王燚

【摘? 要】基于SDN解決云計(jì)算安全問(wèn)題是未來(lái)數(shù)據(jù)中心網(wǎng)絡(luò)發(fā)展的趨勢(shì)。隨著SDN網(wǎng)絡(luò)規(guī)模的擴(kuò)展，單一的控制器結(jié)構(gòu)的SDN網(wǎng)路處理能力受限，從而面臨著各種風(fēng)險(xiǎn)。論文對(duì)如何構(gòu)建安全的SDN體系架構(gòu)以解決云計(jì)算安全存在的問(wèn)題進(jìn)行了討論。以華為和戴爾的解決方案為例，深入探究了企業(yè)應(yīng)該如何安全有效地部署SDN網(wǎng)絡(luò)，以及未來(lái)SDN的發(fā)展趨勢(shì)。最后期冀能夠構(gòu)建一個(gè)安全、健康、和諧、穩(wěn)定的移動(dòng)互聯(lián)網(wǎng)及大數(shù)據(jù)時(shí)代。

【Abstract】Solving the problem of cloud computing security based on SDN is the trend of future data center network development. With the expansion of the scale of SDN， the SDN with a single controller structure is limited in processing capacity， so it is faced with various risks. This paper discusses how to build a secure SDN architecture to solve the problems existing in cloud computing security. Taking solutions of Huawei and Dell as examples， this paper deeply explores how enterprises should deploy SDN network safely and effectively， as well as the development trend of SDN in the future. Finally， we hope to build a safe， healthy， harmonious and stable era of mobile internet and big data.

【關(guān)鍵詞】軟件定義網(wǎng)絡(luò)（SDN）;云計(jì)算;控制器;解決方案

【Keywords】software defined network （SDN）; cloud computing; controller; solutions

【中圖分類號(hào)】TP393.0? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文獻(xiàn)標(biāo)志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號(hào)】1673-1069（2021）10-0122-03

1 引言

云計(jì)算的安全問(wèn)題自從云計(jì)算存在那天開(kāi)始就一直備受關(guān)注。云計(jì)算是一種在構(gòu)建上非常具有彈性，依賴于互聯(lián)網(wǎng)并且以網(wǎng)絡(luò)技術(shù)、分布式計(jì)算為基礎(chǔ)的計(jì)算方式，然而，任何一種依賴互聯(lián)網(wǎng)的應(yīng)用都具有很大的風(fēng)險(xiǎn)，當(dāng)然云計(jì)算也不例外。近年來(lái)，基于SDN的云計(jì)算安全解決方案成為解決云計(jì)算安全問(wèn)題的主流及未來(lái)發(fā)展趨勢(shì)。

2 云數(shù)據(jù)帶來(lái)的安全威脅

云計(jì)算（Cloud Computing）是一種新興的并行計(jì)算模式，由遠(yuǎn)程數(shù)據(jù)中心中的服務(wù)器和電腦組成，可以為用戶提供各種資源和服務(wù)。云計(jì)算由硬件層（Hardware）、基礎(chǔ)設(shè)施層（Infrastructure）、平臺(tái)層（Platform）和應(yīng)用層（Application）組成（見(jiàn)表1）。硬件層的具體載體為數(shù)據(jù)中心，主要負(fù)責(zé)利用各種資源技術(shù)管理調(diào)用底層的數(shù)據(jù)資源;平臺(tái)層主要包括操作系統(tǒng)和應(yīng)用框架;應(yīng)用層則直接與用戶進(jìn)行交流。

2.1 十二大云計(jì)算威脅

隨著越來(lái)越多應(yīng)用程序和數(shù)據(jù)的云端移動(dòng)化，信息安全問(wèn)題也接踵而至，云計(jì)算在帶來(lái)數(shù)據(jù)共享的同時(shí)也帶來(lái)了新的安全威脅和挑戰(zhàn)。Gartner公司副總裁兼云計(jì)算安全負(fù)責(zé)人Jay Heiser表示：“公共云的使用量正在快速增長(zhǎng)，因此不可避免地導(dǎo)致更多的敏感內(nèi)容可能存在風(fēng)險(xiǎn)?！?/p>

