基于SDN和NFV云安全体系建设.docVIP

基于SDN和NFV云安全体系建设 　　云计算、虚拟化等新技术的发展带来新一轮IT技术变革，赋予了应用灵活性、扩展性、快速交付，但也给网络与业务带来巨大挑战。 　　新型应用如社交网络、在线大流量视频以及创新的服务模式如物联网、大数据的出现，对网络安全提出了更高的要求。而传统的安全部署模式在管理性、伸缩性、业务快速升级等方面逐渐表现出对业务支撑能力的不足。 　　SDN和NFV化解难题 　　针对云计算所带来的安全挑战，SDN和NFV作为新一代网络技术，既可通过独自层面去解决不同的网络问题、满足不同角度的业务需求，又能够紧密结合，实现网络灵活调度、动态扩展、按需快速交付，产生更大的价值，最大限度地满足用户对业务部署的要求。 　　根据ONF的SDN分层体系，SDN Fabric网络实现了控制与转发分离、软硬件解耦，转发层面由支持OpenFlow及Overlay等核心技术的网络硬件设备组成，控制则由软件控制集群及硬件设备的操作系统完成。同时，通过创新性地将NFV Manager以APP形式集成VCFC控制集群上，可实现SDN控制器集群对NFV的定义、NFV的自动化部署及NFV资源池的弹性伸缩等生命周期控制管理。 　　融合SDN及NFV技术的云安全体系如图1所示，基础硬件层和物理抽象层不仅包括运行NFV的物理服务器，还同时包括物理安全设备、嵌入安全的vSwitch物理服务器、支持虚拟化的安全物理设备等设施，对应SDN架构中的数据转发层面;NFV操作系统、设备的操作系统与上层应用组成业务控制层面。 　　云安全体系特点及价值 　　SDN以控制和转发分离思想为基础，通过各种标准南北向开放接口为手段，实现网络灵活适配应用，NFV利用虚拟化技术，通过标准X86服务器运行防火墙、IPS、LB等网络安全业务，并形成资源池化，让网络不再依赖于专用硬件，从而使云安全体系的安全业务能够“弹性扩展”、“快速交付”、“统一部署”，并解决传统安全部署时的“拓扑依赖”问题。 　　可定义、自适应的安全 　　SDN通过控制和转发分离，将控制层面从转发设备上分离出来，从而使得网络具备软件灵活定义网络的能力基础。网络管理员可以方便的定义基于网络流的安全控制策略，并让这些安全策略应用到各种网络设备中，从而实现整个网络通讯的安全控制。 　　SDN网络可以实现基于流的调度，网络管理员可以静态配置或者动态生成引流规则，将报文牵引到不同的安全设备上进行处理。与传统的基于IP包的转发规则，基于流的调度使安全服务和管控更加细粒度，提升安全服务的防护效率和准确性。 　　基于控制器的软件编程能力，网络管理员通过安全APP方式或者安全模板的方式提供安全即服务SaaS，安全设备自动化配置运维管理，使得安全设备运行维护任务可以更有效、更低成本、更快速的自动化，从而降低安全运维和学习成本，同时提高安全防护的及时性和效率。 　　安全策略统一全局可管理性 　　SDN控制器集群通过对各种物理安全设备和NFV网元进行抽象，将原先离散的、异构的设备形成统一的逻辑安全资源池。这样，控制器集群可以用全局视野，对所有安全资源进行统一调度，并通过“安全服务链”实现流量检测路径规划，提供与拓扑无关的全局安全策略。 　　SDN控制器集群具备全局视野，掌握整个管理域范围内的流信息，因此可实现分布式安全设备的协同工作。比如在IPS检测点发现DDOS攻击，可以立刻通知控制器集群在接入侧（如嵌入式安全vSwitch）生成一条动态黑名单或者防火墙策略，将特定攻击报文丢弃，从而使恶意流量在源端即被遏制，提升安全防护效率。 　　全局安全资源池可以实现安全资源的动态复用和弹性扩展。这样，在网络部署初期不需要为未来的扩展而预留不必要的安全设备，而且可以通过虚拟设备做到一机多用，减少安全设备的数量和投入成本。当安全设备性能不足时，可以在资源池中新增相应的逻辑安全资源，SDN控制器集群根据HASH引流规则，将不同的流量分担到不同的安全资源上处理，实现资源的弹性扩展。 　　安全自动化快速部署、弹性扩展 　　传统安全设备内置的业务及业务流程相对固定，无法随着应用需求的变化而变化，而基于SDN和NFV技术的结合可完美地实现安全业务的灵活定义、按需快速部署、弹性扩展。 　　NFV技术通过将设备的硬件和软件解耦，可将传统设备提供的安全业务功能分解成一个个VNF单元，通过云平台或SDN VCFC控制器集群对NFV资源池、安全设备、网络设备及vSwitch上的业务进行统一管理，根据应用需求、业务流量特点定义不同的业务链，实现不同业务流经过不同安全单元进行差异化处理，并通过模板化方式实现各种复杂的业务快速部署。 　　南北向API的全面、兼容性 　　SDN和NFV的技术设计是开放的，决定云安全体系也是一个开放的体系，易