基于SDN 服務(wù)鏈的云技術(shù)數(shù)據(jù)中心安全防護

裘國星

（浙江華通云數(shù)據(jù)科技有限公司，浙江 杭州310012）

云平臺數(shù)據(jù)中心是現(xiàn)代信息數(shù)據(jù)處理的主要平臺，借助于云平臺各信息技術(shù)公司能夠為用戶提供安全、穩(wěn)定的信息服務(wù)，云平臺區(qū)別于傳統(tǒng)的網(wǎng)絡(luò)信息服務(wù)，因此需要在云平臺數(shù)據(jù)中心中應(yīng)用與之相匹配的安全防護策略。SDN 服務(wù)鏈技術(shù)就是應(yīng)用于云技術(shù)數(shù)據(jù)中心的安全防護技術(shù)，其能夠有效的避免傳統(tǒng)玩網(wǎng)絡(luò)安全服務(wù)部署技術(shù)所存在的不足，為云技術(shù)數(shù)據(jù)中心構(gòu)建起全新的安全防護策略。

1 傳統(tǒng)網(wǎng)絡(luò)安全服務(wù)部署所存在的不足

傳統(tǒng)網(wǎng)絡(luò)安全服務(wù)部署采用的是物理拓?fù)涞姆绞剑捎檬止ぴO(shè)置安全策略，而安全設(shè)備將直接布設(shè)在網(wǎng)絡(luò)業(yè)務(wù)流量路徑中。在需要對安全服務(wù)策略進行更換時則需要進行大量的手動配置，繁瑣而耗時，因此無法滿足現(xiàn)代社會對于信息產(chǎn)業(yè)快速發(fā)展的需求。同時，傳統(tǒng)的網(wǎng)絡(luò)安全服務(wù)部署由于直接與網(wǎng)絡(luò)業(yè)務(wù)流量業(yè)務(wù)相關(guān)聯(lián)，其在安全服務(wù)的過程中需要進行多次的解包與封包操作，繁瑣且耗時，安全設(shè)備的資源擴展性較差、共享性不足，在擴展時則需要使用高端設(shè)備來彌補性能的不足。

2 SDN 服務(wù)鏈的技術(shù)優(yōu)勢

服務(wù)鏈技術(shù)是為了方便用戶，在為用戶提供良好的通訊服務(wù)的同時按照業(yè)務(wù)邏輯要求依次穿過各種安全服務(wù)節(jié)點，并根據(jù)業(yè)務(wù)服務(wù)的需求來設(shè)定安全訪問路徑。SDN 服務(wù)鏈技術(shù)是一種可以應(yīng)用于云平臺的安全服務(wù)技術(shù)，此技術(shù)最大的特點在與將控制平面、虛擬網(wǎng)絡(luò)和轉(zhuǎn)發(fā)平面、物理網(wǎng)絡(luò)之間相分離。物理網(wǎng)絡(luò)是虛擬網(wǎng)絡(luò)的基礎(chǔ)，以物理網(wǎng)絡(luò)的虛擬化和邏輯化抽象與SDN Overlay 虛擬網(wǎng)絡(luò)的控制部件相結(jié)合，完成對于網(wǎng)絡(luò)安全服務(wù)鏈的控制，實現(xiàn)安全服務(wù)與網(wǎng)絡(luò)架構(gòu)的有機結(jié)合，安全服務(wù)的轉(zhuǎn)發(fā)流量可以通過自動穿過安全服務(wù)節(jié)點完成相關(guān)的安全服務(wù)處理業(yè)務(wù)。采用SDN 服務(wù)鏈能夠方便的完成安全拓?fù)洹４送猓琒DN 服務(wù)鏈所具有的服務(wù)節(jié)點統(tǒng)一資源池化能夠?qū)崿F(xiàn)安全服務(wù)的安全、快速的共享。云平臺所涉及到的用戶眾多，基于SDN 服務(wù)鏈的安全策略能夠有效的打破傳統(tǒng)物理拓?fù)渌鶐淼牟蛔悖瑢崿F(xiàn)個性化的安全防護策略，通過基于用戶的業(yè)務(wù)需求自動轉(zhuǎn)發(fā)文件實現(xiàn)用戶所需安全服務(wù)的快速編制和修改，而無需對物理拓?fù)湓斐捎绊憽Ｏ噍^于傳統(tǒng)的安全服務(wù)，SDN 服務(wù)鏈技術(shù)的應(yīng)用將傳統(tǒng)的數(shù)據(jù)報文簡化為一次，僅僅在初次接入的流分類節(jié)點中進行一次分發(fā)，即可完成整個流程。SDN 服務(wù)鏈所采用的虛擬網(wǎng)絡(luò)是疊加在物理服務(wù)網(wǎng)絡(luò)上的，采用的是邏輯隧道疊加方式，現(xiàn)今應(yīng)用于安全服務(wù)的技術(shù)標(biāo)準(zhǔn)為VXLAN.