然而，保護(hù)這些云數(shù)據(jù)的主要任務(wù)正在從云計(jì)算提供商過(guò)渡到云計(jì)算用戶本身，因此，為讓企業(yè)能夠作出更正確的決策，云計(jì)算安全聯(lián)盟（CSA）發(fā)布了《十二大云計(jì)算頂級(jí)威脅：行業(yè)洞察報(bào)告》。這12個(gè)主要的安全問(wèn)題分別是：數(shù)據(jù)泄露;身份、憑證和訪問(wèn)管理不足;不安全的接口和應(yīng)用程序編程接口（API）;系統(tǒng)漏洞;賬戶劫持;惡意內(nèi)部人士;高級(jí)持續(xù)威脅（APT）;數(shù)據(jù)丟失;盡職調(diào)查不足;濫用和惡意使用云服務(wù);拒絕服務(wù)（DoS）;共享技術(shù)漏洞。雖然企業(yè)可以提供一些補(bǔ)丁來(lái)暫時(shí)消除威脅，但是這些安全隱患對(duì)于云計(jì)算服務(wù)提供上來(lái)說(shuō)仍然是一個(gè)非常嚴(yán)重的問(wèn)題，仍然還會(huì)有最新的漏洞無(wú)法修補(bǔ)，這就要求提供商們找尋新的應(yīng)對(duì)措施。

2.2 SDN發(fā)展背景及與云計(jì)算之間的關(guān)系

云計(jì)算所儲(chǔ)存的用戶數(shù)據(jù)是完全暴露在提供服務(wù)的企業(yè)面前的，一旦泄露，將會(huì)對(duì)用戶造成極大的損失和威脅，這種情況令人十分擔(dān)憂。因此，在這種環(huán)境下軟件定義網(wǎng)絡(luò)（SDN）體系結(jié)構(gòu)應(yīng)運(yùn)而生。

3 如何構(gòu)建安全的SDN及安全強(qiáng)化方案

3.1 SDN體系架構(gòu)

SDN的核心訴求為通過(guò)自動(dòng)化業(yè)務(wù)簡(jiǎn)化網(wǎng)絡(luò)運(yùn)維，其目的在于實(shí)現(xiàn)網(wǎng)絡(luò)流量的靈活控制，使網(wǎng)絡(luò)管理更加智能高效。現(xiàn)在企業(yè)使用的大多數(shù)SDN體系架構(gòu)分為3層（見(jiàn)圖1）：底層是轉(zhuǎn)發(fā)層——支持SDN功能的網(wǎng)絡(luò)基礎(chǔ)設(shè)施;中間層是控制層——在SDN中擁有網(wǎng)絡(luò)核心控制權(quán);上層是應(yīng)用層——包括SDN配置管理的服務(wù)和應(yīng)用程序。在這個(gè)體系構(gòu)架中，強(qiáng)調(diào)了OpenFlow在控制層的重要性，如圖2的結(jié)構(gòu)所示，這種架構(gòu)大大降低了管理的復(fù)雜度，增強(qiáng)了網(wǎng)絡(luò)的可靠性和安全性，實(shí)現(xiàn)更細(xì)致的網(wǎng)絡(luò)控制。

3.2 SDN面臨的新的挑戰(zhàn)

①數(shù)據(jù)層的攻擊：攻擊目標(biāo)可能為某個(gè)節(jié)點(diǎn)，例如，OF交換機(jī)或者接入SDN交換機(jī)的主機(jī)。攻擊者在未通過(guò)網(wǎng)絡(luò)訪問(wèn)權(quán)限的情況下攻擊運(yùn)行狀態(tài)不穩(wěn)的某個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)。

