基于SDN和NFV的云安全体系建设
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于SDN和NFV的云安全体系建设范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
云计算、虚拟化等新技术的发展带来新一轮IT技术变革,赋予了应用灵活性、扩展性、快速交付,但也给网络与业务带来巨大挑战。
新型应用如社交网络、在线大流量视频以及创新的服务模式如物联网、大数据的出现,对网络安全提出了更高的要求。而传统的安全部署模式在管理性、伸缩性、业务快速升级等方面逐渐表现出对业务支撑能力的不足。
SDN和NFV化解难题
针对云计算所带来的安全挑战,SDN和NFV作为新一代网络技术,既可通过独自层面去解决不同的网络问题、满足不同角度的业务需求,又能够紧密结合,实现网络灵活调度、动态扩展、按需快速交付,产生更大的价值,最大限度地满足用户对业务部署的要求。
根据ONF的SDN分层体系,SDN Fabric网络实现了控制与转发分离、软硬件解耦,转发层面由支持OpenFlow及Overlay等核心技术的网络硬件设备组成,控制则由软件控制集群及硬件设备的操作系统完成。同时,通过创新性地将NFV Manager以APP形式集成VCFC控制集群上,可实现SDN控制器集群对NFV的定义、NFV的自动化部署及NFV资源池的弹性伸缩等生命周期控制管理。
融合SDN及NFV技术的云安全体系如图1所示,基础硬件层和物理抽象层不仅包括运行NFV的物理服务器,还同时包括物理安全设备、嵌入安全的vSwitch物理服务器、支持虚拟化的安全物理设备等设施,对应SDN架构中的数据转发层面;NFV操作系统、设备的操作系统与上层应用组成业务控制层面。
云安全体系特点及价值
SDN以控制和转发分离思想为基础,通过各种标准南北向开放接口为手段,实现网络灵活适配应用,NFV利用虚拟化技术,通过标准X86服务器运行防火墙、IPS、LB等网络安全业务,并形成资源池化,让网络不再依赖于专用硬件,从而使云安全体系的安全业务能够“弹性扩展”、“快速交付”、“统一部署”,并解决传统安全部署时的“拓扑依赖”问题。
可定义、自适应的安全
SDN通过控制和转发分离,将控制层面从转发设备上分离出来,从而使得网络具备软件灵活定义网络的能力基础。网络管理员可以方便的定义基于网络流的安全控制策略,并让这些安全策略应用到各种网络设备中,从而实现整个网络通讯的安全控制。
sdn网络可以实现基于流的调度,网络管理员可以静态配置或者动态生成引流规则,将报文牵引到不同的安全设备上进行处理。与传统的基于IP包的转发规则,基于流的调度使安全服务和管控更加细粒度,提升安全服务的防护效率和准确性。
基于控制器的软件编程能力,网络管理员通过安全APP方式或者安全模板的方式提供安全即服务SaaS,安全设备自动化配置运维管理,使得安全设备运行维护任务可以更有效、更低成本、更快速的自动化,从而降低安全运维和学习成本,同时提高安全防护的及时性和效率。
安全策略统一全局可管理性
SDN控制器集群通过对各种物理安全设备和nfv网元进行抽象,将原先离散的、异构的设备形成统一的逻辑安全资源池。这样,控制器集群可以用全局视野,对所有安全资源进行统一调度,并通过“安全服务链”实现流量检测路径规划,提供与拓扑无关的全局安全策略。
SDN控制器集群具备全局视野,掌握整个管理域范围内的流信息,因此可实现分布式安全设备的协同工作。比如在IPS检测点发现DDOS攻击,可以立刻通知控制器集群在接入侧(如嵌入式安全vSwitch)生成一条动态黑名单或者防火墙策略,将特定攻击报文丢弃,从而使恶意流量在源端即被遏制,提升安全防护效率。
全局安全资源池可以实现安全资源的动态复用和弹性扩展。这样,在网络部署初期不需要为未来的扩展而预留不必要的安全设备,而且可以通过虚拟设备做到一机多用,减少安全设备的数量和投入成本。当安全设备性能不足时,可以在资源池中新增相应的逻辑安全资源,SDN控制器集群根据HASH引流规则,将不同的流量分担到不同的安全资源上处理,实现资源的弹性扩展。
安全自动化快速部署、弹性扩展
传统安全设备内置的业务及业务流程相对固定,无法随着应用需求的变化而变化,而基于SDN和NFV技术的结合可完美地实现安全业务的灵活定义、按需快速部署、弹性扩展。
NFV技术通过将设备的硬件和软件解耦,可将传统设备提供的安全业务功能分解成一个个VNF单元,通过云平台或SDN VCFC控制器集群对NFV资源池、安全设备、网络设备及vSwitch上的业务进行统一管理,根据应用需求、业务流量特点定义不同的业务链,实现不同业务流经过不同安全单元进行差异化处理,并通过模板化方式实现各种复杂的业务快速部署。
南北向API的全面、兼容性
SDN和NFV的技术设计是开放的,决定云安全体系也是一个开放的体系,易于形成集百家之长、开放融合的体系。
SDN和NFV云安全体系各组件秉承标准、开放、端到端的理念,提供全面丰富、灵活的南向接口及北向接口,如图2所示。
通过开放融合的体系,基于SDN和NFV构建的云安全体系能够融入更多的第三方SDN APP和NFV,北向通过Restful API可与独立第三方云平台进行对接,南向通过OpenFlow/OVSDB/NetConf等标准API兼容包括第三方的网络及安全设备、NFV产品,确保云安全体系更为灵活、更为全面。
灵活的安全云服务
随着云计算和移动互联网的蓬勃发展,网络数据量爆炸式增长。安全管理员在利用流量日志来分析安全威胁的时候很容易淹没在大量的“噪音”数据中,很难发现日志中存在的高风险异常现象或趋势。
云安全体系可通过安全资源池海量网络流量、日志、告警、状态、异常数据信息综合采集和分析,输出网络安全报表,比如TOP N攻击,基于地址或者应用的丢包TOP N,基于地址或者应用的连接数TOP N,过去1小时、1天甚至1个月的会话新建和并发统计数报表等,让网络管理员对网络数据了如指掌,主动感知网络安全态势,利用SDN控制器机群统一的安全策略下发和控制,动态实时更新学习安全策略和修复网络。云安全体系还提供在线病毒和特征库升级以及紧急风险策略同步,有效防御0-day攻击,提供智能灵活的云安全服务。
在云计算时代,每天新增的数据量非常巨大,需要处理的数据成倍增加,各应用也相应的在千变万化,因此,建立自动化、虚拟化、可动态弹性伸缩的云安全防护体系已经是大势所趋,同时伴随SDN和NFV技术的不断演进,SDN及NFV技术也将不断完善云安全的防护体系,最终促使云计算得以更加健康、有序的发展。