一种基于SDN技术的多区域安全云计算架构研究

王刚

 （网神信息技术（北京）股份有限公司)

摘要：文章提出一种在云计算环境中实施云安全防护的方案？方案在原有的业务云之外，

用云技术建设安全云，在业务云中部署安全代理，通过软件定义网络( SDN)技术连接业务云、

安全云和安全代理，并通过安全代理把业务云动态划分为逻辑隔离的多个业务区域、方案不依赖于业务云的实现方式，除初始近乎零配置的安全代理外，不改变业务云的软硬件结构，具有易部署、易维护、安全性更高等特点。

关键词：安全云；软件定义网络；安全即服务

0引言

 云计算以资源的形式向用户提供计算、存储等能力，用户不必关心资源存放在哪里、怎么提供，而是按需使用。因云计算建设、使用、维护成本远低于传统方案而受到用户的欢迎，相关技术与应用一直在快速发展。云计算的安全问题是被关注的焦点问题之一，国内外多家调查机构的调查显示，云计算的安全问题已经成为影响用户采用云计算的首要因素。

 云计算的安全问题大体可分为两类：一类是用户、设备、系统等因部署在云环境中而需要新的防护手段，另一类是由云计算技术引入的新的安全问题。本文不涉及第二类问题，重点讨论如何在云环境中解决第一类问题。传统的安全问题之所以在云环境中有不同的表现，一方面是因为虚拟化等技术增加了安全设备识别云计算环境中的用户、设备、系统等的难度，另—方面是云计算的数据大集中带来了新的安全风险。

 本文提出一种方案，在原有的云计算环境（本文称为业务云）之外，用云技术建设安全云，在业务云中部署安全代理，通过SDN（software defined network，软件定义网络）技术连接业务云、安全云和安全代理，并通过安全代理把业务云动态划分为逻辑隔离的多业务区域（本文称为业务子云），从而把安全从业务云的具体实现技术和部署方案中脱离出来，针对相对稳定的业务逻辑实施防护。同时，不同业务的数据在业务子云之间隔离，提升了安全性，而各业务子云仍可通过安全途径共享整个业务云的资源，享受云计算的优势。

1方案概论

  方案包含如下组成部分：业务云、业务子云、安全代理、安全云和管理中心，其架构如图1所示。

 1)业务子云是业务云的一部分，用于提供一种或多种相关的业务。业务子云之间通过安全代理实现逻辑隔离。

 2)安全代理是实现逻辑隔离的关键设备，包含SDN交换机核心功能和基础安全功能。通过静态或动态配置，安全代理能够对数据报文进行检测，决定数据报文的走向，从而实现业务子云之间的逻辑隔离、基础的安全防护以及把流量导人到安全云中进行处理。

 3)安全云为业务子云和安全代理提供安全服务，实现全面的安全防护功能。此外，通过安全云中的大数据分析引擎提供增强的数据分析服务，实现更高的安全性。安全云也是基于云计算技术搭建，但不要求与业务云采用相同的技术架构。

 4)管理中心是安全代理和安全云的控制器。管理中心理解业务云的业务逻辑和管理员的安全意图，根据业务云的实时状态，动态调整安全代理和安全云的策略，分配相关资源，控制安全云实现安全功能。

 方案采用的业务子云+安全云的多区域安全云计算架构主要具有以下优势：

 1)易部署。安全云与业务云架构互相独立，可在不影响业务的前提下快速部署。

 2)易维护。安全代理接近初始零配置，可在秒级时间完成设备更换、功能更新、规模扩张等维护工作。

 3)更安全。

 4)业务子云之间逻辑隔离，降低业务受到的威胁：

 (1)安全云能够智能感知业务云的变化，在第一时间实施合适的安全策略，避免因策略调整不及时而导致的攻击；

 (2)安伞云更新技术后，整个业务云可立即获得新的防护能力，避免因实施不及时而导致的攻击；

  (3)安全云通过大数据分析引擎能够精准地识别潜在威胁。

 5)更灵活。把安全也作为一种服务，方案可以根据时间、流量、威胁状态等多种条件提供不同的安全防护服务，而不必增加大量的冗余设备。

 6)更稳定。安全云中不存在单点故障，任何设备出现问题后均可切换到其他设备继续提供服务。

2具体实施

2.1业务子云与安全代理

方案不调整业务云的结构，通过增加安全代理实现业务子云逻辑隔离。用符号(S，T)表示业务云中的一条逻辑连接通路，S( Source)、T(Target)都是业务云中具有网络功能的业务主体，如Web服务、Ftp服务、邮件客户端、通用TCP协议端点等。考虑业务云中的全部逻辑连接，分为若干组，每个组中各逻辑连接的业务属性及安全需求具有相似性。对属于同一组的多个连接(Si，Ti)把Si和Ti接入到同一个安全代理的两个网络接口，如图2所示。

