軟體定義安全的發展及應對策略

隨著雲端計算、SDN等新技術的廣泛應用以及APT等新型攻擊方式的日益發展，傳統網路安全模式面臨著巨大挑戰。在雲端計算環境中，物理安全裝置不能監控和理解虛擬化資料流，難以對其進行有效防護；傳統安全架構不能提供按需彈性的網路安全功能，無法適應新型業務發展要求；現有安全裝置系統普遍缺乏有效協同及聯動的手段與機制，影響對APT等攻擊的及時發現與防禦。

在此背景下，軟體定義安全（SDS）在軟體定義網路SDN的基礎上被提出，期望實現安全由業務和應用驅動，從而實現複雜網路的安全防護，提升安全防護能力和使用者安全體驗。廣義SDN可分為兩大類，其中OpenFlow、Overlay、I2RS強調通過嚮應用開放介面實現基於應用的網路控制，而NFV更強調硬體的通用性，通過虛擬化技術實現業務快速部署並降低成本。與此相對應，SDS技術也可分為兩大類：一類致力於打破傳統的安全黑盒子，向上層應用開放API，把程式設計控制權從廠商內建轉化為使用者自定義；另一類則將傳統安全裝置虛擬化後，以虛擬軟體的形式執行在通用商業硬體上。這兩類技術並不是割裂的，可以有機融合，可在採用虛擬化技術實現安全功能的同時，對外開放API。

當前SDS發展較快的是基於OpenFlow、Overlay和NFV架構的安全技術，但尚無基於I2RS架構的軟體定義安全解決方案。

基於OpenFlow的SDS

基於OpenFlow的SDS按照控制與轉發分離的原則，將安全架構分為安全應用、安全控制、安全資源三層。安全應用層通過各類安全應用App，直接呼叫安全控制層的計算能力及資料進行安全分析，將各種個性化的安全功能需求轉化為具體的安全資源排程策略，並通過安全控制層予以下發，實現安全防護的智慧化、自動化、服務化；安全控制層對安全應用下發的安全策略進行策略解析與衝突檢測後，將安全策略下發給資源層的安全裝置，或者根據策略對轉發資源進行基於流的排程；安全資源層由各種物理形態或虛擬形態的網路安全裝置組成，接受控制層的統一部署、管理、排程，實現按需協同安全防護功能。

在安全控制層的實現上，原有SDN控制器無法滿足SDS的需求：OpenFlow的控制功能均集中在控制層，轉發層僅僅根據流表進行資料轉發，而安全系統的裝置功能多樣化，控制指令也相對複雜，與網路裝置有較大區別，控制層面無法進行如此細緻的控制；OpenFlow主要側重於4層以下流量的控制排程，無法滿足L4以上的流量安全控制排程需求。因此安全控制器的實現，需要在SDN控制器中內嵌一個安全控制Agent或者單獨配置一個安全控制器，滿足安全裝置的管理控制以及4層以上流量的安全控制排程要求。

基於Overlay的SDS

基於Overlay技術架構實現的軟體定義安全技術原理是基於Overlay網路構建服務鏈，各種安全裝置組合抽象成統一安全資源，由服務鏈控制流量的排程，實現按需安全服務。

這種解決方案要求安全裝置能夠理解隧道協議，識別業務標籤，才能實現按需安全服務。對於無法識別隧道協議的安全裝置，需要協議轉換閘道器，將其轉換為安全裝置能識別的資訊，因此，這個閘道器將不可避免地成為效能瓶頸。

由於Overlay的控制平面依賴於廠家設計，開放性、相容性較差，因此基於Overlay架構的軟體定義安全解決方案主要由Overlay網路裝置商實現。

基於NFV的SDS

基於NFV架構是目前業界主流實現方式，通過將傳統安全裝置虛擬化後，以虛擬軟體的形式執行在通用商業硬體上。具體實現方式可分為Agent形態和獨立形態兩種。

Agent形態指虛擬化安全軟體以Agent形式裝載在物理主機上，利用虛擬化軟體供應商開放的安全擴充套件介面實現產品功能，主要用於虛擬機器之間流量的安全防護。依據與虛擬化軟體的耦合度，可分為“鬆耦合”與“緊耦合”兩種模式。“鬆耦合”模式只呼叫網路資料包轉發類別的API，通過在虛擬化層中實現的代理轉發資料包，將流量牽引到虛擬伺服器狀態的安全產品進行檢測與處置。此類資料包轉發機制較為簡單，管理範圍無法跨出物理伺服器的邊界，代表廠商有checkpoint等。“緊耦合”模式則更深層次地與虛擬化軟體的安全框架相結合，直接呼叫虛擬化軟體商提供的安全機制，將安全防護功能執行模組輕薄化，嵌入Hypervisor層中。其依靠虛擬化軟體商提供的介面，可實現跨物理伺服器的管理，代表廠商有趨勢、Juniper等。總體而言，Agent形態與Hypervisor耦合度較高，安全產品受限較大，同時其佔用使用者虛擬機器所在的物理主機資源，產品效能受限於所分配的資源，對使用者效能也有一定影響。

獨立形態的虛擬化安全軟體單獨安裝在標準的x86伺服器上，通過內部網路通訊，構成一個可平滑擴充套件的大容量產品叢集，並通過一個統一的管理介面實現彈性、按需部署。與Agent形態相比，其單獨使用物理資源，在不擠佔使用者虛擬機器資源的同時，效能可隨x86的資源擴充套件而平滑擴充套件。與傳統晶片加速型硬體防火牆相比，其效能受網路卡處理速度、CPU的處理能力和處理機制、Hypervisor虛擬交換機轉發速度等因素影響，調優更為複雜。普通網路卡所有資料都需要經過Hypervisor虛擬交換機過濾/轉發，存在較嚴重的效能瓶頸。而通過SR-IOV網路卡，可以將VF直接分配給虛擬機器，虛擬機器直接訪問VF，資料不再經過Hypervisor虛擬交換機過濾/轉發，可以有效提高網路I/O效能。但該方案需要伺服器網路卡支援SR-IOV技術，虛擬機器的Guest OS也要支援相應的驅動；CPU處理能力和處理機制也是制約其效能的重要因素，尤其是對小包的處理效率。

總體而言，軟體定義安全技術仍處於起步階段，但隨著SDN技術的快速發展，運營商可在跟蹤研究相關技術的基礎上，積極探索軟體定義安全防護技術的引入及部署。一方面結合IDC的SDN引入程式，研究並驗證軟體定義化安全裝置的部署應用方案，引導廠商滿足運營商的實際需求。尤其是安全裝置虛擬化後，其效能主要取決於CPU，需考量其效能損耗是否能滿足現網實際需求，謹慎推進。建議針對傳統安全裝置與虛擬安全裝置混合組網進行測試驗證，並與安全廠商合作，共同推動軟體定義化安全裝置的發展。另一方面研究軟體定義安全架構實現技術，利用軟體定義安全架構的集中控制性和開放性，解決現有各安全系統缺乏有效協同、聯動以及可擴充套件性不強的問題，推動網路安全架構的演進。

本文轉自d1net（轉載）