面向公安大數據中心的軟件定義安全系統設計與實現

2018-03-27 06:04:45張凱廣東省珠海市公安局

警察技術 2018年2期

關鍵詞：功能

張凱廣東省珠海市公安局

引言

網絡安全防護是公安大數據中心建設的基礎保障和核心服務之一。公安大數據中心不僅承載的業務數量和類型快速膨脹，而且逐步實現了數據中心的虛擬化和云化，因此傳統的安全防護方法和設備以及安全管理系統已無法適應公安大數據中心發展的需要。

當前，軟件定義網絡（SDN）和網絡功能虛擬化（NFV）為公安大數據中心的安全防護提供了新的技術方向。SDN是實現網絡虛擬化最重要的一種形式，其核心思想是網絡設備的控制與轉發分離，采用控制器實現網絡集中控制，傳統集成控制與轉發功能的交換機、路由器等設備不再使用，網絡設備的功能都簡化為數據轉發。NFV的本質是實現網絡功能虛擬化和軟件化，一般意義上來說，采用NFV技術的結果是實現了硬件通用化。SDN和NFV的共同點在于，兩種技術都是將網絡設備從封閉走向開放，從獨享的硬件到共享的軟件。

面向公安大數據中心的軟件定義安全系統將SDN和NFV技術相結合，為公安大數據中心業務提供動態、靈活的安全防護和安全策略可定制化的安全管理，實現與現有業務管理的無縫集成，并對租戶開放軟件可定義的安全功能接口，實現數據中心安全功能的服務化。將SDN和NFV融合，為云數據中心的安全防護形成新的創新和價值，解決了云環境下安全防護的難題，增強部署性能并簡化互操作性，減輕運營和維護流程負擔的要求，為數據中心提供軟件可定義的安全服務業務，促進公安大數據中心網絡和應用的革新。

一、系統設計與實現

（一）總體架構

如圖1所示，軟件定義安全系統包括安全控制器、安全功能虛擬平臺、IDC基礎設施和安全應用。安全控制器實現對虛擬安全資源的彈性調度和安全管理，是系統的控制核心。安全功能虛擬平臺對硬件設備進行抽象，支持多種安全功能虛擬化。軟件定義安全系統基于公安大數據中心基礎設施環境進行部署，安全應用層面向公安不同的業務場景，提供安全服務編排API接口，實現多種安全防護的軟件定義需求。

（二）安全控制器

安全控制器在系統功能上包含如下幾個核心功能模塊：安全資源管理模塊、虛擬設備適配器模塊、動態流量牽引模塊、安全應用解析模塊、安全應用接口API和控制器自身保障模塊。其功能結構如圖2所示。

1. 安全資源管理模塊

安全資源管理模塊主要完成對安全功能虛擬平臺中各種安全資源的初始化和啟用，其中包括安全功能的實例化、安全功能配置、安全實例部署。安全功能的實例化主要按照性能要求為各個安全功能分配CPU個數、內存大小、存儲空間以及帶寬等資源，以使得安全功能具備相應的基礎計算能力。安全功能配置是對不同種類安全防護設備的參數設置，比如防火墻ACL規則、Web攻擊特征庫等，以滿足不同安全等級和安全策略需求。安全實例部署是將實例化和完成參數配置的安全功能啟用，配置相關的網絡路徑等外圍環境。

2. 虛擬設備適配器模塊

對于非標準的安全虛擬設備，安全控制器在安全資源管理層設置了虛擬設備適配器進行兼容適配，通過接口轉換和再封裝，保證了安全控制器南向接口對上層解析層和應用層的可擴展性。

3. 動態流量牽引模塊

公安大數據中心臨時性大容量數據傳輸和突發帶寬需求頻繁，因此對數據中心基礎架構的靈活性和響應速度提出更高的要求。網絡虛擬化后，公安大數據中心網絡路徑的物理邊界消失，同時，同一租戶的虛擬網絡和虛擬主機在不同時間出現在不同物理位置的情況也成為常態應用。因此，靜態管理網絡流量在云數據中心場景中已經不可行。采用動態流量牽引方式，將安全控制器與公安大數據中心網絡控制器進行對接，通過傳遞網絡轉發流表，對虛擬網絡和虛擬主機進行動態識別，實現目標流量的動態牽引。

4. 安全應用解析模塊

安全應用解析模塊主要功能是對上層安全應用腳本的解析。安全應用腳本是抽象的安全需求，比如DDoS防護、Web攻擊防護、租戶網絡隔離等。安全應用解析模塊將根據這些安全需求以及業務信息，調度不同類型和不同數量的安全虛擬資源，并生成安全資源管理模塊、動態流量牽引模塊能夠理解的接口指令，將組合的安全策略下發到各執行設備。

