軟件定義網絡(Software Defined-Networking,SDN)通過控制和數據平面的分離,重構了網絡工作的機制,提高了網絡運維的效率。Garnter認為,SDN整體技術會在5-10年落地,而一度曾是SDN唯一標準的OpenFlow協議將會在2-5年左右落地。近年來,業界大家談網絡就會提到SDN ,不管是褒或是貶,不可否認的結果是SDN技術已經從概念走向一個個實踐案例。
當云計算剛開始的時候一樣,人們對有很多疑問,如客戶對云計算系統的數據隱私顧慮,虛擬化性能的約束,諸如此類。SDN概念被提出后,業界也同樣出現了很多討論,不可避免的出現了一些觀點。本文就安全維度做一些解釋,希望讀者不會走入誤區。
誤區1: SDN對網絡做了一次天翻地覆的革命,我們的傳統安全設備和安全解決方案無法部署了。
當客戶問售前或銷售同事:“我們部署了SDN環境,你們有沒有相應的安全防護方案”
同事心想:我對SDN不了解,只知道SDN跟傳統組網技術完全不同,所有的路由協議都變了。那我們的安全方案,特別是安全設備的部署和工作模式,是與網絡緊密相關的,所以估計就不能正常工作吧。
其實了解SDN的工作原理后,那我們就不會有此疑問了。SDN雖然改變了網絡架構,將控制平面上移,接管了以往分布在各處網絡設備上的路由協議,取而代之的是集中的拓撲、路由和轉發控制,但網絡設備的數據包處理對外表現并沒有特別的變化。例如原來一個TCP數據包,從交換機某個端口進入,再從另一個端口輸出,這個數據包的頭部和載荷都沒有變化。安全設備作為中間設備(middlebox)或端點設備連接到網絡設備,接收和發送的還是一樣的TCP數據包,所以內部的處理引擎不必有什么特殊的改動,這跟普通服務器連接到SDN網絡中不需要做什么改動一個道理。也就是說,一般情況下,普通安全設備理論上可以直接部署到SDN網絡中,與傳統網絡沒有區別。
?
圖1 數據包經過安全設備本身沒有發生變化
當然需要看到的是有一些SDN控制器只支持路由,而不支持二層交換,這種模式下對工作在二層的IDS、IPS等設備帶來了挑戰。不過一種可行的辦法是在這些設備前面部署一個支持隧道的交換機(如Openvswitch),通過GRE隧道可以通過IP實現與對端連接,這樣SDN控制器可以將數據傳輸到交換機的隧道端口,交換機將數據包的隧道頭解掉后,轉發給安全設備,這樣就實現了二層設備“支持”隧道的功能。
?
圖2 在只提供路由的SDN控制器下,可加一個帶隧道的網絡設備做代理
從本質上看,SDN從功能上并沒有做出革命性的改變,只是實現了自動化和高效率,理解了這一點,就應明白安全設備部署到SDN網絡是完全可信的。
誤區2:既然SDN只是針對網絡的革命,跟安全沒什么太大的關系,安全廠商不需要關心。
我們在解釋了誤區1時提到,SDN是網絡世界的革命,不會對安全設備和安全解決方案的部署造成太大的困擾,那有同學就會下一個結論,就是雙方互不相擾,我也不用關心SDN技術的細節。
這個誤區有兩點需要闡明:
(1) SDN本身有安全問題,SDN應用和SDN控制器的可用性、實現方式,南北向協議的安全性等,都可能有安全隱患,所以保護SDN體系各組件就是安全機制所需要考慮的問題。這是一個很大的話題了,后續可以繼續展開講。
(2) SDN對網絡流量靈活的操作,SDN控制器具有全局網絡的視圖,這些對安全管理和控制系統,都是非常大的利好。如果能借助SDN對整體網絡的實時、全局洞察力和控制力,安全應用就能很靈活的部署和調度安全資源,結合軟件定義安全架構,就能建立非常強大的安全運營能力和應急響應機制。