②控制層的攻擊：這種攻擊是最常見(jiàn)且最明顯的攻擊目標(biāo)，攻擊者可能會(huì)向控制器發(fā)起資源消耗攻擊，使控制器處理消息變得緩慢，最終導(dǎo)致網(wǎng)絡(luò)崩潰從而繞過(guò)控制器所部署的安全檢測(cè)。

③應(yīng)用層的攻擊：攻擊者利用公開(kāi)但沒(méi)有認(rèn)證機(jī)制的北向接口協(xié)議，從而實(shí)現(xiàn)通過(guò)控制器來(lái)控制SDN網(wǎng)絡(luò)的通信并且部署自己的網(wǎng)絡(luò)設(shè)置。

3.3 SDN構(gòu)架方案

3.3.1 基于專用接口的方案

此方案是為了構(gòu)建一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境，其目的是讓網(wǎng)絡(luò)更加靈活、更適應(yīng)新的網(wǎng)絡(luò)和趨勢(shì)。onePK為此戰(zhàn)略的重要組成部分，能夠深入訪問(wèn)各種操作系統(tǒng)和硬件平臺(tái)。其最大的優(yōu)點(diǎn)是對(duì)網(wǎng)絡(luò)部署的改動(dòng)小，實(shí)時(shí)操作方便快捷。

3.3.2 基于疊加網(wǎng)絡(luò)的方案

大部分的SDN參考架構(gòu)如圖3所示，其中疊加網(wǎng)絡(luò)的典型性代表是虛擬局域網(wǎng)（VLAN），但這一方案并不是最近才提出的，因此，為滿足云計(jì)算等新業(yè)務(wù)的要求，Nicira公司提出了網(wǎng)絡(luò)虛擬化平臺(tái)（NVP）方案（見(jiàn)圖4）。網(wǎng)絡(luò)虛擬化平臺(tái)很好地實(shí)現(xiàn)了網(wǎng)絡(luò)的虛擬化并與虛擬化管理相互整合，使網(wǎng)絡(luò)資源的按需調(diào)度更加便捷。

3.3.3 基于開(kāi)放協(xié)議的方案

此方案為當(dāng)前SDN實(shí)現(xiàn)的主流方案，其基于開(kāi)放式網(wǎng)絡(luò)協(xié)議并實(shí)現(xiàn)了控制平臺(tái)與轉(zhuǎn)發(fā)平臺(tái)的分離，獲得了很多業(yè)界支持，相關(guān)技術(shù)發(fā)展迅速，如ONF SDN和ETSI NFV都為此類方案。

3.4 SDN構(gòu)架的安全強(qiáng)化

由此我們可以了解到控制層和數(shù)據(jù)層的分離保證了整個(gè)網(wǎng)絡(luò)邏輯上的統(tǒng)一管理和控制。所以我們必須加強(qiáng)對(duì)3層的安全強(qiáng)化。

3.4.1 數(shù)據(jù)層的安全強(qiáng)化

典型的SDN系統(tǒng)都是基于x86的處理器并且使用TLS協(xié)議來(lái)保障平面的安全。企業(yè)通常在網(wǎng)絡(luò)設(shè)備代理和控制器之間使用TLS協(xié)議來(lái)建立認(rèn)證加密機(jī)制，避免網(wǎng)絡(luò)嗅探和南向接口的欺騙通信。

3.4.2 控制層的安全強(qiáng)化

為阻止在SDN網(wǎng)絡(luò)中出現(xiàn)沒(méi)有經(jīng)過(guò)授權(quán)就訪問(wèn)的行為，系統(tǒng)應(yīng)允許管理員通過(guò)安全認(rèn)證來(lái)登錄SDN控制器，在各個(gè)策略中必須要確保管理員的存在。如果一個(gè)控制器受到了攻擊，那么它必須要有一個(gè)高可靠性的構(gòu)架。如若攻擊者的攻擊方式為隱形攻擊的話，那么被攻擊的目標(biāo)極易不被發(fā)現(xiàn)。