3 報文在SDN 服務(wù)鏈中的識別與封裝

數(shù)據(jù)報文在SDN 服務(wù)鏈中需要添加相應(yīng)的文字段來進行標(biāo)識，以便SDN 服務(wù)鏈能夠完成識別和封裝。各SDN 服務(wù)鏈具有不同的標(biāo)識，數(shù)據(jù)報文所攜帶的標(biāo)識將引導(dǎo)數(shù)據(jù)報文通過某一條SDN 服務(wù)鏈進行傳輸。數(shù)據(jù)報文的封裝和標(biāo)識特征有以下2 種：（1）VXLAN 封裝。此種方式應(yīng)用的前提在于網(wǎng)絡(luò)設(shè)備支持相關(guān)功能。SDN 服務(wù)鏈對VXLAN 報文的擴展以VXLAN 報文頭保留字段中的某一3 字節(jié)作為服務(wù)路徑ID，用于確定服務(wù)鏈。此外，在上述3 字節(jié)中還包括有1 字節(jié)的信息用于記錄服務(wù)鏈與主機服務(wù)節(jié)點之間的連接通信次數(shù)。（2）NSH 擴展封裝。NSH是一種應(yīng)用于服務(wù)鏈的封裝格式，NSH 具有良好的通用性能夠應(yīng)用于多種Overlay 封裝中，NSH 通過對VXLAN 報文進行擴展能夠攜帶不同業(yè)務(wù)所需要的上下文信息，用以在簡單的步驟內(nèi)完成復(fù)雜的業(yè)務(wù)，使用NSH 能夠完成二層用戶報文甚至是三層用戶報文。

4 SDN 服務(wù)鏈對于數(shù)據(jù)報文的處理

以VCFC 為核心布設(shè)SDN 服務(wù)鏈時，VCFC 將根據(jù)云平臺上用戶的需求完成相關(guān)服務(wù)鏈的布設(shè)，同時將梳理布設(shè)服務(wù)鏈上各節(jié)點的業(yè)務(wù)邏輯，VCFC 為報文特征下發(fā)端，VTEP 則為接收端，其在接收到VCFC 所下發(fā)的服務(wù)鏈報文特征后將所需要處理的服務(wù)鏈數(shù)據(jù)報文引入到服務(wù)鏈中用以完成邏輯處理。

5 SDN 服務(wù)鏈的組網(wǎng)模式

SDN 服務(wù)鏈的組網(wǎng)可以采用以下三種模式：（1）以VSR 為網(wǎng)關(guān)的VXLAN 服務(wù)鏈。VSR 作為VXLAN 網(wǎng)關(guān)，向Overlay 提供網(wǎng)關(guān)功能，VSwitch 軟件用以作為虛擬機和VXLAN 網(wǎng)絡(luò)的連接終端，VSwitch 軟件能夠在多種虛擬化平臺中得到良好的應(yīng)用。利用多種設(shè)備作為安全服務(wù)節(jié)點，以VCFC 作為安全節(jié)點的控制中樞完成對于各安全節(jié)點的集中控制和調(diào)配，實現(xiàn)整個服務(wù)鏈的功能。（2）以物理交換機作為網(wǎng)關(guān)的VXLAN 服務(wù)鏈。物理交換機作為VXLAN 網(wǎng)關(guān)，向Overlay 提供網(wǎng)關(guān)功能。物理交換機可以用作接入虛擬機和物理服務(wù)器的接口將其連接到VXLAN 網(wǎng)絡(luò)中，并借助于多種虛擬化平臺完成云服務(wù)中心數(shù)據(jù)的安全服務(wù)。在構(gòu)建的服務(wù)鏈中可以采用VSR、VFW、VLB 以及物理防火墻、安全設(shè)備等作為以物理交換機作為網(wǎng)關(guān)的VXLAN服務(wù)鏈的安全服務(wù)節(jié)點。（3）安全設(shè)備代理服務(wù)鏈。將傳統(tǒng)的安全設(shè)備直接應(yīng)用于服務(wù)鏈?zhǔn)菬o法兼容的，因此可以采用將VXLAN 二層網(wǎng)關(guān)用作服務(wù)鏈的代理服務(wù)節(jié)點，用于向SDN 服務(wù)鏈的報文特征提供解析服務(wù), 通過這一方式可以在服務(wù)鏈中引入大三方的安全設(shè)備，從而使得SDN 服務(wù)鏈技術(shù)能夠與傳統(tǒng)的安全設(shè)備相關(guān)聯(lián)，實現(xiàn)網(wǎng)絡(luò)中東西向流量的安全防護。

