基于SDN技術的多區域安全云計算架構

王 剛

(網神信息技術(北京)股份有限公司 北京 100085)

?

基于SDN技術的多區域安全云計算架構

王 剛

(網神信息技術(北京)股份有限公司 北京 100085)

(wanggang@legendsec.com)

提出了一種在云計算環境中實施云安全防護的方案.方案在原有的業務云之外，用云技術建設安全云，在業務云中部署安全代理，通過軟件定義的網絡技術連接業務云、安全云和安全代理，并且通過安全代理把業務云動態劃分為邏輯隔離的多個業務區域.不同業務的數據在業務子云之間隔離，提升了安全性，而各業務子云仍可通過安全的途徑共享整個業務云的資源，享受云計算的優勢.方案不依賴于業務云的實現方式，除近乎初始零配置的安全代理外，不改變業務云的軟硬件結構，具有易部署、易維護、安全性更高等特點.

云計算；云安全；安全代理；安全云；軟件定義的網絡；安全即服務

云計算以資源的形式向用戶提供計算、存儲等能力，用戶不必關心這些資源存放在哪里、怎么提供的，而是按需使用，因其建設、使用、維護成本遠低于傳統方案而受到用戶的歡迎，相關技術與應用一直在快速發展，其中安全技術是被關注的焦點問題之一.國內外多家調查機構調查顯示，云計算的安全問題已經成為影響用戶采用云計算的首要因素[1].

云計算的安全問題大體可分為2類：第1類是傳統的安全問題，因用戶、設備、系統等部署在云環境中而需要新的防護手段;第2類是云計算技術引入的新安全問題.本文不涉及第2類問題，重點討論如何在云環境中解決第1類問題.傳統的安全問題之所以在云環境中有不同的表現，一方面是虛擬化等技術導致增加了安全設備識別云計算環境中的用戶、設備、系統等信息的難度，另一方面是通常伴隨著云計算的數據太集中，帶來了新的安全風險.

目前，云計算的熱潮已經席卷全球，我國也迎來了云計算的發展高峰.為了避免概念化的空談，商務云更加關注于應用的落地性.以傳統行業為基礎，通過商務云平臺以及合作經營模式為各類企業實現可持續增長的B2BB2C行業門戶，讓云計算在我國得到切實的應用，為我國經濟的健康發展保駕護航.

本文提出一種在云計算環境中實施云安全防護的方案，在原有的云計算環境(本文稱其為業務云)之外，用云技術建設安全云，在業務云中部署安全代理，通過SDN[2](software defined network)技術連接業務云、安全云和安全代理，并通過安全代理把業務云動態劃分為邏輯隔離的多個業務區域(本文稱其為業務子云)，從而把安全從業務云中剝離出來，從業務云的具體實現技術和部署方案中脫離出來，針對相對穩定的業務邏輯實施防護.同時，不同業務的數據在業務子云之間隔離，提升了安全性，而各業務子云仍可通過安全的途徑共享整個業務云的資源，享受云計算的優勢.

1 本文方案概論

如圖1所示，本文方案包含如下組成部分：業務云、業務子云、安全代理、安全云和管理中心.

圖1 基于SDN技術的多區域安全云計算架構

業務子云是業務云的一部分，用于提供一種或多種相關的業務.業務子云之間通過安全代理實現邏輯隔離.

安全代理是實現邏輯隔離的關鍵設備，包含SDN交換機核心功能和基礎安全功能.通過靜態或動態配置，安全代理能夠對數據報文進行檢測，能夠決定數據報文的走向，從而實現：1)業務子云間的邏輯隔離；2)基礎的安全防護；3)把流量導入到安全云中進行處理.

安全云實現全面的安全防護功能，為業務子云和安全代理提供安全服務.此外，通過安全云中的大數據分析引擎，提供增強的數據分析服務，實現更高的安全性.安全云也是基于云計算技術搭建，但不要求與業務云采用相同的技術架構.