安全代理除与Si、Ti连接的接口外，至少还有一个接口用于与管理中心通信，称为接口C。安全代理的简化处理流程描述如下：

 1) Si发起到Ti的访问，报文P途经业务云中的一个安全代理（简称G）；

 2)G第一次收到来自Si的报文P时，没有对(Si，Ti)的处理策略，通过接口C把报文转给管理中心；

 3)管理中心处理报文（实际是管理中心通过安全云提供的策略服务实现），如果合法，则通知G转发报文；

 4)管理中心给G的通知中包含今后对连接(Si，Tf)的处理、发送策略；

 5)G再次收到来自Si的报文时，已存在对(Si，Ti)的处理策略，处理后向Ti转发。

 每个业务子云可接人一个或多个安全代理，各安全代理的接口C通过网络连接到管理中心。

2.2安全代理的实现

 完整的安全代理基于OpenFlow等SDN相关技术、访问控制等安全技术实现，包括3个核心模块：基于流表的流转发模块、安全控制模块和安全通信模块。

流表由一系列<特征，行动，目标>表项构成，流转发模块根据这些表项来处理报文。表1、表2、表3给出了特征、行动、目标的部分信息。特征除包含OpenFlow协议规定的1-4层信息外，还包含了应用层信息和安全信息等扩展，如应用类别、用户信息等，从而可提供更多的安全特性。流表中每个表项的特征部分可以包含表1中任意多项特征的组合，行动部分和目标部分则各自包含表2、表3中的某一项。

 收到的数据报文一旦匹配流表中的某一项，则按照流表表项指定的行动、目标进行处理。典型的行动包括丢弃、转发、安全处理。不匹配流表的数据报文被转发给管理中心处理。在大部分部署中，安全代理的初始配置只包含自身的IP地址、管理中心的IP地址，其余的配置包括流表都是空的，在运行过程中由管理中心动态下发。

 除流表外，安全代理还维护一张由管理中心下发的安全策略表。安全策略表初始也是空的，由管理中心动态管理。安全策略表包括访问控制、流控、加密等策略，安全控制模块根据这些策略对数据报文进行进一步的处理。通常，安全控制模块只包含基础的安全功能，更复杂的功能交给安全云处理。但大型云计算环境中也可以选择在安全代理中实现部分复杂功能。

 安全通信模块负责与管理中心进行安全通信，包括发送状态信息、接收指令、安全转发报文等。

2.3安全云的实现

 安全云通过云计算技术构建，为业务云和安全代理提供安全服务，包括策略服务、检测服务和审计服务等。

2.3.1策略服务

 安全云以服务的方式向安全代理提供策略，这样安全代理不用预先设置策略，极大提升了灵活性。当安全代理G遇到依据自身已有流表和安全策略表无法有效处理的数据报文P时，把P转给管理中心处理，这就构成了一个报文处理请求和一个策略服务请求。管理中心作为请求的统一人口，快速处理后交给安全云做进一步处理。

 安全云收到处理请求后：1）完成对P的各种检测，把检测结果和处理方法返回给G，完成报文处理请求；2）提取与P相关的一系列策略，经过处理后推送给G，更新G的流表和安全策略表，完成策略服务请求。

 安全云需要跟踪已推送的策略，在策略发生变化时及时通知各安全代理，而如果安全代理中的策略超时，则需要重新向管理中心请求。

2.3.2检测服务

 安全云提供四类检测服务。

 1)复杂检测服务。安全代理负责基础安全防护，安全云则负责复杂的安全处理，典型的功能包括入侵防御服务、病毒检测服务等。管理中心在安全代理中下发流表表项<特征，行动，目标>，如果“动”指定为“转发”，“目标”指定为安全云中的防火墙、入侵防御设备、防病毒设备等，则符合“特征”的报文就会转发给安全云进行检测。与在安全代理中实现相同功能相比，安全云的检测服务的优势是按需服务和更灵活。

 2)可缓存检测服务。每个安全代理只保留一小部分经常访问的URL地址的缓存，如1000-10000个条目，这样检测速度快，且在多数情况下能够命中。而安全云保留完整的超过十亿、百亿个条目，当安全代理未检测成功时，由安全云实现完整检测。

 3)资源消耗型检测服务。当安全代理遇到未知可疑流量时，可交给安全云进行沙箱分析、代码审查等耗费大量计算资源的检测，而这些功能在安全代理中实现是不太现实的。

 4)综合检测服务。除资源优化外，安全云还能实现孤立的安全节点不能做到或很难做到的安全检测功能，如APT攻击检测防御。安全代理仅凭数量有限的报文很难对APT做出正确判断，而安全云中集结了大量数据，结合不同时间、不同地点收到的信息，有能力进行复杂的综合分析，从而做出更精准的判断。安全云把分析结果以服务的方式提供给安全代理，让安全代理也具有了综合检测的能力。

