基于SDN的云数据中心安全防护技术研究
张少芳 王剑钊 刘延锋
摘 要:区别于传统的数据中心,云数据中心资源虚拟化的特性使其内部网络变得扁平化,随之而来的主要网络流量方向的变化、网络逻辑边界的模糊等问题,使得传统的数据中心安全技术已经无法满足其需求。而SDN通过给出多个维度的立体安全防护设计,能够有效满足云数据中心对安全的弹性需求,为其业务提供更为可靠的安全保障。
关键词:SDN;数据中心;安全;控制器;网络
1 SDN的概念
SDN全称为Software Defined Network,中文名称为软件定义网络。作为一种网络虚拟化技术,它最早由美国斯坦福大学Nick McKeown教授所领导的研究组提出。其技术的关键是将传统网络设备中紧密耦合在一起的转发平面和控制平面进行逻辑上的剥离,从而实现对网络中通信数据的动态控制,使网络更易于集中管理并能对用户需求变化及时做出响应。
在传统网络中,网络设备是纯分布式的控制,其控制面和转发面紧密耦合,数据的转发行为受到各种网络協议的控制,而网络管理员无法直接操控转发行为。
SDN则进行了转控的分离,采用集中式的控制方式,使网络管理员可以直接通过应用程序来操控设备的转发行为,而不受任何协议的影响。
SDN的基本架构如图1所示。
1.1 网络设备
与传统的物理网络设备不同,在SDN中网络设备被看作一个逻辑层次,以转发平面的形式出现。实际中,它可以是诸如交换机、路由器、防火墙等硬件设备,也可以是类似OpenVSwitch的虚拟交换机。网络设备负责存储网络中所有的转发表项,并基于SDN控制器的指令来接收用户的数据报文,然后根据流表对其进行转发。
网络设备在其上层SDN控制器的控制下进行工作,他们之间的通信基于南向接口实现,网络设备一方面需要接收并执行SDN控制器对其发出的指令,另一方面在遇到异常情况时也会主动发送Trap报文到SDN控制器。
1.2 南向接口
南向接口是转发平面与控制平面之间进行沟通的通道。在传统网络中,南向接口、控制平面和转发平面一起被集成在硬件网络设备中,对外并不可见。而在SDN架构中,希望通过对南向接口进行标准化来对网络设备的软硬件进行解耦,否则SDN到最后还是特定软件只能在特定硬件上运行。
注意:南向接口向上屏蔽了硬件交换机和虚拟交换机的区别,上层能看到的只是抽象的转发平面。
1.3 控制器
在一个SDN网络中,控制器(Controller)的数量可能不止一个,当存在多个Controller时,它们之间的关系可能是相互独立的对等关系,也可能是主从的关系。如果多个Controller之间为主从关系,则只能有一台主Controller。Controller和网络设备之间的关系则可以是多对多的关系。Controller一般会被安装在专门进行网络管理的服务器上。
作为SDN网络中的核心,Controller向上会为上层服务提供应用程序接口,向下则基于OpenFlow等协议控制转发平面的行为。
1.4 北向接口
在传统网络中,北向接口指的是诸如iMC、eSight等对网络进行管理的软件与硬件网络设备之间的接口,一般采用简单网络管理协议(SNMP)来进行通信。在SDN架构中,指的则是SDN Controller与上层Application之间的接口。
1.5 应用服务
包括负载均衡、安全、网络运行情况检测、拓扑发现等各种服务,其目的主要是对网络进行管理,最终表现形式均为软件应用程序。它们的安装位置既可以与Controller在同一台物理服务器上,也可以在不同的服务器上,只要其与Controller之间通过北向接口可以通信即可。
2 云数据中心面临的安全挑战
在传统的数据中心中,其网络往往采用接入层、汇聚层和核心层的三层架构,对网络资源通过功能分区的方式进行部署,区域之间或者通过划分VLAN结合VLAN间访问控制的方式进行逻辑上的隔离,或者直接进行物理上的隔离。数据中心网络与外网之间则一般通过硬件防火墙设备来进行隔离。而云数据中心通过对资源的虚拟化打破了传统数据中心网络的物理边界,网络从三层架构转变为逻辑上的大二层网络。这也为如何保障云数据中心的安全带来了挑战。
(1)虚拟化技术使数据中心的流量从以前的南北向流量为主转为了东西向流量为主,而传统上基于功能分区的访问控制导致东西向流量的路径迂回,从而使通信延迟增大,云数据中心无法为租户提供高效的服务。
(2)随着云数据中心租户以及虚拟机规模的增大,基于高效利用资源的虚拟机动态迁移增加,网络安全边界变得模糊,传统手工配置的VLAN和ACL明显无法满足弹性边界安全的需求,云数据中心需要可以实现策略随行的自动化安全策略来保障虚拟应用业务的安全迁移。
