基于SDN的云計算安全存在的問題及對策

王燚

【摘? 要】基于SDN解決云計算安全問題是未來數據中心網絡發展的趨勢。隨著SDN網絡規模的擴展，單一的控制器結構的SDN網路處理能力受限，從而面臨著各種風險。論文對如何構建安全的SDN體系架構以解決云計算安全存在的問題進行了討論。以華為和戴爾的解決方案為例，深入探究了企業應該如何安全有效地部署SDN網絡，以及未來SDN的發展趨勢。最后期冀能夠構建一個安全、健康、和諧、穩定的移動互聯網及大數據時代。

【Abstract】Solving the problem of cloud computing security based on SDN is the trend of future data center network development. With the expansion of the scale of SDN， the SDN with a single controller structure is limited in processing capacity， so it is faced with various risks. This paper discusses how to build a secure SDN architecture to solve the problems existing in cloud computing security. Taking solutions of Huawei and Dell as examples， this paper deeply explores how enterprises should deploy SDN network safely and effectively， as well as the development trend of SDN in the future. Finally， we hope to build a safe， healthy， harmonious and stable era of mobile internet and big data.

【關鍵詞】軟件定義網絡（SDN）;云計算;控制器;解決方案

【Keywords】software defined network （SDN）; cloud computing; controller; solutions

【中圖分類號】TP393.0? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文獻標志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號】1673-1069（2021）10-0122-03

1 引言

云計算的安全問題自從云計算存在那天開始就一直備受關注。云計算是一種在構建上非常具有彈性，依賴于互聯網并且以網絡技術、分布式計算為基礎的計算方式，然而，任何一種依賴互聯網的應用都具有很大的風險，當然云計算也不例外。近年來，基于SDN的云計算安全解決方案成為解決云計算安全問題的主流及未來發展趨勢。

2 云數據帶來的安全威脅

云計算（Cloud Computing）是一種新興的并行計算模式，由遠程數據中心中的服務器和電腦組成，可以為用戶提供各種資源和服務。云計算由硬件層（Hardware）、基礎設施層（Infrastructure）、平臺層（Platform）和應用層（Application）組成（見表1）。硬件層的具體載體為數據中心，主要負責利用各種資源技術管理調用底層的數據資源;平臺層主要包括操作系統和應用框架;應用層則直接與用戶進行交流。

2.1 十二大云計算威脅

隨著越來越多應用程序和數據的云端移動化，信息安全問題也接踵而至，云計算在帶來數據共享的同時也帶來了新的安全威脅和挑戰。Gartner公司副總裁兼云計算安全負責人Jay Heiser表示：“公共云的使用量正在快速增長，因此不可避免地導致更多的敏感內容可能存在風險。”

然而，保護這些云數據的主要任務正在從云計算提供商過渡到云計算用戶本身，因此，為讓企業能夠作出更正確的決策，云計算安全聯盟（CSA）發布了《十二大云計算頂級威脅：行業洞察報告》。這12個主要的安全問題分別是：數據泄露;身份、憑證和訪問管理不足;不安全的接口和應用程序編程接口（API）;系統漏洞;賬戶劫持;惡意內部人士;高級持續威脅（APT）;數據丟失;盡職調查不足;濫用和惡意使用云服務;拒絕服務（DoS）;共享技術漏洞。雖然企業可以提供一些補丁來暫時消除威脅，但是這些安全隱患對于云計算服務提供上來說仍然是一個非常嚴重的問題，仍然還會有最新的漏洞無法修補，這就要求提供商們找尋新的應對措施。

2.2 SDN發展背景及與云計算之間的關系

云計算所儲存的用戶數據是完全暴露在提供服務的企業面前的，一旦泄露，將會對用戶造成極大的損失和威脅，這種情況令人十分擔憂。因此，在這種環境下軟件定義網絡（SDN）體系結構應運而生。

