魏 偉，秦 華，劉文懋

(1.北京工業(yè)大學(xué) 信息學(xué)部，北京 100124；2.北京神州綠盟科技股份有限公司 創(chuàng)新中心，北京 100089)

0 引 言

隨著云平臺(tái)的不斷普及，加大了數(shù)據(jù)泄露和網(wǎng)絡(luò)遭受攻擊的風(fēng)險(xiǎn)，一方面對(duì)于跨網(wǎng)絡(luò)訪問(即南北向流量)來說，需要解決的問題是如何應(yīng)對(duì)來自內(nèi)部虛擬環(huán)境的錯(cuò)綜復(fù)雜的流量。內(nèi)部環(huán)境會(huì)多個(gè)租戶，每個(gè)租戶又可能會(huì)同時(shí)擁有多個(gè)網(wǎng)絡(luò)。另一方面，對(duì)于子網(wǎng)內(nèi)部流量(即東西向流量)，用戶資源和敏感數(shù)據(jù)分布在多個(gè)不同的計(jì)算節(jié)點(diǎn)中，計(jì)算節(jié)點(diǎn)內(nèi)部虛擬機(jī)之間存在大量的二層流量交換，這種二層交換通常會(huì)通過GRE或VxLAN隧道傳輸，這樣對(duì)于外部的物理防火墻來說是透明的，只能通過虛擬化技術(shù)將虛擬防火墻引入二層環(huán)境解決。應(yīng)對(duì)租戶內(nèi)部網(wǎng)絡(luò)虛擬機(jī)不同的業(yè)務(wù)場(chǎng)景和多樣的安全需求，如何進(jìn)行更細(xì)粒度的訪問控制是一個(gè)亟待解決的關(guān)鍵問題。

傳統(tǒng)的網(wǎng)絡(luò)安全解決方案已經(jīng)不能滿足云環(huán)境下的要求，如何適應(yīng)虛擬化環(huán)境，這讓信息安全面臨巨大的挑戰(zhàn)。在云計(jì)算時(shí)代，虛擬化已經(jīng)成為安全產(chǎn)品的必備功能，研究針對(duì)云環(huán)境虛擬化的安全防護(hù)解決方案迫在眉睫。

1 工作基礎(chǔ)

Gartner率先提出了軟件定義安全(software defined security)，提出將傳統(tǒng)的安全設(shè)備通過虛擬化技術(shù)形成虛擬化安全資源池，在上層統(tǒng)一通過軟件定義方式進(jìn)行自動(dòng)化的業(yè)務(wù)編排和資源管理，以此實(shí)現(xiàn)一種靈活的安全防護(hù)框架。軟件定義與安全的結(jié)合現(xiàn)已成為業(yè)界的前沿發(fā)展熱點(diǎn)。近年來，在訪問控制的研究中，出現(xiàn)了不少新的模型，如Gartner提出的自適應(yīng)訪問控制(adaptive access control)[6]模型，CSA的軟件定義邊界(software defined peri-meter，SDP)[7]，等等，它們與以往基于角色的訪問控制(role based access control，RBAC)不同，通過軟件定義的方式，新模型提高了控制的靈活性，還可提供更清晰的認(rèn)證語義和更豐富的訪問控制決策。總之，各種傳統(tǒng)訪問控制模型通過主客體和上下文環(huán)境的各種因素，綜合決策系統(tǒng)內(nèi)資源的訪問控制。但是云環(huán)境較為復(fù)雜，要求靈活度更高，控制粒度更細(xì)，還必須實(shí)現(xiàn)在云環(huán)境中的集中控制。所以必須要研究新的訪問控制模型來適應(yīng)云環(huán)境。

OpenStack中的Neutron項(xiàng)目主要實(shí)現(xiàn)了云環(huán)境中的網(wǎng)絡(luò)虛擬化功能，它現(xiàn)有OVS、linux bridge和SDN等多種實(shí)現(xiàn)機(jī)制，可實(shí)現(xiàn)GRE、VxLAN、VLAN與flat network這4種類型的網(wǎng)絡(luò)，基本滿足了現(xiàn)代云計(jì)算環(huán)境的網(wǎng)絡(luò)功能需求。

如圖1所示，在neutron原生的L3層網(wǎng)絡(luò)，在網(wǎng)絡(luò)節(jié)點(diǎn)通過命名空間(namespace)隔離租戶的三層網(wǎng)絡(luò)流量，命名空間qrouter內(nèi)部使用iptables實(shí)現(xiàn)路由轉(zhuǎn)發(fā)、SNAT地址轉(zhuǎn)換、floating IP等功能，還實(shí)現(xiàn)了簡(jiǎn)單的防火墻即服務(wù)(firewall as a service，F(xiàn)WaaS)。其通過開放的API向防火墻下發(fā)安全策略。FWaaS主要用來控制云環(huán)境中的南北向流量。Neutron為FWaaS定義了一套API，用于管理訪問控制服務(wù)及其策略，可用于自動(dòng)化的防火墻業(yè)務(wù)上線。