管理中心是安全代理和安全云的控制器.管理中心理解業務云的業務邏輯和管理員的安全意圖，根據業務云的實時狀態，動態調整安全代理和安全云的策略，分配相關資源，控制后者實現安全功能.

采用業務子云+安全云的多區域安全云計算架構，主要具有以下優勢：

1) 易部署.安全云與業務云架構互相獨立，可在不影響業務的前提下快速部署.

2) 易維護.安全代理接近初始零配置，可在秒級時間完成設備更換、功能更新、規模擴張等維護工作.

3) 更安全.

① 業務子云之間邏輯隔離，降低業務受到的威脅；

② 安全云能夠智能感知業務云的變化，在第一時間實施合適的安全策略，避免因策略不及時而導致的攻擊；

③ 安全云更新技術后，整個業務云可立即獲得新的防護能力，避免因實施不及時而導致的攻擊；

④ 安全云通過大數據分析引擎，能夠更精準地識別潛在的威脅.

4) 更靈活.把安全也作為一種服務，可以根據時間、流量、威脅狀態等多種條件提供不同的安全防護服務，而不必增加大量的冗余設備.

5) 更穩定.安全云中不存在單點故障，任何設備出現問題后均可切換到其他設備繼續提供服務.

2 具體實施

2.1 業務子云與安全代理

本文方案不調整業務云的結構，通過增加安全代理實現業務子云邏輯隔離.考慮業務云中的全部物理連接，按業務邏輯分為若干個組，對每個組的連接(Si,Ti)，把Si和Ti接入到同一個安全代理的2個網絡口，如圖2所示：

圖2 安全代理接入

安全代理的簡化處理流程描述如下：

1) 安全代理G第1次收到來自Si的報文P時，通過接口C把報文轉到管理中心；

2) 管理中心處理報文，如合法則通知G轉發給P中的原始接收方；

3) 管理中心把連接關系(Si，Ti)及相關策略推送給G；

4)G再次收到來自Si的報文時，通過Ti轉發.

每個業務子云可接入一個或多個安全代理，各安全代理的C口通過網絡連接到管理中心.

2.2 安全代理的實現

完整的安全代理基于OpenFlow[3]等SDN相關技術及安全技術實現，包括3個核心模塊：基于流表的流轉發模塊、安全控制模塊、安全通信模塊.

流表由一系列的〈特征，行動，目標〉表項構成，流轉發模塊根據這些表項來處理報文.表1給出了特征、行動、目標的部分信息.特征除包含標準OpenFlow協議規定的1～4層信息外，還擴充了應用層和安全信息，如應用類別、用戶信息等，從而可提供更多的安全特性.流表中的每一項可以包含特征中任意多項特征的組合.

表1 流表

收到的數據報文一旦匹配流表中的某一項，則按照流表表項指定的行動、目標進行處理.典型的行動包括丟棄、轉發、安全處理.

不能匹配流表的數據報文被轉發給管理中心處理.在大部分部署中，安全代理的初始配置只包含自身的IP地址、管理中心的IP地址，其余的配置包括流表都是空的，在運行過程中由管理中心動態下發.

除流表外，安全代理還維護一張由管理中心下發的安全策略表.安全策略表初始也是空的，由管理中心動態管理.安全策略表包括訪問控制、流控、加密等策略，安全控制模塊根據這些策略對數據報文進一步處理.通常，安全控制模塊只包含基礎的安全功能，把更復雜的功能交給安全云處理，但大型云計算環境中也可以選擇在安全代理中實現部分復雜功能.

安全通信模塊負責與管理中心間進行安全通信，包括發送狀態信息、接收指令、安全轉發報文等.

2.3 安全云的實現

安全云通過云計算技術[4]構建，為業務云和安全代理提供安全服務，包括策略服務、檢測服務、審計服務等.

