前言:尋找寫作靈感?中文期刊網(wǎng)用心挑選的SDN和NFV技術(shù)的網(wǎng)絡(luò)安全架構(gòu),希望能為您的閱讀和創(chuàng)作帶來靈感,歡迎大家閱讀并分享。
摘要:基于軟件定義網(wǎng)絡(luò)(SDN)和網(wǎng)絡(luò)功能虛擬化(NFV)的新型網(wǎng)絡(luò)取代傳統(tǒng)網(wǎng)絡(luò)勢在必行,因此研究基于新網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全體系結(jié)構(gòu)迫在眉睫。介紹了一種開放且通用的軟件定義的SDS安全架構(gòu),它可以為安全服務(wù)、安全設(shè)備和安全管理提供一個開放的接口,并且支持不同的網(wǎng)絡(luò)安全供應(yīng)商部署其安全產(chǎn)品和安全解決方案。此外,可以實現(xiàn)虛擬安全功能VSF的部署、安排和定制,并且實現(xiàn)了細(xì)粒度的數(shù)據(jù)流控制和安全策略管理。最后,還分析了系統(tǒng)不同部分易受攻擊的不同類型的攻擊。防御者可以通過更改服務(wù)器端安全性配置方案來防備網(wǎng)絡(luò)攻擊。
關(guān)鍵詞:網(wǎng)絡(luò)功能虛擬化;軟件定義的網(wǎng)絡(luò);虛擬安全功能;軟件定義的安全;安全服務(wù)功能路徑
0引言
新一代的網(wǎng)絡(luò)主要基于軟件定義網(wǎng)絡(luò)(SDN)和網(wǎng)絡(luò)功能虛擬化(NFV)實現(xiàn)[1-2]。SDN將網(wǎng)絡(luò)設(shè)備的控制層和數(shù)據(jù)層分開。網(wǎng)絡(luò)不僅可以完成數(shù)據(jù)傳輸?shù)娜蝿?wù),而且可以成為一種靈活的資源,經(jīng)過虛擬化后可以作為計算和存儲資源進(jìn)行部署。而NFV使軟件和硬件脫鉤,因此網(wǎng)絡(luò)設(shè)備功能不再依賴于特殊的硬件。基于此的虛擬化技術(shù)和功能抽象實現(xiàn)了基于實際業(yè)務(wù)需求的網(wǎng)絡(luò)功能軟件、新業(yè)務(wù)的快速發(fā)展和部署、自動部署、彈性擴(kuò)展、故障隔離自我修復(fù)等功能。2015年,綠盟科技有限公司的軟件定義安全系統(tǒng)支持apt、云Web安全、自適應(yīng)訪問控制、信息混合環(huán)境中的態(tài)勢感知和其他安全應(yīng)用[3]。華為的SNC控制器可以提供端到端的完整解決方案,以幫助運(yùn)營商快速部署SDN網(wǎng)絡(luò),減少OPEX,快速部署新服務(wù)并加速業(yè)務(wù)創(chuàng)新[4]。但是,目前所提出的封閉系統(tǒng)仍然是單一的安全產(chǎn)品和解決方案,缺乏情報威脅分析和處理,無法提供真正的定制產(chǎn)品,并且檢測和深度數(shù)據(jù)挖掘機(jī)制無法找到真正的威脅。本文提出了一種標(biāo)準(zhǔn)且開源的、用戶定義的新型網(wǎng)絡(luò)架構(gòu),該架構(gòu)可以為許多安全產(chǎn)品和服務(wù)提供商提供一個可協(xié)調(diào)、可互操作、可控制的安全平臺,并為軟件定義安全提供了參考體系結(jié)構(gòu)和藍(lán)圖。
1基于SDN/NFV技術(shù)的軟件定義安全體系架構(gòu)設(shè)計
SDS基礎(chǔ)架構(gòu)圖,如圖1所示。整體上分為3個層次:安全應(yīng)用層、安全控制層和基礎(chǔ)設(shè)施。其中,安全應(yīng)用層即為安全App所在層次,App通過接口實現(xiàn)對安全控制和有關(guān)操作。基礎(chǔ)設(shè)施層包括了云平臺以及其相關(guān)的資源集合(主要是虛擬機(jī))、安全資源池(CPU、內(nèi)存、帶寬等軟硬件資源)。安全控制層是SDS架構(gòu)的核心部分,下面將對該部分展開詳細(xì)介紹。基于NFV技術(shù)的虛擬安全資源池:基于NFV的思想,我們將安全產(chǎn)品的硬件與軟件分開,并在虛擬化池環(huán)境中運(yùn)行它。利用虛擬交換機(jī)實現(xiàn)導(dǎo)流平臺導(dǎo)流:利用部署在云環(huán)境中的分流虛擬機(jī),將流量導(dǎo)出到云外網(wǎng)絡(luò)安全控制層的虛擬交換機(jī)中。