如圖2所示的Neutron原生二層網(wǎng)絡(luò)實(shí)現(xiàn)了VLAN網(wǎng)絡(luò)類型，在虛擬機(jī)到虛擬交換機(jī)之間，數(shù)據(jù)流量會(huì)經(jīng)過qbr、br-int等虛擬網(wǎng)絡(luò)設(shè)備，虛擬設(shè)備之間采用TAP、Veth pair等手段邏輯鏈接，qbr是一個(gè)支持iptables實(shí)現(xiàn)的Linux bridge設(shè)備，以此實(shí)現(xiàn)簡(jiǎn)單的安全組(security group)。br-int是由OpenVSwitch實(shí)現(xiàn)的虛擬交換機(jī)，它的主要功能是將這一臺(tái)物理設(shè)備上的所有虛擬機(jī)連接在一起，還通過L2-agent向虛擬交換機(jī)下發(fā)流表的方法，用vlan id標(biāo)識(shí)不同租戶間的流量，實(shí)現(xiàn)簡(jiǎn)單的二層租戶網(wǎng)絡(luò)流量隔離。

圖1 Neutron原生三層網(wǎng)絡(luò)

Neutron提供了良好的擴(kuò)展性，我們可通過定制相應(yīng)agent與driver的方法，加固neutron的安全能力，實(shí)現(xiàn)更完善的訪問控制。

2 面向云環(huán)境的訪問控制框架

云計(jì)算環(huán)境可以分為內(nèi)外兩個(gè)部分：云計(jì)算內(nèi)部環(huán)境是虛擬的SDN網(wǎng)絡(luò)，外部環(huán)境為虛擬化環(huán)境外的傳統(tǒng)物理網(wǎng)絡(luò)環(huán)境。訪問控制框架必須覆蓋內(nèi)外兩個(gè)環(huán)境的融合網(wǎng)絡(luò)，形成統(tǒng)一的訪問控制策略。以此為依據(jù)，本文設(shè)計(jì)了如圖3所示的訪問控制框架，重點(diǎn)解決云環(huán)境內(nèi)部的訪問控制問題。

圖3 面向云環(huán)境的訪問控制框架

2.1 防火墻即服務(wù)

Neutron網(wǎng)絡(luò)節(jié)點(diǎn)通過命名空間(Namespace)隔離不同租戶的流量，命名空間內(nèi)部使用iptables實(shí)現(xiàn)NAT和訪問控制功能。iptables可以定義多條規(guī)則，形成規(guī)則鏈，共同發(fā)揮作用，還可以將多條規(guī)則鏈組成一個(gè)列表，實(shí)現(xiàn)某一方面的訪問控制功能。

如圖4所示，當(dāng)一個(gè)數(shù)據(jù)包要訪問某個(gè)客體資源時(shí)，會(huì)先經(jīng)由iptables進(jìn)行檢查。檢查通過則接受(ACCEPT)進(jìn)入本機(jī)取得資源，如果檢查不通過，則可能予以丟棄(DROP)，規(guī)則是有順序的，例如當(dāng)數(shù)據(jù)包進(jìn)行Rule01的檢查，如果比對(duì)結(jié)果符合，則對(duì)這個(gè)數(shù)據(jù)包進(jìn)行Action 1的操作，而不會(huì)再進(jìn)行Rule 02,Rule 03等規(guī)則的匹配。

圖4 iptables數(shù)據(jù)包檢查過程

iptables的一大缺點(diǎn)是依賴線性匹配，當(dāng)大于500條規(guī)則時(shí)，匹配效率就會(huì)明顯下降。且iptables不能進(jìn)行應(yīng)用層等更高級(jí)別的過濾?？梢哉fopenstack僅采用這種底層實(shí)現(xiàn)是難以應(yīng)對(duì)高并發(fā)大流量的過濾，與更細(xì)粒度更智能的監(jiān)控的。