3.4.3 應(yīng)用層的安全強(qiáng)化

為防止這種情況的發(fā)生，需要在應(yīng)用層進(jìn)行另一個(gè)保護(hù)措施——使用帶外數(shù)據(jù)網(wǎng)絡(luò)來(lái)控制流量傳輸。需要在數(shù)據(jù)中心部署一個(gè)帶外數(shù)據(jù)網(wǎng)絡(luò)，并且需要給北向接口的應(yīng)用程序發(fā)出請(qǐng)求SDN資源的安全編碼，使那些在應(yīng)用程序、控制器、服務(wù)之間的數(shù)據(jù)請(qǐng)求都有能對(duì)應(yīng)的各自的加密認(rèn)證方式，以此來(lái)確保數(shù)據(jù)和通信的安全，這種部署比在企業(yè)廣域網(wǎng)中進(jìn)行部署成本更低且更加簡(jiǎn)單便捷。

4 SDN如何解決云計(jì)算存在的安全威脅

4.1 華為云數(shù)據(jù)中心SDN安全解決方法

在華為全聯(lián)大會(huì)上，華為發(fā)布了這一安全解決方案。華為安全網(wǎng)關(guān)領(lǐng)域總經(jīng)理劉立柱是這樣形容的：“這個(gè)云數(shù)據(jù)中心安全解決方案會(huì)把它感知到的威脅送到智能分析系統(tǒng)，它是一個(gè)運(yùn)用大數(shù)據(jù)系統(tǒng)構(gòu)造的自動(dòng)分析系統(tǒng)，這個(gè)大腦分析判斷出機(jī)體是否得病、得了什么病，再把這個(gè)結(jié)果反饋到SDN軟件定義的控制器，控制器實(shí)時(shí)做出動(dòng)態(tài)響應(yīng)?！?/p>

4.2 戴爾靈動(dòng)網(wǎng)絡(luò)解決方案支持SDN

在2013中國(guó)SDN大會(huì)上，戴爾網(wǎng)絡(luò)事業(yè)部執(zhí)行總監(jiān)表示SDN的愿景不僅僅是軟件定義網(wǎng)絡(luò)、軟件定義互聯(lián)，更應(yīng)該是軟件定義企業(yè)。

戴爾針對(duì)這一愿景推出了戴爾靈動(dòng)基礎(chǔ)架構(gòu)，這個(gè)架構(gòu)將服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、安全軟件無(wú)縫整合在一起，使他們以同一個(gè)政策運(yùn)行并作為一個(gè)統(tǒng)一體管理。同時(shí)這個(gè)架構(gòu)可與舊設(shè)備或其他廠商兼容。

采用戴爾靈動(dòng)基礎(chǔ)架構(gòu)的基于SDN的Fabric十分簡(jiǎn)單、靈活及便于編程，無(wú)需人力的資源配置，無(wú)需逐臺(tái)分配交換機(jī)，擁有集中化的控制面板，使整個(gè)網(wǎng)絡(luò)架構(gòu)的管理和控制更加統(tǒng)一靈動(dòng)。

5 企業(yè)怎樣部署SDN

隨著云計(jì)算數(shù)據(jù)中心建設(shè)規(guī)模的壯大，為更好地滿足業(yè)務(wù)需求，在數(shù)據(jù)中心應(yīng)用SDN技術(shù)組網(wǎng)成為各國(guó)運(yùn)營(yíng)商普遍的解決方案。

5.1 公有云大規(guī)模部署SDN

在企業(yè)的大規(guī)模部署時(shí)，其云平臺(tái)通常是OpenStack云平臺(tái)，其目標(biāo)是結(jié)合SDN實(shí)現(xiàn)業(yè)務(wù)的自動(dòng)化發(fā)放功能。企業(yè)根據(jù)用戶在云平臺(tái)上的邏輯組網(wǎng)及用戶的各種需求，設(shè)計(jì)在SDN控制器下自動(dòng)調(diào)控各個(gè)環(huán)節(jié)下的配置，這些配置使用戶在使用時(shí)感到更加方便的同時(shí)也確保了安全性，也使部署的平臺(tái)及其業(yè)務(wù)能力具有計(jì)算彈性、網(wǎng)絡(luò)彈性、負(fù)載均衡彈性、安全彈性等特點(diǎn)。