3 如何構建安全的SDN及安全強化方案

3.1 SDN體系架構

SDN的核心訴求為通過自動化業務簡化網絡運維，其目的在于實現網絡流量的靈活控制，使網絡管理更加智能高效。現在企業使用的大多數SDN體系架構分為3層（見圖1）：底層是轉發層——支持SDN功能的網絡基礎設施;中間層是控制層——在SDN中擁有網絡核心控制權;上層是應用層——包括SDN配置管理的服務和應用程序。在這個體系構架中，強調了OpenFlow在控制層的重要性，如圖2的結構所示，這種架構大大降低了管理的復雜度，增強了網絡的可靠性和安全性，實現更細致的網絡控制。

3.2 SDN面臨的新的挑戰

①數據層的攻擊：攻擊目標可能為某個節點，例如，OF交換機或者接入SDN交換機的主機。攻擊者在未通過網絡訪問權限的情況下攻擊運行狀態不穩的某個網絡節點。

②控制層的攻擊：這種攻擊是最常見且最明顯的攻擊目標，攻擊者可能會向控制器發起資源消耗攻擊，使控制器處理消息變得緩慢，最終導致網絡崩潰從而繞過控制器所部署的安全檢測。

③應用層的攻擊：攻擊者利用公開但沒有認證機制的北向接口協議，從而實現通過控制器來控制SDN網絡的通信并且部署自己的網絡設置。

3.3 SDN構架方案

3.3.1 基于專用接口的方案

此方案是為了構建一個開放的網絡環境，其目的是讓網絡更加靈活、更適應新的網絡和趨勢。onePK為此戰略的重要組成部分，能夠深入訪問各種操作系統和硬件平臺。其最大的優點是對網絡部署的改動小，實時操作方便快捷。

3.3.2 基于疊加網絡的方案

大部分的SDN參考架構如圖3所示，其中疊加網絡的典型性代表是虛擬局域網（VLAN），但這一方案并不是最近才提出的，因此，為滿足云計算等新業務的要求，Nicira公司提出了網絡虛擬化平臺（NVP）方案（見圖4）。網絡虛擬化平臺很好地實現了網絡的虛擬化并與虛擬化管理相互整合，使網絡資源的按需調度更加便捷。

3.3.3 基于開放協議的方案

此方案為當前SDN實現的主流方案，其基于開放式網絡協議并實現了控制平臺與轉發平臺的分離，獲得了很多業界支持，相關技術發展迅速，如ONF SDN和ETSI NFV都為此類方案。

3.4 SDN構架的安全強化

由此我們可以了解到控制層和數據層的分離保證了整個網絡邏輯上的統一管理和控制。所以我們必須加強對3層的安全強化。

3.4.1 數據層的安全強化

典型的SDN系統都是基于x86的處理器并且使用TLS協議來保障平面的安全。企業通常在網絡設備代理和控制器之間使用TLS協議來建立認證加密機制，避免網絡嗅探和南向接口的欺騙通信。

3.4.2 控制層的安全強化

為阻止在SDN網絡中出現沒有經過授權就訪問的行為，系統應允許管理員通過安全認證來登錄SDN控制器，在各個策略中必須要確保管理員的存在。如果一個控制器受到了攻擊，那么它必須要有一個高可靠性的構架。如若攻擊者的攻擊方式為隱形攻擊的話，那么被攻擊的目標極易不被發現。

3.4.3 應用層的安全強化

為防止這種情況的發生，需要在應用層進行另一個保護措施——使用帶外數據網絡來控制流量傳輸。需要在數據中心部署一個帶外數據網絡，并且需要給北向接口的應用程序發出請求SDN資源的安全編碼，使那些在應用程序、控制器、服務之間的數據請求都有能對應的各自的加密認證方式，以此來確保數據和通信的安全，這種部署比在企業廣域網中進行部署成本更低且更加簡單便捷。