本框架對(duì)neutron的原生FWaaS實(shí)現(xiàn)機(jī)制進(jìn)行了改進(jìn)，主要是在neutron的L3層替換其原有的qrouter namespace,將其底層實(shí)現(xiàn)方面，根據(jù)SDS的原則，引入開放了RESTful API的虛擬化防火墻(virtual firewall，vFW)，這些虛擬防火墻鏡像可由第三方廠商定制，有利于產(chǎn)品在云環(huán)境中快速上線，形成虛擬防火墻資源池，由資源池管理模塊bootagent統(tǒng)一維護(hù)并管理，vFW底層功能實(shí)現(xiàn)替換ipta-bles規(guī)則。將vFW做為內(nèi)部虛擬化網(wǎng)絡(luò)的安全網(wǎng)關(guān)，可以大大提高云環(huán)境虛擬邊界處的訪問控制能力。

如圖5所示，實(shí)現(xiàn)方法是采用“借殼”Namespace的方式，qrouter Namespace僅保留獲取元數(shù)據(jù)的功能，其余原neutron l3層的功能則統(tǒng)一由vFW實(shí)現(xiàn)。當(dāng)用戶發(fā)出創(chuàng)建路由器的請(qǐng)求時(shí)，會(huì)在防火墻資源池中為租戶啟動(dòng)一臺(tái)vFW，并為其通過DHCP分配管理口IP，還會(huì)創(chuàng)建這個(gè)vFW獨(dú)占的OVS進(jìn)出口網(wǎng)橋(以此來實(shí)現(xiàn)租戶隔離)。此時(shí)vFW與用戶創(chuàng)建的路由是一一對(duì)應(yīng)的，當(dāng)用戶進(jìn)行與路由相關(guān)的網(wǎng)絡(luò)操作時(shí)，經(jīng)過改進(jìn)的neutron l3-agent模塊會(huì)將用戶的請(qǐng)求通過RESTful API發(fā)送給路由對(duì)應(yīng)的vFW，由vFW內(nèi)部進(jìn)行功能實(shí)現(xiàn)。當(dāng)租戶有多個(gè)網(wǎng)絡(luò)時(shí)，設(shè)計(jì)的interface driver模塊會(huì)憑借vFW的三層子接口功能，以VLAN tags來實(shí)現(xiàn)網(wǎng)絡(luò)隔離，在統(tǒng)一入口處設(shè)置為trunk，識(shí)別來自不同網(wǎng)絡(luò)的流量。

在訪問控制功能實(shí)現(xiàn)方面，通過替換neutron fwaas driver實(shí)現(xiàn)了由neutron API到vFW RESTful API的轉(zhuǎn)換，以安全五元組的形式在vFW內(nèi)創(chuàng)建相應(yīng)客體并生成相應(yīng)的安全規(guī)則。將南北向流量統(tǒng)一由vFW做訪問控制。由此實(shí)現(xiàn)安全網(wǎng)關(guān)的功能。

2.2 微分段

在虛擬化環(huán)境中，越來越多的流量出現(xiàn)在租戶內(nèi)部網(wǎng)絡(luò)中，這是租戶業(yè)務(wù)發(fā)展所決定的。此外在云環(huán)境中，租戶可能會(huì)在同一個(gè)網(wǎng)絡(luò)中同時(shí)部署WEB服務(wù)器和數(shù)據(jù)庫服務(wù)器，也有可能存在一個(gè)租戶下面多個(gè)部門或員工申請(qǐng)的虛擬機(jī)部署在同一個(gè)網(wǎng)絡(luò)中。這種情況下，攻擊者一旦攻破了某個(gè)VM，則很可能進(jìn)而攻擊其它網(wǎng)絡(luò)內(nèi)部的服務(wù)器，因?yàn)榉阑饓σ话闶遣渴鹪诰W(wǎng)絡(luò)之間，此時(shí)訪問控制策略無法生效，內(nèi)部服務(wù)器群會(huì)完全暴露給攻擊者。

圖5 VFW實(shí)現(xiàn)FWaaS

如圖2所示，對(duì)于虛擬網(wǎng)絡(luò)內(nèi)部的東西向流量，OpenStack原生安全組使用linux bridge放在虛擬機(jī)的進(jìn)出口，對(duì)租戶網(wǎng)絡(luò)內(nèi)部所有的虛擬機(jī)流量進(jìn)行統(tǒng)一的訪問控制，其實(shí)這并不是嚴(yán)格意義上的東西向流量的訪問控制，在租戶網(wǎng)絡(luò)內(nèi)部，不同的虛擬機(jī)有不同的安全需求與業(yè)務(wù)需求。原生方案統(tǒng)一在虛擬機(jī)的進(jìn)出口做訪問控制是無法靈活解決上述問題的。