2.3.3审计服务

 除数据报文外，安全代理也向安全云发送审计信息。安全云利用自身的计算资源对审计信息进行整理、分析，向业务子云、安全代理、用户等提供审计服务。

2.4管理中心

 管理中心实现四个核心功能：1）配置中心。向系统管理员提供配置接口，保存业务云的业务逻辑、安全代理和安全云的结构、管理员的安全意图等信息。2）控制中心。根据实时运行状态，对安全代理及安全云的策略进行动态配置。3）资源中心。动态调整安全代理及安全云的资源分配，实现资源的有效利用。4）信息中心。向管理员、用户或第三方设备提供业务云、安全云的状态信息。

 管理中心作为方案的中枢，为避免发生单点故障，需要具有极高的可靠性，需要通过冗余部件、主从热备、负载均衡等方式提供高可用性。

3常见问题及典型场景分析

3.1流量的问题

 按照安全代理的工作模式，极端情况下全部流量可能都导入到管理中心或安全云中，对业务云与安全云之间的交换机或路由器构成流量压力。为此，管理中心需妻采取一些策略：

 首先，需要减少导人到管理中心或安全云中的流量。一方面，管理中心理解整个业务云的业务逻辑，管理中心向安全代理推送相关联的策略集，而不是单一的流表，因此能把必须导入管理中心的流量降到百分之一甚至万分之一以下；另一方面，安全代理和安全云分别负责数据报文的转发和安全任务，因此导入到安全云中的可以不是完整的数据报文，而是报文中的关键信息，从而减少流量压力。

 其次，数据报文传输过程中可能会经过多个安全代理。管理中心从第一个安全代理G收到策略服务请求时，有能力计算出数据报文传输过程中需要经过的其他安全代理，从而在向G返回相关策略的同时，也更新后续其他安全代理的策略集，这样其他安全代理在收到报文后，不必把数据报文再次转发给管理中心，而是按已有策略处理即可。管理中心在返回处理结果时还可以附带一个令牌，安全代理在转发报文时携带这个令牌，后续的安全代理接收令牌中的信息，进一步简化处理流程。

 最后，管理中心及安全云应避免单一入口。通过指定不同的入口点，导入到管理中心或安全云的流量可经过不同的路径到达，从而分散交换机或路由器的流量压力。

3.2加密的问题

 管理中心与安全代理之间传输的控制信息如果受到劫持或监听，整个方案的安全性将不存在，因此控制信息的传输需全程加密，由管理中心和安全代理的安全通信模块实现。管理中心与安全代理之间转发的数据报文因跨出了业务子云的范围，其中的敏感信息也需要加密。加密既可以通过安全通信模块来实现，也可以通过部署独立的VPN设备来实现。不同业务子云之间传输的信息，对加密有要求的，应通过部署独立的VPN设备来实现。

3.3虚拟桌面案例分析

云环境下，用户通过互联网连接到云中的虚拟桌面，再通过虚拟桌面访问云中的服务器。这里以此过程为例，说明云防护的过程，如图3所示。

 1)用户U1以远程桌面的方式登录服务器SI上的虚拟机V1；

 2) Ul访问虚拟机V4上的业务Al时，发出的数据报文P被安全代理CI获得；

3) CJI通过网络把P转发给管理中心；

 4)管理中心解析P，确认安全后，根据UI、A1、G1信息推送策略给G1；

 5)管理中心同时向G1发送一个令牌；

 6)管理中心向后续的安全代理G3发送与“U1访问A1”相关的适用于G3的策略；

 7) G1发送令牌以及P，到达0.3，G3已获得令牌，按令牌指示把P发送给V4，到达Al；

 8) U1后续发出数据报文P2，因Crl、G3均已知道P2的处理方式，故直接转发P2给V4，到达Al；

 9) U2以远程桌面的方式登录S2上的V2，通过类似上述过程，Cl及其他安全代理获得相关策略；

 10) -段时间后，UI重新登录，假设被分配到S3上的V3，通过类似上述过程，G2及其他安全代理获得相关策略。G1上与UI相关的策略在一段时间后会自动超时作废。

4结束语

 云的安全问题已经成为制约云计算发展的重要因素之一。本文通过用SDN技术划分多区域、构建安全代理的方式，把云环境中的安全策略迁移等问题从复杂的云计算基础设施建设中分离出来，专注于不频繁变化的业务逻辑，使得大量在非云环境下的技术、产品、方案可以快速应用于云计算环境中，不依赖于业务云的实现方式，不改变业务云的软硬件结构。相较于原业务云方案，本文方案具有易部署、易维护、更安全、更灵活、更稳定等特点，为实现云安全提供了一种可行的思路。

 文中构建安全代理的方式还是比较简单的。一方面，直接利用初始云环境的逻辑连接通路构建安全代理，容易造成安全代理数量过多、单一安全代理利用率太低的问题。另一方面，尽管安全代理和管理中心存在交互，并非孤立的设备，但安全代理之间的信息共享仍然不够。文中提出了使用令牌减少重复检测的思路，但还需要进一步解决令牌产生、传递、使用等方面的诸多问题。此外，额外增加的流量也是一个问题。文中给出的思路能够在多数情况下减轻流量压力，但如何避免极端情况下的流量爆发增长仍然需要进一步的研究。