6 SDN 服務(wù)鏈的部署

云平臺數(shù)據(jù)中心需要處理大量的數(shù)據(jù)，其中數(shù)據(jù)主要分為：外部網(wǎng)絡(luò)與數(shù)據(jù)中心網(wǎng)絡(luò)間的數(shù)據(jù)流量（即南北向流量）；用戶間的數(shù)據(jù)交換（東西向流量）。為實現(xiàn)對于上述兩類流量的安全防護則需要做好SDN 服務(wù)鏈的部署.在南北向流量的SDN 服務(wù)鏈部署上可以采用以下兩種模式：（1）使用集成化的NGFW 設(shè)備作為VXLAN 的網(wǎng)關(guān)用于管理用戶的VXLAN流量，NGFW 設(shè)備還可以用作安全設(shè)備與物理拓?fù)錁I(yè)務(wù)的安全防護，NGFW 具有多種防護功能，能夠根據(jù)需要通過在設(shè)備上增減配置完成用戶所需要的差異化安全服務(wù)，為用戶構(gòu)建起差異化的防火墻。以VCFC 作為管理核心能夠?qū)崿F(xiàn)多臺VXLAN 網(wǎng)關(guān)的最大化負(fù)載。（2）此模式重點在于在云平臺數(shù)據(jù)中心中加入了不同的安全設(shè)備用于構(gòu)建起多樣化的安全服務(wù)池，根據(jù)用戶的需求鏈接起不同的安全服務(wù)鏈。在FW/LB 和IPS 功能的實現(xiàn)上需要使用單獨的安全設(shè)備，VCFC 所控制的流量必須要經(jīng)過上述功能中的任意兩個，在最外層的安全防護上則采用的是專用的安全防火墻用于云平臺數(shù)據(jù)中心VXLAN 和VLAN 之間的安全防護。

云平臺數(shù)據(jù)中心東西流量的SDN 服務(wù)鏈的部署則依靠的是Overlay 網(wǎng)絡(luò)的轉(zhuǎn)發(fā)，所有的安全服務(wù)節(jié)點都能夠完成VXLAN 報文的處理，VCFC 則控制著各流量按照不同的防護邏輯依次穿過各安全服務(wù)節(jié)點。

SDN 服務(wù)鏈的編排則依靠的是SDN 控制器，SDN 控制器主要用于對SDN Overlay 網(wǎng)絡(luò)的控制，在SDN 服務(wù)鏈編排控制上采用的是：安全服務(wù)節(jié)點申請- 防護節(jié)點定義- 負(fù)載均衡成員安全服務(wù)配置- 流量特征組在定義。上述定義后的特征流量將以流表和配置的方式向分類節(jié)點和安全服務(wù)節(jié)點下發(fā)，進而引導(dǎo)用戶的流量進行自動轉(zhuǎn)發(fā)。

7 結(jié)論

云平臺數(shù)據(jù)中心中可以采用SDN 服務(wù)鏈作為安全服務(wù)技術(shù)，基于SDN Overlay 虛擬網(wǎng)絡(luò)所構(gòu)建的安全服務(wù)資源池將能夠為用戶提供多樣化的安全服務(wù)。基于SDN 服務(wù)鏈的安全服務(wù)將物理拓?fù)浣怦钆c安全部署相結(jié)合，實現(xiàn)云平臺上所需安全服務(wù)資源的共享，同時SDN 服務(wù)鏈在云平臺上的應(yīng)用還增強了安全服務(wù)的彈性，方便云平臺的安全服務(wù)根據(jù)需要進行變更。