利用虛擬路由器實現(xiàn)流量分類:網(wǎng)絡(luò)安全控制層的虛擬路由管理器可以根據(jù)應(yīng)用層發(fā)布的流量牽引策略設(shè)計流量分類策略,然后將流量分類策略發(fā)送給流量分類虛擬路由器。虛擬安全功能(VSF):VSF用來描述網(wǎng)絡(luò)中處理流量的安全功能,如防火墻、入侵檢測系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)、負(fù)載平衡等。安全服務(wù)功能鏈(SSFC):安全服務(wù)功能鏈?zhǔn)菍⑻摂M安全功能(如防火墻、入侵檢測系統(tǒng)、代理、入侵防御系統(tǒng)等)以鏈的形式連接起來,用于流量分類[5]。安全服務(wù)功能路徑(SSFP):SSFP是SSFC中包/幀從源到目標(biāo)的邏輯路徑經(jīng)過細(xì)粒度策略和操作約束后的結(jié)果。SSFP的優(yōu)點是SSFC中的VSF模塊可以按照粒度策略和操作約束執(zhí)行,而不需要改變SSFC的拓?fù)浣Y(jié)構(gòu)[6]。網(wǎng)絡(luò)安全策略管理和流量牽引策略管理:在本系統(tǒng)中,PGA[7-8]負(fù)責(zé)安全策略管理模塊和流量牽引策略管理。在大型企業(yè)網(wǎng)的數(shù)據(jù)測試中,PGA表現(xiàn)出良好的數(shù)據(jù)處理能力和良好的時延,驗證了PGA的可行性[9]。虛擬安全功能管理器(VSFM):主要是負(fù)責(zé)虛擬安全功能的相關(guān)資源和生命周期管理。虛擬安全基礎(chǔ)設(shè)施管理器(VSIM):虛擬安全基礎(chǔ)設(shè)施(VSI)包括虛擬化層(如docker和虛擬交換機(jī))[10]和物理資源(如服務(wù)器、交換機(jī)和計算、存儲和網(wǎng)絡(luò)資源)。而VSIM的主要功能是管理和監(jiān)控整個基礎(chǔ)設(shè)施資源(包括硬件資源和虛擬資源)。虛擬安全功能適配器(VSFO):主要功能是創(chuàng)建虛擬網(wǎng)絡(luò)和網(wǎng)絡(luò)安全服務(wù)、監(jiān)控虛擬網(wǎng)絡(luò)安全服務(wù)、編排虛擬網(wǎng)絡(luò)安全功能拓?fù)洹SFs和整體資源管理,它是整個SDS的控制核心結(jié)構(gòu)。應(yīng)用層:安全控制層為應(yīng)用層用戶提供編程接口,用戶可以控制網(wǎng)絡(luò)。
2系統(tǒng)安全分析
系統(tǒng)不同部分的安全問題羅列如表1所示。假設(shè)系統(tǒng)包括了P個漏洞組,每個組np個成員;每個易受攻擊的組中的漏洞表述為Vp:{vp,1,vp,2,…….,vp,np};每個漏洞組的用戶配置描述為Cp:{cp,1,cp,2,…….,cp,mp};使用映射函數(shù)為πp,它將各個系統(tǒng)的配置和一組漏洞相關(guān)聯(lián),其表述為πp:Cp→2vp。在圖2中,有6個漏洞組:p=1,2,3,4,5,6。每個漏洞組有2-4個漏洞。對于漏洞組1有4個可能的靈活性配置:C1:{c1,1,c1,2,c1,3,c1,4}。如圖2,配置方案我們選擇c1,4,其向攻擊者暴露了2個系統(tǒng)漏洞π1(c1,4)={v1,1,v1,2}。在配置方案{c1,1,c2,4,c3,5,c4,8,c5,2,c6,3}中,攻擊者可以成功的通過漏洞完成攻擊,如{v1,1,v2,1,v3,1,v4,1,v5,1,v6,2}。如果系統(tǒng)配置方案保持靜態(tài),攻擊者總有一刻可能攻擊成功。為了避免上述情況,防御者可以通過更改配置方案使得攻擊者基于原始網(wǎng)絡(luò)配置的攻擊計劃在新配置下失敗。防御者可以隨機(jī)配置系統(tǒng)中所有易受攻擊的組件,以抵抗多層次攻擊。
3總結(jié)
正如文獻(xiàn)[5]的作者所說,軟件定義安全只是一種思考。也就是說,當(dāng)分析不同SDS產(chǎn)品的不同實現(xiàn)時,我們不應(yīng)該深究細(xì)節(jié),而應(yīng)該思考“如何提高這種架構(gòu)的整體安全保護(hù)效率”。國內(nèi)外很多廠商都推出了自己的SDS產(chǎn)品,我們需要一個類似于網(wǎng)絡(luò)安全操作系統(tǒng)的開放平臺。
作者:曹鑫 范國瑨 王昊辰 單位:國網(wǎng)陜西省電力公司西咸新區(qū)供電公司