4 SDN如何解決云計算存在的安全威脅

4.1 華為云數據中心SDN安全解決方法

在華為全聯大會上，華為發布了這一安全解決方案。華為安全網關領域總經理劉立柱是這樣形容的：“這個云數據中心安全解決方案會把它感知到的威脅送到智能分析系統，它是一個運用大數據系統構造的自動分析系統，這個大腦分析判斷出機體是否得病、得了什么病，再把這個結果反饋到SDN軟件定義的控制器，控制器實時做出動態響應。”

4.2 戴爾靈動網絡解決方案支持SDN

在2013中國SDN大會上，戴爾網絡事業部執行總監表示SDN的愿景不僅僅是軟件定義網絡、軟件定義互聯，更應該是軟件定義企業。

戴爾針對這一愿景推出了戴爾靈動基礎架構，這個架構將服務器、存儲、網絡、安全軟件無縫整合在一起，使他們以同一個政策運行并作為一個統一體管理。同時這個架構可與舊設備或其他廠商兼容。

采用戴爾靈動基礎架構的基于SDN的Fabric十分簡單、靈活及便于編程，無需人力的資源配置，無需逐臺分配交換機，擁有集中化的控制面板，使整個網絡架構的管理和控制更加統一靈動。

5 企業怎樣部署SDN

隨著云計算數據中心建設規模的壯大，為更好地滿足業務需求，在數據中心應用SDN技術組網成為各國運營商普遍的解決方案。

5.1 公有云大規模部署SDN

在企業的大規模部署時，其云平臺通常是OpenStack云平臺，其目標是結合SDN實現業務的自動化發放功能。企業根據用戶在云平臺上的邏輯組網及用戶的各種需求，設計在SDN控制器下自動調控各個環節下的配置，這些配置使用戶在使用時感到更加方便的同時也確保了安全性，也使部署的平臺及其業務能力具有計算彈性、網絡彈性、負載均衡彈性、安全彈性等特點。

5.2 企業大規模部署SDN時需注意的方面

①根據不同數據中心場景部署不同的架構。例如，underlay架構適用于規模較小的數據中心，由硬件交換機負責虛擬機的通信。因此需要重新審視應用程序編碼標準，確保應用程序的安全性。

②根據不同需求考慮SDN控制器的工作方式和設備管理能力。SDN對不同的虛擬平臺支持的成熟度不同，例如，KVM和VMware具備商用條件。

③統籌考慮SDN解決方案與虛擬平臺、負載均衡和防火墻的兼容性。考慮部署vLB/Vfw有利于實現不同租戶的業務隔離。

④SDN的云安全問題。可以知道的是，現在大部分的安全產品的部署方式為把安全產品都部署在南北向，這種南北向的部署方式具有一個很大的弊端——極易忽略一些非常嚴重的安全問題。解決這一弊端的方法是對南北向的流量進行處理監控;對東西向可能接近租戶的業務和虛擬機的流量進行處理監控;在虛擬化層面引入流量，形成一個監控網絡。

6 結語

云計算與互聯網相互融合、相互促進，給人們生活帶來便捷和利益的同時，也讓我們面臨著各種安全泄露問題。SDN作為當前網絡領域中最熱門最具發展前途的技術之一，具有許多前所未有的優勢，使網絡能被更加靈活地控制，優化了網絡信息并提升了網絡性能，極具發展潛力。

但同時我們仍然面臨著數據層和控制層關鍵技術不足的難題，如SDN的擴展性能、規則部署與跨域通信等。因此，更好地發揮SDN的各項優勢，避免不必要的安全風險是未來SDN發展的主要目的，只有這樣才能構建一個安全、健康、和諧、穩定的移動互聯網及大數據時代。

【參考文獻】

【1】孟強.基于云計算的移動互聯網安全問題[J].電子商務，2016（03）：42-43.

【2】張朝昆，崔勇，唐翯翯，等.軟件定義網絡（SDN）研究進展[J].軟件學報，2015，26（01）：62-81.

【3】月球，劉芹，楊小樂，等.公有云大規模資源池部署SDN的應用[J].電信科學，2018，34（06）：115-122.