SDS 架構下安全原子的構建

◆郭志君 盧宇浩

（中國電子科技集團公司第三十研究所 四川 610041）

隨著日益劇增的網絡攻擊行為的出現，傳統網絡安全防護體系即在大容量交換設備基礎上疊加各類安全防護設備，這種串行部署方式和存在功能重疊的安全防護設計，會在轉發數據包時進行多次的協議解析和處理，體現出來的弊端即可擴展性差、管理運維復雜、網絡性能低下，難以形成靈活便捷的安全防御體系。

軟件定義網絡（Software Defined Networking）是由美國斯坦福大學提出的一種新興的基于軟件的網絡架構及技術，其“開放性、網絡可編程、網絡虛擬化”的技術特點，使得這種架構在新一代網絡構建中具有先天的優勢。其數據平面和控制平面的松耦合架構，可以盡可能將網絡安全功能與網絡安全設備解綁，而且在多租戶使用的應用模式下亦可以有針對性地靈活配置與之相匹配的網絡安全防護能力。

基于此，本文針對當前封裝在各個網絡安全設備中的基本功能進行抽象裁剪形成一系列安全原子，以安全功能原子資源池的形式在基于SDN 網絡中進行可重構的全局網絡安全防護功能的構建，實現新一代SDN 網絡下“多樣性、集約化、易管理”的安全防御體系。

1 SDS 與VSA 的區別

從SDN 演進的過程中，實現SDN 網絡環境中的安全防護主要有兩種架構：虛擬化的安全設備VSA（Virtualized Security Appliance）和軟件定義安全SDS（Software Defined Security）[1]。

VSA 的特點是通過對傳統軟硬件形態的安全設備虛擬化，以虛擬鏡像的方式嵌入部署到SDN 網絡中。這種方式的靈活性體現在將實際物理拓撲映射成邏輯拓撲，由SDN 控制平面按照既定策略和邏輯拓撲讓數據流經過相應的安全設備進行安全處理，且各安全設備可通過RESTful APⅠ接口進行進一步的安全管理服務集成。雖然是對傳統安全產品和技術的一種平滑演進，但其實質上并未提升安全防護能力，只是利用了SDN 對網絡的可編程能力提升自動化部署程度，以降低安全運維的成本。

SDS 的特點是將安全的控制平面和數據平面進行分離，將安全設備的功能進行重整、合并、簡化處理，以去除冗余功能和重疊功能，形成安全原子服務資源集，通過虛擬技術和服務編排技術，以達到動態可重構的、定制化的安全防御能力。這種方式具有更高的效率和開放性，是真正意義上的軟件定義。

2 SDS 三層模型

SDS 最大的特色即繼承了SDN 的三大特點：集中控制、開發接口和網絡虛擬化[2]。因此安全防御體系的SDS架構模型依然延續SDN的三層架構，如圖1 所示。

（1）基礎設施層，包括OpenFlow 交換機和OpenFlow 路由器等設備，主要負責維護流表和設備狀態等重要信息，從而實現數據平面上的處理，如轉發或丟棄等。

（2）控制層，包含網絡操作系統NOS、SDN 控制器和安全控制器。SDN 控制器向下通過南向接口以Openflow 協議進行數據/指令交互，向上通過開放式北向接口APⅠ與應用層通信，可以通過鏈路層發現協議LLDP 可建立全局視圖，管理網絡資源[3]。目前已公開的SDN 控制器有FloodLight、Beacon、MulJaxon、Nox、Pox 等。在控制層，安全控制器用于定義和維護以及更新全局的安全策略，該控制器的實現可以是在原有SDN 控制器的基礎上實現，也可以單獨成立。

（3）應用層，包括由設備管理、應用管理、策略服務等通用原子構建的通用資源池和由包過濾、策略配置、信譽評估、流量統計等安全原子構建的安全資源池。資源池中的資源可以是廠商甲的，也可以是廠商乙的，均采用標準的對外描述、管理和控制接口。