比如在流量可視化方面,可以借助xFlow實現基于流量的異常檢測,可適用于DDoS攻擊的檢測和企業內網APT攻擊的發現。 在流量調度方面,可借助快速調整路由和轉發規則的能力,實現多個安全設備按需防護的服務鏈,異常流量的清洗;借助細粒度流控制能力,實現多個安全設備靈活堆疊的負載均衡方案;借助網絡設備天然的數據轉發平面,實現2-4層的訪問控制,諸如此類。
(3)SDN本身是一種敏捷的網絡運營理念,對目前的安全機制和安全體系都有很好的借鑒意義。軟件定義安全的概念在業界也越來越引起重視,當然這又是一個非常大的話題,可參考《2015軟件定義安全SDS白皮書》。
可以說,安全是SDN的重要應用,目前可以看到大部分SDN控制器廠商,都樂見與安全廠商的合作,推出可展示利用SDN技術加速安全防護的案例。
誤區3:SDN與安全結合,目前還沒有什么安全方案的實際案例。
既然我們解釋了誤區2,誤區3應該不是什么大問題。目前大家看到SDN和安全結合的案例少,不是因為兩者缺乏化學反應,只是因為SDN技術的發展尚待時日,君不見SDN本身的成功案例還比較少么。不過既然VMWare都宣布,NSX的發展已經超過了當年的Vsphere,Garnter去年預測SDN技術將在5-10年左右落地(OpenFlow將在2-5年落地),我們相信SDN在安全領域的應用會更早。 一個例子是SDN在抗拒絕服務的應用,因為流量型拒絕服務在流量特征上有明顯的模式,并且可以通過流量牽引的方式進行清洗,所以SDN技術有了用武之地。業界有不少友商正在做這方面的嘗試。
Radware在開源的SDN控制器平臺Opendaylight(ODL)上集成了一套抗DDoS的模塊和應用,稱為Defense4ALL。其架構如圖所示,主要有兩部分:控制器中的安全擴展,包括如接收到流信息后的統計服務,做清洗的流量重定向服務;獨立的北向安全應用,包括如異常檢測引擎和流量清洗的管理器。
?
圖3 Defense4ALL 架構
Brocade公司提出的實時DDoS緩解的SDN分析方案(Real-Time SDN Analytics for DDoS Mitigation)獲得了ONS(Open Networking Summits)2014 IDOL,這是一個了不起的獎項。因為ONS是業界在SDN和NFV領域最有影響力的會議,而ONS IDOL獎最體現能推動該行業發展的方向。
云計算系統通過虛擬化技術,可以在相當短的時間內準備好計算、存儲和網絡資源,而SDN技術可以靈活地將流量調整,一起實現業務的上線。所以SDN在云計算和虛擬化場景中,有天然的優勢,所以如Openstack+Opendaylight,以及VMWare Vsphere+NSX,都是上述場景的應用。但如果只看到這些,就得出SDN只適用于云計算場景,那就有所偏頗了。 先不說誤解3中的抗D需求絕大多數都是在傳統環境物理網絡中,就說我們做的軟件定義的BYOD安全防護體系就是一個很好的例子。通過硬件和軟件SDN交換機結合,可以在傳統IT環境中,靈活部署無線接入,實現統一身份認證和基于身份的訪問控制,比傳統的NAC方式更加靈活。在ShadowIT和混合IT環境的企業有非常好的管理效果。
?
圖4 BYOD環境下的訪問控制,中間SDN交換機為硬件設備,而右側OVS bridge則為軟件設備
結論
總而言之,目前SDN的發展速度很快,一方面,當前安全機制可在SDN環境中正常部署;另一方面,SDN技術也給安全防護機制帶來了很大的想象空間。希望本文能給大家帶來幫助,在新型網絡環境中討論安全方案的時候,不會心存顧慮,大膽嘗試。
評論
查看更多