5. 安全應用北向接口API

公安業務模式的多樣性，也需要公安大數據中心為不同租戶和不同業務類型提供差異化的安全服務。安全控制器將控制指令進行抽象和封裝，為公安大數據中心管理用戶或租戶提供安全服務編排等編程接口，實現可軟件定義的安全需求和服務。

（三）安全功能虛擬平臺

安全功能虛擬平臺用于構建公安大數據中心網絡安全設備資源池，包括物理設備資源和虛擬化設備資源兩種形態。該平臺位于一個數據中心內，包含安全虛擬機和安全流平臺兩個組成部分，如圖3所示。

1. 安全虛擬機

以虛擬機形態運行于租戶的虛擬網絡中，負責租戶虛擬機的東西向網絡流量控制，如圖4所示。該安全虛擬機是硬件UTM設備、IDS設備的虛擬化，具備其所有的防護特性，虛擬UTM（vUTM）支持橋模式、路由模式以及混合模式部署，虛擬IDS（vIDS）支持旁路模式部署。

2. 安全流平臺

部署在公安大數據中心出口實體網絡的安全資源池，接入了UTM、IPS、IDS、WAF等安全設備，負責租戶網絡的南北向網絡流量控制，如圖5所示。

安全功能虛擬平臺構建的網絡安全資源池接受安全控制器的調度與配置，實現安全設備在租戶網絡中的邏輯部署并完成安全防護，如圖6所示。

二、關鍵技術及創新點

（一）虛擬網絡深度防護技術

隨著虛擬化在公安大數據中心的廣泛應用，虛擬網絡安全防護的重要性也在不斷提高。傳統物理環境具有清晰的網絡邊界，通過在網絡邊界部署各種安全設備即可對進出邊界的流量進行有效管控。而在虛擬化環境下，同一虛擬計算平臺上的虛擬機間的二層流量可以由虛擬交換機轉發而不流經物理服務器外部的網絡設備及安全設備，從而形成了安全管理的盲區，使得虛擬機完全暴露于破壞力更強的內網攻擊之下。特別是隨著虛擬化技術的發展，虛擬化平臺提供的網絡功能已經從最初的虛擬交換機（二層交換）演進到現在的虛擬路由器（租戶子網間三層交換），更給傳統網絡安全防護技術的應用帶來了諸多不便。

通過對虛擬網絡流量類型的深入分析，提出虛擬網絡深度防護技術。租戶虛擬機的網絡流量通常分為四種類型，如圖7所示：租戶同一子網內的流量①、租戶不同子網間的流量②、租戶訪問外網的流量③、租戶間的流量④。其中①、②是東西向流量，③、④是南北向流量，虛擬網絡深度防護技術即實現四種流量的全面管控，租戶可以根據實際業務需求靈活組合、部署。

（二）安全策略伴隨虛擬機遷移技術

虛擬機熱遷移技術能夠將工作中的虛擬機從一個物理服務器上快速移動到另一個物理服務器上而保持虛擬機的運行不中斷。該技術只解決了虛擬機自身狀態的遷移問題，并不保證安全策略同步，一旦遷移后的目的平臺無法感知到遷移來的虛擬機的安全策略，則虛擬機將會面臨安全風險。

通過分析虛擬機熱遷移機制對虛擬機安全策略的影響范疇，明確了受遷移機制影響的虛擬機安全策略，針對這部分安全策略設計一種動態引流的方法，讓交換機對虛擬機的遷移進行自主學習，實現安全策略伴隨虛擬機遷移。

（三）基于SDN的安全資源調度技術

傳統網絡安全防護，一般會在不同網絡的邊界部署網絡防護硬件設備和軟件系統，并采用靜態配置的防御策略。但不同網絡中各安全設備的功能分布并不均勻，防護體系脆弱，存在很多薄弱環節。因此這種固化的網絡安全防護模式已無法適應公安業務快速變化的網絡結構。

在公安大數據中心安全管理中，采用基于SDN的安全防護系統基礎架構，實現用戶無感知、高度可擴展的彈性安全防護。在數據中心網絡區域邊界部署虛擬化的安全防護節點，在SDN安全節點集成各種安全防護功能模塊，實施內容安全防護功能。由SDN安全控制器管理安全節點，并為上層網絡控制中心提供接口。在網絡管理控制中心系統中集成SDN安全應用。安全控制器結合網絡控制器分發流表來控制交換機與路由器的轉發規則調度網絡流量，實現安全功能的按需調度；通過集中管控安全功能擴展和安全策略，實現安全節點的動態按需安全功能擴展和安全策略加載。

動態網絡防御系統還將基于業務安全需求對安全控制器下發安全功能擴展和安全防護策略，為公安大數據中心的云服務創新應用提供支撐。