2023學(xué)年完整公開課版Ruitongdatacenter1安全

第十二章安全目錄1．多維安全模型3.SDN本身的安全問題2．服務(wù)鏈與安全2前言：安全從來是數(shù)據(jù)中心網(wǎng)絡(luò)的核心問題。傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部往往采用分區(qū)部署的方式，或者直接進行物理上的隔離，或者通過VLAN+ACL進行邏輯上的隔離。數(shù)據(jù)中心與外界網(wǎng)絡(luò)的互通則由專業(yè)的防火墻設(shè)備來完成，這些防火墻通常旁掛在匯聚層，集中地把控著數(shù)據(jù)中心流量的出入。云數(shù)據(jù)中心在負載類型和流量模型上有別于傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)，對上述的網(wǎng)絡(luò)安全模型提出了巨大的挑戰(zhàn)。1）虛擬化打破了數(shù)據(jù)中心網(wǎng)絡(luò)的物理邊界，物理分區(qū)的方式再難適應(yīng)大二層網(wǎng)絡(luò)。2）租戶數(shù)量和虛擬機規(guī)模有了數(shù)量級的提升，而且虛擬機還經(jīng)常發(fā)生遷移，因此手動配置VLAN和ACL將是不可接受的，網(wǎng)絡(luò)安全同樣需要自動化。3）東西向流量的爆炸使得數(shù)據(jù)中心內(nèi)部的安全問題更為明顯，集中式部署的防火墻通常會導(dǎo)致東西向流量的路徑迂回。4）硬件防火墻虛擬化能力較弱，難以適應(yīng)云數(shù)據(jù)中心對安全的彈性需求。3云數(shù)據(jù)中心里，網(wǎng)絡(luò)安全的設(shè)計需要變得更加立體，從數(shù)據(jù)中心級別，到租戶級別，到子網(wǎng)級別，再到端口級別，為云中的業(yè)務(wù)提供更為可靠的保障。數(shù)據(jù)中心級別的安全仍然需要在數(shù)據(jù)中心入口集中式地設(shè)置防火墻，由于硬件防火墻不能滿足數(shù)據(jù)中心對安全的彈性需求，因此需要結(jié)合虛擬化技術(shù)來實現(xiàn)防火墻資源的池化。租戶級別的安全可以通過VxLAN等Overlay技術(shù)對不同租戶進行隔離，防止流量在租戶間泄露。子網(wǎng)級別的安全可以通過vRouter實現(xiàn)，也可以通過虛擬化的防火墻（vFW）來實現(xiàn)，不同的租戶需要分配不同的vRouter/vFW實例，以獲得靈活性和通信隔離。端口級別的安全通常被稱為安全組或者微分段（Micro-Segment），需要與虛擬機進行綁定，可在vSwitch上實現(xiàn)，或者將分布式的vFW以inline的方式串在vNIC和vSwitch之間，同時要保證端口安全策略隨虛擬機進行遷移。對應(yīng)于微分段，有的廠商還提出了宏分段（Macro-Segment），以實現(xiàn)虛擬機和裸機間東西向流量的安全。1．多維安全模型4上述安全模型通常需要結(jié)合SDN/NFV進行實現(xiàn)。vRouter/vFW/vIDS/vIPS等VNF實例本身的實現(xiàn)屬于NFV技術(shù)，并且需要依賴于DPDK等加速技術(shù)以保證性能。SDN控制器負責(zé)通過NETCONF或者RESTfulAPI對VNF進行自動化的管理配置，包括對安全組規(guī)則的下發(fā)、安全策略的配置和Session的管理，以及將不同租戶的流量引導(dǎo)到不同的VNF實例中。當(dāng)然，從NFV的視角來看，SDN控制器所做的這些工作大部分也可以通過MANO來實現(xiàn)，這里不去探討兩種視角的區(qū)別。1．多維安全模型5安全組作用于網(wǎng)絡(luò)邊緣，能夠?qū)崿F(xiàn)端口級別的防護，以Iptables為主要的實現(xiàn)機制。SDN控制器可以集中式地分發(fā)或配置Iptables規(guī)則，不過這通常需要在虛擬機和vSwitch間額外地引入一跳，導(dǎo)致增加了一個潛在的故障點，而且會對性能造成很大的影響，因此并不是理想的選擇。如果vSwitch設(shè)備支持OpenFlow（如OVS），那么可以通過流表來匹配L2～L4的字段以實現(xiàn)安全組策略，即相當(dāng)于傳統(tǒng)網(wǎng)絡(luò)中的ACL。不過OpenFlow流表是無狀態(tài)的，如果希望通過OpenFlow實現(xiàn)有狀態(tài)的策略，可以將首包PacketIn給控制器去維護狀態(tài)，但是這種方式會對性能造成很大的影響，還可以使用ovscontrack等擴展功能，在OVS本地完成狀態(tài)的維護，但是目前這種方式的實現(xiàn)還不是很成熟。1．多維安全模型6如果考慮到為OpenFlow做硬件卸載，那么ACL規(guī)則就會被從vSwitch上轉(zhuǎn)移到TOR上，限于TCAM的容量，此時SDN控制器需要對ACL規(guī)則進行適當(dāng)?shù)木酆?