圖1 SDS 架構的安全防御體系模型

3 安全原子模型

SDS 最鮮明的特點是將傳統安全功能進行抽象、重整、合并、簡化成一個個安全原子單元，最終進行池化。

原子即滿足完成一定功能的，定義在輸入集Ⅰ，輸出集O、狀態集S 和動作集A 上的函數：輸出O（i，s0，a）=F1（i∈Ⅰ，s0∈S，a∈A）），狀態S（i，s0，a）=F2（i∈Ⅰ，s0∈S，a∈A）。即對于特定輸入，有特定輸出及相應的內部狀態變遷，可以完成一定功能的資源組。原子服務作為服務編制的基本單位，也可以被注冊為資源。

安全原子資源池即由多種安全原子服務資源組成的一個異構的集合，采用標準化的封裝技術，解決廠商鎖定的問題，更開放性的容納第三方廠商的安全功能。

以防火墻為例，作為最傳統最基礎的邊界安全防護功能，其最核心的三個功能要素：策略配置和包過濾。策略配置，主要負責對配置數據的維護，除了新增配置操作之外，還需要有刪除、更新及查詢操作，屬于對外交互接口。代入原子的狀態函數，即當外部接口輸入操作指令后，會根據當前狀態產生相應動作，因此可以列為一個原子服務。包過濾，屬于數據處理，依據特定的規則，允許或者限制傳輸的數據通過，實現內外網之間的訪問權限控制。帶入原子的輸出函數，即當有特定數據輸入后，會根據當前規則狀態對該數據流執行允許或阻斷，因此也可以列為一個原子服務。因此這兩個主體功能即可作為原有防火墻功能抽象后的原子。當然，還會有用于收集和計算流統計信息的流管理以及負責與認證服務器之間進行認證交互的認證代理等其他功能原子。應用層防火墻還會包括應用識別、應用攻擊防護等功能原子。

DDoS 防御、入侵檢測、入侵防御以及WAF 等均可以采用此法進行安全原子的抽象定義。比如DDoS 是一種利用網絡上已被攻陷的主機作為“僵尸機”，向某一目標電腦發送大量服務請求的攻擊，把目標主機的網絡資源或系統資源消耗殆盡，使之無法正常響應用戶的服務請求[4]。針對其技術特點，可以抽象出以下幾個功能原子：（1）流量統計，根據五元組或其他信息流進行流聚類以此統計流信息從而作為DDoS 攻擊檢測的數據依據；（2）信譽評估，即用于根據流表項發

送頻率進行信譽評級，如果發送頻率超過預警值、防護值或緊急值的數據流分別進行信譽評估，從而作為數據處理的依據；（3）策略配置，完成數據處理策略的配置、更新及查詢。入侵檢測主要采用高性能網絡抓包技術通過數據鏡像端口獲取網絡數據報文，對各種類型的網絡數據報文進行預處理后，通過規則庫特征匹配算法實現攻擊檢測，對發現的攻擊異常行為進行實時告警，產生日志文件。入侵防御是能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全服務，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。可以看出，同防火墻和DDoS 防御一樣，ⅠDS 和ⅠPS 依然會有流識別、統計、策略配置等同樣的功能原子。我們就是把這些相同的功能原子進行合并、刪掉冗余，減少中間重復解析和處理的時延，從而達到對安全資源統一管理、按需分配，高效靈活配置的目的。

4 結語

近年來隨著大量網服務轉移到云端，網絡邊界的定義越來越模糊化，網絡攻擊的形式和手段也越來越隱蔽復雜和靈活多變，傳統的串糖葫蘆的安全防御方式已無法適應和面對網絡安全現有局勢，因此網絡安全防御體系需要進行根本性的變革。Gartner 早在2014 年即將“軟件定義安全”作為當年的十大信息安全技術之一，將其作為平臺革命。隨著這些年SDN 和NFV 技術的發展，以及人工智能的快速發展，軟件定義安全從原來的概念變得越來越清晰化。在實際應用實踐中這些年各大廠商也是各顯其能，發揮各自的優勢。但目前多數僅停留在利用虛擬化技術實現的面向云計算的原生資源池，而非軟件定義。因此在未來網絡研究中安全原子模型的構建有其可行性和必然性。