2023學(xué)年完整公開課版Ruitongdatacenter1安全

第十二章安全目錄1．多維安全模型3.SDN本身的安全問題2．服務(wù)鏈與安全2前言：安全從來是數(shù)據(jù)中心網(wǎng)絡(luò)的核心問題。傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部往往采用分區(qū)部署的方式，或者直接進(jìn)行物理上的隔離，或者通過VLAN+ACL進(jìn)行邏輯上的隔離。數(shù)據(jù)中心與外界網(wǎng)絡(luò)的互通則由專業(yè)的防火墻設(shè)備來完成，這些防火墻通常旁掛在匯聚層，集中地把控著數(shù)據(jù)中心流量的出入。云數(shù)據(jù)中心在負(fù)載類型和流量模型上有別于傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)，對(duì)上述的網(wǎng)絡(luò)安全模型提出了巨大的挑戰(zhàn)。1）虛擬化打破了數(shù)據(jù)中心網(wǎng)絡(luò)的物理邊界，物理分區(qū)的方式再難適應(yīng)大二層網(wǎng)絡(luò)。2）租戶數(shù)量和虛擬機(jī)規(guī)模有了數(shù)量級(jí)的提升，而且虛擬機(jī)還經(jīng)常發(fā)生遷移，因此手動(dòng)配置VLAN和ACL將是不可接受的，網(wǎng)絡(luò)安全同樣需要自動(dòng)化。3）東西向流量的爆炸使得數(shù)據(jù)中心內(nèi)部的安全問題更為明顯，集中式部署的防火墻通常會(huì)導(dǎo)致東西向流量的路徑迂回。4）硬件防火墻虛擬化能力較弱，難以適應(yīng)云數(shù)據(jù)中心對(duì)安全的彈性需求。3云數(shù)據(jù)中心里，網(wǎng)絡(luò)安全的設(shè)計(jì)需要變得更加立體，從數(shù)據(jù)中心級(jí)別，到租戶級(jí)別，到子網(wǎng)級(jí)別，再到端口級(jí)別，為云中的業(yè)務(wù)提供更為可靠的保障。數(shù)據(jù)中心級(jí)別的安全仍然需要在數(shù)據(jù)中心入口集中式地設(shè)置防火墻，由于硬件防火墻不能滿足數(shù)據(jù)中心對(duì)安全的彈性需求，因此需要結(jié)合虛擬化技術(shù)來實(shí)現(xiàn)防火墻資源的池化。租戶級(jí)別的安全可以通過VxLAN等Overlay技術(shù)對(duì)不同租戶進(jìn)行隔離，防止流量在租戶間泄露。子網(wǎng)級(jí)別的安全可以通過vRouter實(shí)現(xiàn)，也可以通過虛擬化的防火墻（vFW）來實(shí)現(xiàn)，不同的租戶需要分配不同的vRouter/vFW實(shí)例，以獲得靈活性和通信隔離。端口級(jí)別的安全通常被稱為安全組或者微分段（Micro-Segment），需要與虛擬機(jī)進(jìn)行綁定，可在vSwitch上實(shí)現(xiàn)，或者將分布式的vFW以inline的方式串在vNIC和vSwitch之間，同時(shí)要保證端口安全策略隨虛擬機(jī)進(jìn)行遷移。對(duì)應(yīng)于微分段，有的廠商還提出了宏分段（Macro-Segment），以實(shí)現(xiàn)虛擬機(jī)和裸機(jī)間東西向流量的安全。1．多維安全模型4上述安全模型通常需要結(jié)合SDN/NFV進(jìn)行實(shí)現(xiàn)。vRouter/vFW/vIDS/vIPS等VNF實(shí)例本身的實(shí)現(xiàn)屬于NFV技術(shù)，并且需要依賴于DPDK等加速技術(shù)以保證性能。SDN控制器負(fù)責(zé)通過NETCONF或者RESTfulAPI對(duì)VNF進(jìn)行自動(dòng)化的管理配置，包括對(duì)安全組規(guī)則的下發(fā)、安全策略的配置和Session的管理，以及將不同租戶的流量引導(dǎo)到不同的VNF實(shí)例中。