軟體定義安全的發展及應對策略

青衫無名發表於2017-07-03

隨著雲端計算、SDN等新技術的廣泛應用以及APT等新型攻擊方式的日益發展,傳統網路安全模式面臨著巨大挑戰。在雲端計算環境中,物理安全裝置不能監控和理解虛擬化資料流,難以對其進行有效防護;傳統安全架構不能提供按需彈性的網路安全功能,無法適應新型業務發展要求;現有安全裝置系統普遍缺乏有效協同及聯動的手段與機制,影響對APT等攻擊的及時發現與防禦。

在此背景下,軟體定義安全(SDS)在軟體定義網路SDN的基礎上被提出,期望實現安全由業務和應用驅動,從而實現複雜網路的安全防護,提升安全防護能力和使用者安全體驗。廣義SDN可分為兩大類,其中OpenFlow、Overlay、I2RS強調通過嚮應用開放介面實現基於應用的網路控制,而NFV更強調硬體的通用性,通過虛擬化技術實現業務快速部署並降低成本。與此相對應,SDS技術也可分為兩大類:一類致力於打破傳統的安全黑盒子,向上層應用開放API,把程式設計控制權從廠商內建轉化為使用者自定義;另一類則將傳統安全裝置虛擬化後,以虛擬軟體的形式執行在通用商業硬體上。這兩類技術並不是割裂的,可以有機融合,可在採用虛擬化技術實現安全功能的同時,對外開放API。

當前SDS發展較快的是基於OpenFlow、Overlay和NFV架構的安全技術,但尚無基於I2RS架構的軟體定義安全解決方案。

基於OpenFlow的SDS

基於OpenFlow的SDS按照控制與轉發分離的原則,將安全架構分為安全應用、安全控制、安全資源三層。安全應用層通過各類安全應用App,直接呼叫安全控制層的計算能力及資料進行安全分析,將各種個性化的安全功能需求轉化為具體的安全資源排程策略,並通過安全控制層予以下發,實現安全防護的智慧化、自動化、服務化;安全控制層對安全應用下發的安全策略進行策略解析與衝突檢測後,將安全策略下發給資源層的安全裝置,或者根據策略對轉發資源進行基於流的排程;安全資源層由各種物理形態或虛擬形態的網路安全裝置組成,接受控制層的統一部署、管理、排程,實現按需協同安全防護功能。

在安全控制層的實現上,原有SDN控制器無法滿足SDS的需求:OpenFlow的控制功能均集中在控制層,轉發層僅僅根據流表進行資料轉發,而安全系統的裝置功能多樣化,控制指令也相對複雜,與網路裝置有較大區別,控制層面無法進行如此細緻的控制;OpenFlow主要側重於4層以下流量的控制排程,無法滿足L4以上的流量安全控制排程需求。因此安全控制器的實現,需要在SDN控制器中內嵌一個安全控制Agent或者單獨配置一個安全控制器,滿足安全裝置的管理控制以及4層以上流量的安全控制排程要求。

基於Overlay的SDS

基於Overlay技術架構實現的軟體定義安全技術原理是基於Overlay網路構建服務鏈,各種安全裝置組合抽象成統一安全資源,由服務鏈控制流量的排程,實現按需安全服務。

這種解決方案要求安全裝置能夠理解隧道協議,識別業務標籤,才能實現按需安全服務。對於無法識別隧道協議的安全裝置,需要協議轉換閘道器,將其轉換為安全裝置能識別的資訊,因此,這個閘道器將不可避免地成為效能瓶頸。

由於Overlay的控制平面依賴於廠家設計,開放性、相容性較差,因此基於Overlay架構的軟體定義安全解決方案主要由Overlay網路裝置商實現。

基於NFV的SDS

基於NFV架構是目前業界主流實現方式,通過將傳統安全裝置虛擬化後,以虛擬軟體的形式執行在通用商業硬體上。具體實現方式可分為Agent形態和獨立形態兩種。

Agent形態指虛擬化安全軟體以Agent形式裝載在物理主機上,利用虛擬化軟體供應商開放的安全擴充套件介面實現產品功能,主要用於虛擬機器之間流量的安全防護。依據與虛擬化軟體的耦合度,可分為“鬆耦合”與“緊耦合”兩種模式。“鬆耦合”模式只呼叫網路資料包轉發類別的API,通過在虛擬化層中實現的代理轉發資料包,將流量牽引到虛擬伺服器狀態的安全產品進行檢測與處置。此類資料包轉發機制較為簡單,管理範圍無法跨出物理伺服器的邊界,代表廠商有checkpoint等。“緊耦合”模式則更深層次地與虛擬化軟體的安全框架相結合,直接呼叫虛擬化軟體商提供的安全機制,將安全防護功能執行模組輕薄化,嵌入Hypervisor層中。其依靠虛擬化軟體商提供的介面,可實現跨物理伺服器的管理,代表廠商有趨勢、Juniper等。總體而言,Agent形態與Hypervisor耦合度較高,安全產品受限較大,同時其佔用使用者虛擬機器所在的物理主機資源,產品效能受限於所分配的資源,對使用者效能也有一定影響。

獨立形態的虛擬化安全軟體單獨安裝在標準的x86伺服器上,通過內部網路通訊,構成一個可平滑擴充套件的大容量產品叢集,並通過一個統一的管理介面實現彈性、按需部署。與Agent形態相比,其單獨使用物理資源,在不擠佔使用者虛擬機器資源的同時,效能可隨x86的資源擴充套件而平滑擴充套件。與傳統晶片加速型硬體防火牆相比,其效能受網路卡處理速度、CPU的處理能力和處理機制、Hypervisor虛擬交換機轉發速度等因素影響,調優更為複雜。普通網路卡所有資料都需要經過Hypervisor虛擬交換機過濾/轉發,存在較嚴重的效能瓶頸。而通過SR-IOV網路卡,可以將VF直接分配給虛擬機器,虛擬機器直接訪問VF,資料不再經過Hypervisor虛擬交換機過濾/轉發,可以有效提高網路I/O效能。但該方案需要伺服器網路卡支援SR-IOV技術,虛擬機器的Guest OS也要支援相應的驅動;CPU處理能力和處理機制也是制約其效能的重要因素,尤其是對小包的處理效率。

總體而言,軟體定義安全技術仍處於起步階段,但隨著SDN技術的快速發展,運營商可在跟蹤研究相關技術的基礎上,積極探索軟體定義安全防護技術的引入及部署。一方面結合IDC的SDN引入程式,研究並驗證軟體定義化安全裝置的部署應用方案,引導廠商滿足運營商的實際需求。尤其是安全裝置虛擬化後,其效能主要取決於CPU,需考量其效能損耗是否能滿足現網實際需求,謹慎推進。建議針對傳統安全裝置與虛擬安全裝置混合組網進行測試驗證,並與安全廠商合作,共同推動軟體定義化安全裝置的發展。另一方面研究軟體定義安全架構實現技術,利用軟體定義安全架構的集中控制性和開放性,解決現有各安全系統缺乏有效協同、聯動以及可擴充套件性不強的問題,推動網路安全架構的演進。

本文轉自d1net(轉載)


相關文章