，在獲得足夠靈活性的同時要防止ACL規(guī)則的溢出。同時，SDN控制器還需要實時地感知虛擬機的位置，當(dāng)虛擬機發(fā)生遷移時能夠及時地將ACL規(guī)則進行遷移。1．多維安全模型7VNF上策略的配置對于SDN控制器的問題不大，其粒度也往往在于租戶和數(shù)據(jù)中心級別，因此策略的變化不會非常頻繁。Session的管理則會相對復(fù)雜一些，可能需要面臨如下的兩個挑戰(zhàn)。1）Session的同步方式。如果SDN控制器需要實時同步Session的狀態(tài)，那么當(dāng)Session數(shù)量很多時，控制信道上的開銷會很大。如果SDN控制器定期同步Session狀態(tài)，那么SDN控制器中全局視圖的實時性就會受到影響。OpenFlow控制器還支持對于Session的直接控制，此時Session建立的速率以及OpenFlow控制器的壓力的處理可能就會成為瓶頸。因此，Session的同步方式要根據(jù)實際場景和需求來進行選擇。1．多維安全模型82）Session的備份。高可用是防火墻以及其他網(wǎng)絡(luò)高級服務(wù)的基本要求，實現(xiàn)高可用是有代價的，不同層面的高可用代價不同。在路由層面解決防火墻高可用性是最為基本的，其代價較低，但是對于Session的控制能力不強，在切換時很可能會導(dǎo)致業(yè)務(wù)的中斷。如果同時和Session層面進行防火墻狀態(tài)的熱備份，其可用性會很高，但是實現(xiàn)的代價較高。實現(xiàn)熱備份有兩種方式：第一種是通過SDN控制器在VNF實例間進行同步，控制信道壓力大；第二種是直接在VNF實例間進行同步，數(shù)據(jù)平面帶寬的開銷會很大。1．多維安全模型9SDN只能實現(xiàn)網(wǎng)絡(luò)層面的安全，對于數(shù)據(jù)安全問題，只能將流量引入專業(yè)的數(shù)據(jù)分析軟件進行處理。傳統(tǒng)的數(shù)據(jù)中心里，需要部署SPAN或者TAP來實現(xiàn)端口鏡像，SPAN和TAP的實現(xiàn)受限于資源和成本，只能部署在少數(shù)的關(guān)鍵位置。SDN可以動態(tài)地將鏡像點插入網(wǎng)絡(luò)中的任意位置，為虛擬化環(huán)境提供更好的可視性。當(dāng)數(shù)據(jù)分析軟件完成分析后，可以將分析的結(jié)果（如惡意流量的特征）反饋給SDN控制器，然后由SDN控制器下發(fā)安全規(guī)則將惡意流量丟棄，實現(xiàn)“數(shù)據(jù)+應(yīng)用+網(wǎng)絡(luò)”的閉環(huán)安全防護。另外，隨著近幾年大數(shù)據(jù)的發(fā)展與普及，SDN控制器上也得以直接集成一些數(shù)據(jù)分析的功能，能更好地服務(wù)于數(shù)據(jù)中心安全。1．多維安全模型10多租戶環(huán)境中，不同的租戶會獲得不同的VNF實例。SDN控制器需要完成流量的引導(dǎo)，即所謂的服務(wù)技術(shù)。服務(wù)鏈技術(shù)通常在vSwitch上實現(xiàn)，當(dāng)VNF實例采用集中式部署時，服務(wù)鏈的引流策略只需要部署在少數(shù)vSwitch上。當(dāng)VNF實例采用分布式部署，服務(wù)鏈的實現(xiàn)將變得非常復(fù)雜。2．服務(wù)鏈與安全11一般而言，通過服務(wù)鏈將一些安全相關(guān)的VNF串在一起，就可以滿足絕大部分的安全需求。如果需要實現(xiàn)更為專業(yè)的流量安全策略，數(shù)據(jù)中心運營商可以與流量清洗中心進行合作，將那些難以區(qū)分的流量牽引到專業(yè)的清洗中心進行處理。攻擊流量被清洗中心過濾掉，安全的流量被回注到數(shù)據(jù)中心進行服務(wù)。流量的牽引可以在數(shù)據(jù)中心入口通過OpenFlow來完成，也可以在城域網(wǎng)入口通過PBR直接對可疑流量進行牽引，清洗過后的流量再通過專線或者隧道回注到數(shù)據(jù)中心。2．服務(wù)鏈與安全12前面概括地說明了SDN對于數(shù)據(jù)中心安全性的提升。不過在引入SDN后，SDN本身的安全就成了其他網(wǎng)絡(luò)安全的基礎(chǔ)?？刂破魇荢DN的大腦，其安全問題首當(dāng)其沖，最基本的要求是在控制器的南向和北向接口上做認證、加密和數(shù)據(jù)校驗，防止非法接入、竊聽、重放等攻擊形式?？刂破魃夏承┎僮鞯膱?zhí)行需要進行鑒權(quán)，這要求控制器本身能夠支持多租戶或者RBAC（Role-BasedAccessControl），同時對一些性關(guān)鍵的操作需要進行審計，以確保其合規(guī)性。在網(wǎng)絡(luò)部署中，如果SDN控制器需要暴露在公網(wǎng)上，就需要對其采取更為全面的安全措施，如DOS和DDoS防護等。3.SDN本身的安全問題13相比IT層面的安全問題，SDN自身的安全性更加值得深入的探討和研究，尤其是一些新生的網(wǎng)絡(luò)控制協(xié)議。它