產生背景
傳統的網路安全防護方法通常是根據網路的拓撲情況,以手動方式在安全域邊界串聯或旁路部署安全設備,對進出安全域的流量進行監控。如果將這種與接入模式、部署方式緊密耦合的防護方法沿用到複雜的網路環境(例如,物理與虛擬網路共存的數據中心)中,會存在諸多的不適應性,例如:
•安全設備部署過程繁複
•不能區別處理流經的流量
•安全防護範圍僵化
•安全設備成為單一故障點
借鑑軟體定義網路(SDN)的思想,一種靈活的網路安全防護方法——SDS應運而生,在對複雜網路的安全防護上表現出更強的適應性。
工作模型
圖1 軟體定義安全工作模型就工作機制而言,SDS可以分解為軟體定義流量、軟體定義資源、軟體定義威脅模型,三個舉措環環相扣,形成一個動態、閉環的工作模型,如圖1所示。
•軟體定義流量:由軟體編程的方式來實現網路流量的細粒度定義及轉發控制管理,通過將目標網路流量轉發到安全設備上,來實現安全設備的邏輯部署和使用。
•軟體定義資源:通過管理中心對安全資源進行統一註冊、池化管理、彈性分配,在虛擬計算環境下,管理中心還要支持虛擬安全設備模板的分發和設備的創建。
•軟體定義威脅模型:對網路流量、網路行為、安全事件等信息進行自動化的採集、分析和挖掘,實現對未知的威脅甚至是一些高級安全威脅的實時分析和建模,之後自動用建模結果指導流量定義,實現一種動態、閉環的安全防護。
層次框架
圖2 軟體定義安全層次框架就具體實現而言,SDS框架可以劃分為4個層次,由底至頂分別為安全資源層、轉發層、控制層、管理編排層,如圖2所示。
•安全資源層:由各種物理形態或虛擬形態的網路安全設備組成,兼容各廠商的產品。這些安全設備接受統一部署、管理、調度,以實現相應的安全功能。
•轉發層:即SDN網路中的網路設施層(Infrastructure Layer),是一類僅需根據控制器指令進行數據包轉發,而無需自主的理解和處理各種網路協定的網路交換設備 [1]。將網路安全設備接入轉發層,通過將流量導入或繞過安全設備,即可實現安全設備的部署和撤銷。
•控制層:能夠根據不同業務的安全策略,從全局的視野對轉發層、安全資源進行集中管理並下發調度命令。
•管理編排層:由側重於安全方面的套用組成,將用戶配置的或運行中實時產生的安全功能需求轉化為具體的安全資源調度策略,並通過控制層予以下發,實現安全防護的智慧型化、自動化、服務化。
特點分析
SDS通過軟體編程的方式調配安全設備資源,實現了一種靈活的網路安全防護框架。與傳統的網路安全防護方法相比,SDS有如下特(優)點:
•安全功能部署靈活簡單
•細粒度區分流量
•安全防護範圍動態調整
•維護網路高可靠性
•安全功能易於創新
支撐技術
採用現有技術已經能夠實現SDS。要全面覆蓋現有的數據中心網路情況,需要採用以下兩類關鍵技術:
•基於SDN/Openflow技術:適用於開源虛擬計算平台上的虛擬網路以及特定物理網路的安全防護。將安全設備接入SDN的轉發層,由套用層程式調用控制層接口來設定轉發層的轉發表,基於這種流量轉發的可定義性來實現靈活的邏輯部署。
•虛擬計算平台接口編排技術:適用於閉源虛擬計算平台上的虛擬網路防護。這類平台上的虛擬網路設備通常採用傳統的自主工作模式,不能如SDN/Openflow技術一樣通過設定轉發表來實現安全設備的部署和撤銷。這裡可以編排平台提供的接口,通過將虛擬安全設備接入或斷出虛擬交換機的方法,實現安全設備的靈活使用。
現狀前景
隨著虛擬化、SDN網路在數據中心快速的發展、完善、套用,傳統網路安全防護方法已經顯示出不適應性。為了滿足網路安全新需求,工業界和學術界開始在SDS方面展開積極的探索。