當(dāng)然，從NFV的視角來看，SDN控制器所做的這些工作大部分也可以通過MANO來實(shí)現(xiàn)，這里不去探討兩種視角的區(qū)別。1．多維安全模型5安全組作用于網(wǎng)絡(luò)邊緣，能夠?qū)崿F(xiàn)端口級(jí)別的防護(hù)，以Iptables為主要的實(shí)現(xiàn)機(jī)制。SDN控制器可以集中式地分發(fā)或配置Iptables規(guī)則，不過這通常需要在虛擬機(jī)和vSwitch間額外地引入一跳，導(dǎo)致增加了一個(gè)潛在的故障點(diǎn)，而且會(huì)對(duì)性能造成很大的影響，因此并不是理想的選擇。如果vSwitch設(shè)備支持OpenFlow（如OVS），那么可以通過流表來匹配L2～L4的字段以實(shí)現(xiàn)安全組策略，即相當(dāng)于傳統(tǒng)網(wǎng)絡(luò)中的ACL。不過OpenFlow流表是無狀態(tài)的，如果希望通過OpenFlow實(shí)現(xiàn)有狀態(tài)的策略，可以將首包PacketIn給控制器去維護(hù)狀態(tài)，但是這種方式會(huì)對(duì)性能造成很大的影響，還可以使用ovscontrack等擴(kuò)展功能，在OVS本地完成狀態(tài)的維護(hù)，但是目前這種方式的實(shí)現(xiàn)還不是很成熟。1．多維安全模型6如果考慮到為OpenFlow做硬件卸載，那么ACL規(guī)則就會(huì)被從vSwitch上轉(zhuǎn)移到TOR上，限于TCAM的容量，此時(shí)SDN控制器需要對(duì)ACL規(guī)則進(jìn)行適當(dāng)?shù)木酆希讷@得足夠靈活性的同時(shí)要防止ACL規(guī)則的溢出。同時(shí)，SDN控制器還需要實(shí)時(shí)地感知虛擬機(jī)的位置，當(dāng)虛擬機(jī)發(fā)生遷移時(shí)能夠及時(shí)地將ACL規(guī)則進(jìn)行遷移。1．多維安全模型7VNF上策略的配置對(duì)于SDN控制器的問題不大，其粒度也往往在于租戶和數(shù)據(jù)中心級(jí)別，因此策略的變化不會(huì)非常頻繁。Session的管理則會(huì)相對(duì)復(fù)雜一些，可能需要面臨如下的兩個(gè)挑戰(zhàn)。1）Session的同步方式。如果SDN控制器需要實(shí)時(shí)同步Session的狀態(tài)，那么當(dāng)Session數(shù)量很多時(shí)，控制信道上的開銷會(huì)很大。如果SDN控制器定期同步Session狀態(tài)，那么SDN控制器中全局視圖的實(shí)時(shí)性就會(huì)受到影響。OpenFlow控制器還支持對(duì)于Session的直接控制，此時(shí)Session建立的速率以及OpenFlow控制器的壓力的處理可能就會(huì)成為瓶頸。因此，Session的同步方式要根據(jù)實(shí)際場景和需求來進(jìn)行選擇。1．多維安全模型82）Session的備份。高可用是防火墻以及其他網(wǎng)絡(luò)高級(jí)服務(wù)的基本要求，實(shí)現(xiàn)高可用是有代價(jià)的，不同層面的高可用代價(jià)不同。在路由層面解決防火墻高可用性是最為基本的，其代價(jià)較低，但是對(duì)于Session的控制能力不強(qiáng)，在切換時(shí)很可能會(huì)導(dǎo)致業(yè)務(wù)的中斷。如果同時(shí)和Session層面進(jìn)行防火墻狀態(tài)的熱備份，其可用性會(huì)很高，但是實(shí)現(xiàn)的代價(jià)較高。