3 基于SDN的云数据中心多维安全模型
针对云数据中心的特点,需要从“数据中心—子网—租户—端口”各个维度给出立体的安全防护设计,为数据中心的业务提供更为可靠的安全保障。
与传统数据中心网络安全策略类似,云数据中心整体安全保障依然需要在网络的入口集中式的放置硬件防火墙设备,当然为满足云数据中心对安全的弹性需求,往往还需要结合虚拟化技术来实现防火墙资源的池化。
子网级别的安全需要为不同类型的租户分配不同的vRouter或者vFireWall实例,一方面实现子网之间的隔离,另一方面可以通过策略实现特定的通信。
租户级别的安全主要需要实现不同租户之间的逻辑隔离,以避免租户间的信息泄露以及安全问题的互相感染。这可以通过VxLAN等Overlay技术来实现。
端口级别的安全则需要将vSwitch上的端口与虚拟机进行绑定,形成安全组。安全组不仅要保障虚拟机之间东西向流量的安全,还需要保障端口安全策略能够随虚拟机进行迁移,实现策略的随行。
当然,各维度的安全保障都需要SDN技術的支持,vSwitch、vRouter以及vFireWall等VNF(Virtual Network Funcation,虚拟网络功能)实例均运行在SDN的转发平面,需要由SDN控制平面的Controller通过NETCONF等协议对其进行自动化的配置管理,包括安全策略的配置、对安全组规则的下发以及对会话的管理,以及将不同租户的流量引导到不同的VNF实例中等。
对于SDN Controller而言,云数据中心整体安全策略的配置一般实施到租户级别的粒度,且由于策略实施后一般不会有太多的动态变化,因此相对来说比较简单。而安全组规则的下发,则需要在“端口/虚拟机”级别实现安全防护。其实现主要有两种方式:一种通过传统的Iptables来实现,由SDN Controller集中进行Iptables规则的分发或者配置;另一种则是通过vSwitch设备的流表匹配相应的字段来实现安全组策略,当然这首先需要vSwitch设备支持标准的SDN南向接口协议OpenFlow。无论哪种方式,都需要SDN Controller能够动态的感知虚拟机的位置,当虚拟机发生迁移时能够及时的将相应的安全组规则随之迁移。
SDN Controller对于会话的管理主要涉及会话的同步和会话的备份两部分,会话的同步可以根据云数据中心的实际场景来选择实时同步还是定期同步;会话的备份一般需要SDN Controller在各个VNF实例上进行热备份,以保障VNF的高可用性。
4 SDN自身的安全
在为云数据中心提供安全性保障的同时,SDN自身的安全也应该受到重视。因为一旦SDN的安全性出现问题,则整个云数据中心的安全性也就无从谈起。当然,对于SDN安全的研究还没有形成特别成熟的体系,但其重点应该是SDN Controller的安全。
对于SDN Controller而言,最基本的安全要求是需要在其南向接口和北向接口上进行身份的认证、数据的加密和校验,以防止非法接入、窃听以及重放等攻击方式;另外对于一些关键操作需要进行行为审计,以确保其合法性。如果进行网络部署时需要将SDN控制器暴露在公网上,还需要对其进行全面的安全防护等。
5 结语
对于云数据中心所面临的安全问题,通过立体的安全防护设计,由SDN为其提供多维度的安全保障,实现租户之间的逻辑隔离以及安全策略的随行,从而可以有效地保障云数据中心数据以及网络的安全。
参考文献:
[1]张晨.云数据中心网络与SDN技术架构与实现[M].北京:机械工业出版社,2018.117-119.
[2]陈井泉,王龙,魏月莲,吴蒋.基于SDN的云计算数据中心安全架构研究[J].现代电子技术,2020(03).87-91.
[3]陈银,陈柯,任森.基于SDN技术的云化数据中心解决方案[J].通信技术,2019(01):152-156.
[4]谢莹.云计算数据中心安全防护技术研究[J].西南民族大学学报(自然科学版),2018(11):616-620.
[5]钟翠,王蕾,罗兴.云数据中心的SDN解决方案[J].电信科学,2018(07):15-22.
基金项目:石家庄邮电职业技术学院科研项目(项目编号:YB2020019)项目名称:云计算环境下数据中心信息安全体系架构研究
作者简介:张少芳(1982— ),男,河北宁晋人,硕士,副教授,主要研究方向为网络安全与管理、网络集成技术;王剑钊(1974— ),男,河北曲阳人,本科,高级工程师,研究方向:多媒体技术、网络教育培训;刘延锋(1980— ),男,河北邯郸人,硕士,高级工程师,研究方向:计算机基础教育、计算机教学管理。