2.3.1 策略服務

管理中心以服務的方式向安全代理提供策略，這樣安全代理不用預先設置策略，極大地提升了靈活性.當安全代理G把流表和安全策略表都無法處理的數據報文P轉發給管理中心時，管理中心做2件事：其一，通過安全云完成對P的檢測，把檢測結果返回給G；其二，提取與P相關的策略，推送給G，更新G的流表和安全策略表.

管理中心需要跟蹤已推送的策略，在策略發生變化時及時通知各安全代理，同時安全代理中的策略超時后需要重新向管理中心請求.

2.3.2 檢測服務

安全云提供以下4類檢測服務：

第1類是復雜檢測服務.安全代理負責基礎安全防護，安全云則負責復雜的安全處理.典型的功能包括IPS，AV等.管理中心在安全代理中下發流表表項〈特征，行動，目標〉，行動指定為“轉發”，目標指定為安全云中的IPS，AV等安全設備，這樣，符合“特征”的報文就會轉發給安全云進行檢測.與在安全代理中實現相同功能相比，檢測服務的優勢是按需服務，更靈活.

第2類是可緩存檢測服務，比如URL地址分類、垃圾郵件列表、流行病毒庫等.每個安全代理只保留一小份經常訪問的URL地址的緩存，比如1000～10000個，這樣檢測速度快，且在多數情況下能夠命中.而安全云則保留上億的資料，當安全代理未成功檢測時，由安全云實現完整檢測.

第3類是資源消耗型檢測服務，主要利用安全云的計算資源，比如沙箱等技術的應用.安全代理遇到的未知可疑流量可交給安全云進行沙箱分析[5]、代碼審查等耗費大量計算資源的檢測，而這些功能在安全代理上實現是不太現實的.

第4類是綜合檢測服務.除資源優化以外，安全云還能實現分散的安全節點不能實現或很難實現的安全檢測功能，比如APT攻擊檢測防御[6].安全代理僅憑一個會話的報文很難對APT作出正確的判斷，而安全云中集結了大量的數據，結合不同時間、不同地點收到的信息，有能力進行復雜的綜合分析，從而作出更精準的判斷.安全云把分析結果以服務的方式提供給安全代理，讓安全代理也具有綜合檢測的能力.

2.3.3 審計服務

除數據報文外，安全代理也向安全云發送審計信息.安全云利用自身的計算資源對審計信息進行整理、分析，向業務子云、安全代理、用戶等提供審計服務.

2.4 管理中心

管理中心實現4項核心功能：1)配置中心，向系統管理員提供配置接口，導入業務云的業務邏輯、安全代理和安全云的結構、管理員的安全意圖等信息；2)控制中心，根據實時運行狀態，對安全代理及安全云的策略進行動態配置；3)資源中心，動態調整安全代理及安全云的資源分配，實現資源的有效利用；4)信息中心，向管理員、用戶或第三方設備提供業務云、安全云的狀態信息.

管理中心作為方案的中樞，需要提供高可用性支持，避免單點故障.

3 常見問題及典型場景分析

3.1 流量的問題

按照安全代理的工作模式，極端情況下全部流量都導入到管理中心安全云中，對業務云與安全云之間的交換機路由器構成流量壓力.

為此，管理中心需要采取一些策略.首先，需要減少導入到管理中心安全云中的流量.一方面，由于管理中心理解整個業務云的業務邏輯，安全中心通過向安全代理推送相關聯的策略集，而不是單一的流表，能把必須導入的流量降到1%甚至0.0001%以下.另一方面，安全代理和安全云分別處理數據報文的轉發、安全任務，需要導入到安全云中的可以不是完整的數據報文，而是報文中的關鍵信息，從而減少流量壓力.其次，數據報文傳輸過程中可能會經過多個安全代理，管理中心需要提前通知后續的安全代理，不必把數據報文再次轉給管理中心，而是通過管理中心提供的令牌請求策略即可.

另外，管理中心及安全云應避免單一入口.通過指定不同的入口點，導入到管理中心安全云的流量可經過不同的路徑到達，分散交換機路由器的流量壓力.