實(shí)現(xiàn)熱備份有兩種方式：第一種是通過SDN控制器在VNF實(shí)例間進(jìn)行同步，控制信道壓力大；第二種是直接在VNF實(shí)例間進(jìn)行同步，數(shù)據(jù)平面帶寬的開銷會(huì)很大。1．多維安全模型9SDN只能實(shí)現(xiàn)網(wǎng)絡(luò)層面的安全，對(duì)于數(shù)據(jù)安全問題，只能將流量引入專業(yè)的數(shù)據(jù)分析軟件進(jìn)行處理。傳統(tǒng)的數(shù)據(jù)中心里，需要部署SPAN或者TAP來實(shí)現(xiàn)端口鏡像，SPAN和TAP的實(shí)現(xiàn)受限于資源和成本，只能部署在少數(shù)的關(guān)鍵位置。SDN可以動(dòng)態(tài)地將鏡像點(diǎn)插入網(wǎng)絡(luò)中的任意位置，為虛擬化環(huán)境提供更好的可視性。當(dāng)數(shù)據(jù)分析軟件完成分析后，可以將分析的結(jié)果（如惡意流量的特征）反饋給SDN控制器，然后由SDN控制器下發(fā)安全規(guī)則將惡意流量丟棄，實(shí)現(xiàn)“數(shù)據(jù)+應(yīng)用+網(wǎng)絡(luò)”的閉環(huán)安全防護(hù)。另外，隨著近幾年大數(shù)據(jù)的發(fā)展與普及，SDN控制器上也得以直接集成一些數(shù)據(jù)分析的功能，能更好地服務(wù)于數(shù)據(jù)中心安全。1．多維安全模型10多租戶環(huán)境中，不同的租戶會(huì)獲得不同的VNF實(shí)例。SDN控制器需要完成流量的引導(dǎo)，即所謂的服務(wù)技術(shù)。服務(wù)鏈技術(shù)通常在vSwitch上實(shí)現(xiàn)，當(dāng)VNF實(shí)例采用集中式部署時(shí)，服務(wù)鏈的引流策略只需要部署在少數(shù)vSwitch上。當(dāng)VNF實(shí)例采用分布式部署，服務(wù)鏈的實(shí)現(xiàn)將變得非常復(fù)雜。2．服務(wù)鏈與安全11一般而言，通過服務(wù)鏈將一些安全相關(guān)的VNF串在一起，就可以滿足絕大部分的安全需求。如果需要實(shí)現(xiàn)更為專業(yè)的流量安全策略，數(shù)據(jù)中心運(yùn)營商可以與流量清洗中心進(jìn)行合作，將那些難以區(qū)分的流量牽引到專業(yè)的清洗中心進(jìn)行處理。攻擊流量被清洗中心過濾掉，安全的流量被回注到數(shù)據(jù)中心進(jìn)行服務(wù)。流量的牽引可以在數(shù)據(jù)中心入口通過OpenFlow來完成，也可以在城域網(wǎng)入口通過PBR直接對(duì)可疑流量進(jìn)行牽引，清洗過后的流量再通過專線或者隧道回注到數(shù)據(jù)中心。2．服務(wù)鏈與安全12前面概括地說明了SDN對(duì)于數(shù)據(jù)中心安全性的提升。不過在引入SDN后，SDN本身的安全就成了其他網(wǎng)絡(luò)安全的基礎(chǔ)。控制器是SDN的大腦，其安全問題首當(dāng)其沖，最基本的要求是在控制器的南向和北向接口上做認(rèn)證、加密和數(shù)據(jù)校驗(yàn)，防止非法接入、竊聽、重放等攻擊形式?？刂破魃夏承┎僮鞯膱?zhí)行需要進(jìn)行鑒權(quán)，這要求控制器本身能夠支持多租戶或者RBAC（Role-BasedAccessControl），同時(shí)對(duì)一些性關(guān)鍵的操作需要進(jìn)行審計(jì)，以確保其合規(guī)性。在網(wǎng)絡(luò)部署中，如果SDN控制器需要暴露在公網(wǎng)上，就需要對(duì)其采取更為全面的安全措施，如DOS和DDoS防護(hù)等。3.SDN本身的安全問題13相比IT層面的安全問題，SDN自身的安全性更加值得深入的探討和研究，尤其是一些新生的網(wǎng)絡(luò)控制協(xié)議。它