软件定义网络的安全.PDFVIP

《安全周报》2012 年11 月第2 期 “软件定义网络”的安全 李军 清华大学信息技术研究院 2012 年4 月开放网络峰会（Open Network Summit,即ONS）以来，软件定义 网络(Software-Defined Networking，即 SDN)迅速窜红，终于真正闯出学术界 的象牙塔，带动了产业界风起云涌的 “变革”激情。尽管如此，从目前已经公开 的资料看，SDN 的实际部署至今仍多数局限于私有云的数据中心之间或私有云的 内部网络之中。然而，SDN 公认的巨大市场空间却存在于对网络安全有更高要求 的多租户 （或用户，即tenant）公有云，以致企业网。 那么，以建设基于公有云的虚拟私有云为例，SDN 的安全架构应该如何设计 呢？ 软件定义网络安全的特点 有人半开玩笑地说，对于网络管理人员来说，有无SDN 相当于计算机与计算 器的区别，前者可以通过编程较为灵活地实现自己的应用，而后者只能完成厂家 规定的功能。SDN 将分立设备中的控制机制抽取出来，由控制器对其所管控的网 络进行相对集中的全局流量调度，构成具有全局知识的控制平面（Control Plane），从而给予网络管理人员前所未有的控制能力，也使得更加智能的自动化 网管成为可能。 研究云数据中心可以有多种角度，较为流行的有美国NIST 提出的IAAS、PAAS、 SAAS 以及公有云、私有云、混合云等不同分类，也有计算、网络、存储的系统 角度或使用（in use）、存档 （at rest）、传输（in motion）的数据角度。具体 到云网络，又有云端（终端接入）、云内、云间网络的不同特点。例如，在业界 引起巨大反响的Google 应用案例，就是利用OpenFlow 协议将其所有云数据中心 之间的互联全部用 SDN 实现了。而VMware 斥资 12.6 亿美元收购SDN 领军企业 Nicira，据信是瞄准云数据中心内部网络虚拟化，以期巩固其服务器虚拟化产业 龙头地位，成就虚拟数据中心的完整蓝图。 从虚拟私有云租户的实际需求出发研究SDN 的安全，比较企业内网与虚拟私 有云的异同，则不难看到，用户对网络安全的要求依旧是可以通过灵活定制的策 略，实现自身网络（可信网络或称内部网络）与外部网络（非可信网络或称公有 网络）的安全连接、自身网络处于不同物理位置（甚至跨数据中心）的可信网段 之间通过公有网络的安全连接、以及网络流量的安全处理。SDN 带来的最大挑战， 就是与虚拟化所提供的网络拓扑灵活性“孪生”的网络边界动态性，换言之，原 来静态、自然的内部网络物理边界，被SDN 动态、虚拟的逻辑边界替代，因而云 内网络安全的保障将更加依赖于安全策略和安全构件的动态部署、配置和管理， 更加依赖于网络安全系统对流量和业务的感知、决策与响应。 软件定义网络安全的构架 以基于OpenFlow 的SDN 为例，与原有网络相比，核心的变化是将交换机、 路由器等转发设备中的控制机制，包括信息采集、策略比对、决策编译（生成转 发表或路由表）等统统剔出，使转发设备自身仅按控制器下达的流表（flow table） 转发,从而变得效率更高、成本更低。另一方面，控制器统一收集网络状态信息， 发现网络拓扑关系，检查网络转发策略，并生成和下达流表。 由此可见，根据一个网流的首个网包（first packet，即首包）的包头（header） 所进行的安全处理，不应再发生在网关 （gateway）处，而是在控制器上。那么， 传统的 ACL （Access Control List，接入控制表）或网包过滤防火墙（packet filtering firewall），就应该部署在控制器处。然而，控制器通常只能收到首 包的包头，无法进行状态检测（stateful inspection），所以状态防火墙和需要 过滤网包载荷（payload）的深度检测（deep inspection）防火墙，还应部署在 数据平面（data plane）上或数据平面与控制平面的交汇处，既可以是交换机、 Hypervisor 上，也可以是虚拟机、服务器上。因此，传统上部署在物理网关处 的网络接入控制（通用防火墙）依然要在安排到“逻辑”网关处。利用SDN 调度 网流的便利，这个逻辑网关可远可近，可分可合，可软可硬。 所谓远近，是指离防护对象的距离远近。安全机制可以和虚拟机结合在一起 （接在vSwitch 上），这样会适应动态性强的特点，在