3.2 加密的問題

管理中心與安全代理之間傳輸的控制信息如受到劫持或監聽，整個方案的安全性將不復存在，因此控制信息的傳輸需全程加密，由管理中心和安全代理的安全通信模塊實現.

管理中心與安全代理之間轉發的數據報文因跨出了業務子云的范圍，敏感信息也需要加密.加密既可以通過前述安全通信模塊來傳輸，也可通過部署獨立的VPN設備來實現.

不同業務子云之間傳輸的信息對加密是有要求的，應通過部署獨立的VPN設備來實現.

3.3 虛擬桌面案例分析

云環境下，用戶通過互聯網連接到云中的虛擬桌面，再通過虛擬桌面訪問云中的服務器.以這個過程為例，說明云防護的過程如圖3所示：

圖3 虛擬桌面防護過程

① 用戶U1以遠程桌面的方式登錄服務器S1上的虛擬機V1；

②V1發出的數據報文P(U1訪問V4)被安全代理G1獲得；

③G1通過網絡把P轉發給管理中心；

④ 管理中心解析數據P，確認安全后，根據U1，V4，G1信息推送策略給G1；

⑤ 管理中心同時向G1發送一個令牌；

⑥G1收到令牌后，向P的原始目標發送令牌，經網絡被安全代理G3獲得；

⑦G1發送P，經網絡被G3獲得，G3已獲得令牌，按令牌指示把P發給虛擬機V4；

⑧G3通過令牌向管理中心請求策略服務；

⑨ 管理中心確認令牌，根據U1，V4，G3信息推送策略給G3；

⑩V1后續發出的數據報文P2，G1，G3均已知道P2的處理方案，直接轉發報文給V4；

4 總 結

在業務云之外，獨立建設安全云，并通過SDN技術連接業務云與安全云，動態劃分業務云為業務子云，這種方案不依賴于業務云的實現方式，不改變業務云的軟硬件結構，具有易部署、易維護、更安全、更靈活、更穩定等特點.

[1]馮登國, 張敏, 張妍, 等. 云計算安全研究[J]. 軟件學報, 2011, 22(1): 71-83

[2]Open Networking Foundation. Software-defined networking (SDN) definition[EBOL]. 2014[2015-07-18].https:www.opennetworking.orgsdn-resourcessdn-definition

[3]Open Networking Foundation. OpenFlow switch specication sersion 1.4.0[EBOL]. (2014-10-14)[2015-07-18]. https:www.opennetworking.orgimagesstoriesdownloadssdn-resourcesonf-specificationsopenflowopenflow-spec-v1.4.0.pdf

[4]吳朱華. 云計算核心技術剖析[M]. 北京: 人民郵電出版社, 2011

[5]Shioya T, OyamaY, Iwasaki H. A sandbox with dynamic policy based on execution contexts of applications[G]LNCS 4846: Proc of the 12th Annual Asian Computing Science Conf(ASIAN’07). Berlin: Springer, 2007: 297-311

[6]陳劍鋒, 王強, 伍淼. 網絡APT攻擊及防范策略[J]. 信息安全與通信保密, 2012 (7): 16-18

王 剛

碩士，高級工程師，主要研究方向為訪問控制理論與技術.

wanggang@legendsec.com

Multi-Zone Secure Cloud Computing Fabrics Based on SDN Technology

Wang Gang

(LegendsecInformationTechnology(Beijing)Co.,Ltd.，Beijing100085)

This paper presents an implementation of cloud security solutions in the cloud computing environment. Program in addition to the original business cloud, cloud security cloud technology to build, deploy in the cloud security service agents, through SDN technology to connect business cloud security cloud and security agents, and by security agents of the business cloud Live into logical isolation multiple business areas. The program does not rely on business cloud implementations. It does not change the hardware and software structure in addition to almost zero initial configuration of security agents. It is easy to deploy, maintain, and more safe.

cloud computing; cloud security; security agent; secure cloud; SDN; security as a service

2015-07-13

TP393.02