5.2 企業(yè)大規(guī)模部署SDN時(shí)需注意的方面

①根據(jù)不同數(shù)據(jù)中心場(chǎng)景部署不同的架構(gòu)。例如，underlay架構(gòu)適用于規(guī)模較小的數(shù)據(jù)中心，由硬件交換機(jī)負(fù)責(zé)虛擬機(jī)的通信。因此需要重新審視應(yīng)用程序編碼標(biāo)準(zhǔn)，確保應(yīng)用程序的安全性。

②根據(jù)不同需求考慮SDN控制器的工作方式和設(shè)備管理能力。SDN對(duì)不同的虛擬平臺(tái)支持的成熟度不同，例如，KVM和VMware具備商用條件。

③統(tǒng)籌考慮SDN解決方案與虛擬平臺(tái)、負(fù)載均衡和防火墻的兼容性?？紤]部署vLB/Vfw有利于實(shí)現(xiàn)不同租戶的業(yè)務(wù)隔離。

④SDN的云安全問(wèn)題。可以知道的是，現(xiàn)在大部分的安全產(chǎn)品的部署方式為把安全產(chǎn)品都部署在南北向，這種南北向的部署方式具有一個(gè)很大的弊端——極易忽略一些非常嚴(yán)重的安全問(wèn)題。解決這一弊端的方法是對(duì)南北向的流量進(jìn)行處理監(jiān)控;對(duì)東西向可能接近租戶的業(yè)務(wù)和虛擬機(jī)的流量進(jìn)行處理監(jiān)控;在虛擬化層面引入流量，形成一個(gè)監(jiān)控網(wǎng)絡(luò)。

6 結(jié)語(yǔ)

云計(jì)算與互聯(lián)網(wǎng)相互融合、相互促進(jìn)，給人們生活帶來(lái)便捷和利益的同時(shí)，也讓我們面臨著各種安全泄露問(wèn)題。SDN作為當(dāng)前網(wǎng)絡(luò)領(lǐng)域中最熱門(mén)最具發(fā)展前途的技術(shù)之一，具有許多前所未有的優(yōu)勢(shì)，使網(wǎng)絡(luò)能被更加靈活地控制，優(yōu)化了網(wǎng)絡(luò)信息并提升了網(wǎng)絡(luò)性能，極具發(fā)展?jié)摿Α?/p>

但同時(shí)我們?nèi)匀幻媾R著數(shù)據(jù)層和控制層關(guān)鍵技術(shù)不足的難題，如SDN的擴(kuò)展性能、規(guī)則部署與跨域通信等。因此，更好地發(fā)揮SDN的各項(xiàng)優(yōu)勢(shì)，避免不必要的安全風(fēng)險(xiǎn)是未來(lái)SDN發(fā)展的主要目的，只有這樣才能構(gòu)建一個(gè)安全、健康、和諧、穩(wěn)定的移動(dòng)互聯(lián)網(wǎng)及大數(shù)據(jù)時(shí)代。

【參考文獻(xiàn)】

【1】孟強(qiáng).基于云計(jì)算的移動(dòng)互聯(lián)網(wǎng)安全問(wèn)題[J].電子商務(wù)，2016（03）：42-43.

【2】張朝昆，崔勇，唐翯翯，等.軟件定義網(wǎng)絡(luò)（SDN）研究進(jìn)展[J].軟件學(xué)報(bào)，2015，26（01）：62-81.

【3】月球，劉芹，楊小樂(lè)，等.公有云大規(guī)模資源池部署SDN的應(yīng)用[J].電信科學(xué)，2018，34（06）：115-122.