDN)体系结构应运而生。
3 如何构建安全的SDN及安全强化方案
3.1 SDN体系架构 SDN的核心诉求为通过自动化业务简化网络运维,其目的在于实现网络流量的灵活控制,使网络管理更加智能高效。现在企业使用的大多数SDN体系架构分为3层(见图1):底层是转发层——支持SDN功能的网络基础设施;中间层是控制层——在SDN中拥有网络核心控制权;上层是应用层——包括SDN配置管理的服务和应用程序。在这个体系构架中,强调了OpenFlow在控制层的重要性,如图2的结构所示,这种架构大大降低了管理的复杂度,增强了网络的可靠性和安全性,实现更细致的网络控制。
3.2 SDN面临的新的挑战
①数据层的攻击:攻击目标可能为某个节点,例如,OF交换机或者接入SDN交换机的主机。攻击者在未通过网络访问权限的情况下攻击运行状态不稳的某个网络节点。
②控制层的攻击:这种攻击是最常见且最明显的攻击目标,攻击者可能会向控制器发起资源消耗攻击,使控制器处理消息变得缓慢,最终导致网络崩溃从而绕过控制器所部署的安全检测。
③应用层的攻击:攻击者利用公开但没有认证机制的北向接口协议,从而实现通过控制器来控制SDN网络的通信并且部署自己的网络设置。
3.3 SDN构架方案
3.3.1 基于专用接口的方案
此方案是为了构建一个开放的网络环境,其目的是让网络更加灵活、更适应新的网络和趋势。onePK为此战略的重要组成部分,能够深入访问各种操作系统和硬件平台。其最大的优点是对网络部署的改动小,实时操作方便快捷。
3.3.2 基于叠加网络的方案
大部分的SDN参考架构如图3所示,其中叠加网络的典型性代表是虚拟局域网(VLAN),但这一方案并不是最近才提出的,因此,为满足云计算等新业务的要求,Nicira公司提出了网络虚拟化平台(NVP)方案(见图4)。网络虚拟化平台很好地实现了网络的虚拟化并与虚拟化管理相互整合,使网络资源的按需调度更加便捷。
3.3.3 基于开放协议的方案
此方案为当前SDN实现的主流方案,其基于开放式网络协议并实现了控制平台与转发平台的分离,获得了很多业界支持,相关技术发展迅速,如ONF SDN和ETSI NFV都为此类方案。
3.4 SDN構架的安全强化
由此我们可以了解到控制层和数据层的分离保证了整个网络逻辑上的统一管理和控制。所以我们必须加强对3层的安全强化。
3.4.1 数据层的安全强化
典型的SDN系统都是基于x86的处理器并且使用TLS协议来保障平面的安全。企业通常在网络设备代理和控制器之间使用TLS协议来建立认证加密机制,避免网络嗅探和南向接口的欺骗通信。
3.4.2 控制层的安全强化
为阻止在SDN网络中出现没有经过授权就访问的行为,系统应允许管理员通过安全认证来登录SDN控制器,在各个策略中必须要确保管理员的存在。如果一个控制器受到了攻击,那么它必须要有一个高可靠性的构架。如若攻击者的攻击方式为隐形攻击的话,那么被攻击的目标极易不被发现。
3.4.3 应用层的安全强化
为防止这种情况的发生,需要在应用层进行另一个保护措施——使用带外数据网络来控制流量传输。需要在数据中心部署一个带外数据网络,并且需要给北向接口的应用程序发出请求SDN资源的安全编码,使那些在应用程序、控制器、服务之间的数据请求都有能对应的各自的加密认证方式,以此来确保数据和通信的安全,这种部署比在企业广域网中进行部署成本更低且更加简单便捷。
4 SDN如何解决云计算存在的安全威胁
4.1 华为云数据中心SDN安全解决方法
在华为全联大会上,华为发布了这一安全解决方案。华为安全网关领域总经理刘立柱是这样形容的:“这个云数据中心安全解决方案会把它感知到的威胁送到智能分析系统,它是一个运用大数据系统构造的自动分析系统,这个大脑分析判断出机体是否得病、得了什么病,再把这个结果反馈到SDN软件定义的控制器,控制器实时做出动态响应。”
4.2 戴尔灵动网络解决方案支持SDN
在2013中国SDN大会上,戴尔网络事业部执行总监表示SDN的愿景不仅仅是软件定义网络、软件定义互联,更应该是软件定义企业。
戴尔针对这一愿景推出了戴尔灵动基础架构,这个架构将服务器、存储、网络、安全软件无缝整合在一起,使他们以同一个政策运行并作为一个统一体管理。同时这个架构可与旧设备或其他厂商兼容。
采用戴尔灵动基础架构的基于SDN的Fabric十分简单、灵活及便于编程,无需人力的资源配置,无需逐台分配交换机,拥有集中化的控制面板,使整个网络架构的管理和控制更加统一灵动。
5 企业怎样部署SDN
随着云计算数据中心建设规模的壮大,为更好地满足业务需求,在数据中心应用SDN技术组网成为各国运营商普遍的解决方案。
5.1 公有云大规模部署SDN
在企业的大规模部署时,其云平台通常是OpenStack云平台,其目标是结合SDN实现业务的自动化发放功能。企业根据用户在云平台上的逻辑组网及用户的各种需求,设计在SDN控制器下自动调控各个环节下的配置,这些配置使用户在使用时感到更加方便的同时也确保了安全性,也使部署的平台及其业务能力具有计算弹性、网络弹性、负载均衡弹性、安全弹性等特点。
5.2 企业大规模部署SDN时需注意的方面
①根据不同数据中心场景部署不同的架构。例如,underlay架构适用于规模较小的数据中心,由硬件交换机负责虚拟机的通信。因此需要重新审视应用程序编码标准,确保应用程序的安全性。
②根据不同需求考虑SDN控制器的工作方式和设备管理能力。SDN对不同的虚拟平台支持的成熟度不同,例如,KVM和VMware具备商用条件。
③统筹考虑SDN解决方案与虚拟平台、负载均衡和防火墙的兼容性。考虑部署vLB/Vfw有利于实现不同租户的业务隔离。
④SDN的云安全问题。可以知道的是,现在大部分的安全产品的部署方式为把安全产品都部署在南北向,这种南北向的部署方式具有一个很大的弊端——极易忽略一些非常严重的安全问题。解决这一弊端的方法是对南北向的流量进行处理监控;对东西向可能接近租户的业务和虚拟机的流量进行处理监控;在虚拟化层面引入流量,形成一个监控网络。
6 结语
云计算与互联网相互融合、相互促进,给人们生活带来便捷和利益的同时,也让我们面临着各种安全泄露问题。SDN作为当前网络领域中最热门最具发展前途的技术之一,具有许多前所未有的优势,使网络能被更加灵活地控制,优化了网络信息并提升了网络性能,极具发展潜力。
但同时我们仍然面临着数据层和控制层关键技术不足的难题,如SDN的扩展性能、规则部署与跨域通信等。因此,更好地发挥SDN的各项优势,避免不必要的安全风险是未来SDN发展的主要目的,只有这样才能构建一个安全、健康、和谐、稳定的移动互联网及大数据时代。
【参考文献】
【1】孟强.基于云计算的移动互联网安全问题[J].电子商务,2016(03):42-43.
【2】张朝昆,崔勇,唐翯翯,等.软件定义网络(SDN)研究进展[J].软件学报,2015,26(01):62-81.
【3】月球,刘芹,杨小乐,等.公有云大规模资源池部署SDN的应用[J].电信科学,2018,34(06):115-122.