作為一種解決東西向流量訪問控制的思路，微分段(micro-segmentation)技術(shù)近年被提出，它將租戶網(wǎng)絡(luò)中的多個(gè)虛擬機(jī)劃分為一個(gè)分段(segment)，并在這些分段邊界上部署訪問控制機(jī)制。分段方法比較靈活，可以是一個(gè)虛擬機(jī)，也可以是滿足某種條件的多個(gè)虛擬機(jī)的集合，所以就可以在一個(gè)網(wǎng)絡(luò)中按需地劃分出若干個(gè)微安全域，然后在這些微安全域的分段邊界部署安全策略。這與傳統(tǒng)的邊界劃分不同的是，微分段可以是一個(gè)虛擬網(wǎng)絡(luò)中的任意一部分，如果在微分段間部署安全策略，則可以監(jiān)控到二層網(wǎng)絡(luò)中的流量。我們可以根據(jù)虛擬機(jī)不同的安全需求將他們分為不同的組，在組之間再做細(xì)粒度的訪問控制。

還可以通過結(jié)合服務(wù)鏈(services chain)進(jìn)行更高級(jí)的訪問控制。服務(wù)鏈?zhǔn)侵咐肧DN技術(shù)，將流量經(jīng)過多個(gè)設(shè)備，分別進(jìn)行不同目的的檢查、防護(hù)或其它功能的實(shí)現(xiàn)。在傳統(tǒng)訪問控制的場(chǎng)景中，規(guī)則一般通過RBAC或ABAC來制定，總體而言缺少上下文感知，在發(fā)生威脅時(shí)無法及時(shí)調(diào)整控制規(guī)則。在云環(huán)境中，攻擊威脅會(huì)發(fā)生在很短時(shí)間中，這就要求策略調(diào)整非常及時(shí)。通過服務(wù)鏈，我們可以按需地在虛擬或物理位置部署各種虛擬安全設(shè)備，流量根據(jù)上層的編排依次經(jīng)過預(yù)先啟動(dòng)好的虛擬設(shè)備，當(dāng)安全檢測(cè)設(shè)備發(fā)現(xiàn)可疑的攻擊時(shí)，可通知防火墻實(shí)時(shí)調(diào)整訪問控制策略。

如圖6所示，如果要部署應(yīng)用程序的服務(wù)器，我們可以提供防火墻和負(fù)載均衡設(shè)備來提供安全性和可用性，將它們組成服務(wù)鏈并部署在組的邊界處，邊界處可定義策略，流量經(jīng)過IDS的檢測(cè)，將符合相應(yīng)條件的流量重定向到服務(wù)鏈，經(jīng)過多個(gè)設(shè)備處理可訪問到應(yīng)用程序組，檢測(cè)到有威脅的流量，則可直接配置規(guī)則拒絕訪問的請(qǐng)求。

3 實(shí)驗(yàn)與驗(yàn)證

本實(shí)驗(yàn)擬在100 Mbps以太網(wǎng)的網(wǎng)絡(luò)環(huán)境下，測(cè)量ip-tables與VNF兩種底層實(shí)現(xiàn)方案在64 bytes、128 bytes、256 bytes、512 bytes和最大1518 bytes這5種RFC2544定義的標(biāo)準(zhǔn)幀長(zhǎng)數(shù)據(jù)在滿負(fù)載情況下的穩(wěn)定性表現(xiàn)。通過本文之前的分析可知，iptables解決方案在大量安全規(guī)則的情況下會(huì)出現(xiàn)性能下降的現(xiàn)象，為此，本文計(jì)劃采用100條安全規(guī)則與500條安全規(guī)則兩種規(guī)模規(guī)則集分別對(duì)比兩種解決方案性能情況。

圖6 結(jié)合服務(wù)鏈的微分段

實(shí)驗(yàn)環(huán)境統(tǒng)一在虛擬化云平臺(tái)中進(jìn)行，在云平臺(tái)中創(chuàng)建兩個(gè)網(wǎng)絡(luò)，并在每個(gè)網(wǎng)絡(luò)中都啟動(dòng)一臺(tái)虛擬機(jī)分別是VM1與VM2，虛擬路由器作為三層實(shí)現(xiàn)將兩個(gè)網(wǎng)絡(luò)相連，作為FWaaS解決方案，正是在此路由器的位置，其原生底層實(shí)現(xiàn)是iptables，之后被替換為第三方的虛擬防火墻VNF，為了進(jìn)行性能測(cè)試，Ixchariot的客戶端軟件需要在VM1和VM2上安裝，因此兩臺(tái)虛擬機(jī)可作為流量通道的兩端，確保之間的流量都經(jīng)過了FWaaS過濾，將Ixchariot控制臺(tái)安裝在其中一臺(tái)虛擬機(jī)VM1上，以此定制流量并獲取測(cè)試結(jié)果。

按照上述實(shí)驗(yàn)方案，執(zhí)行性能測(cè)試，可在Ixchariot控制臺(tái)得到輸出結(jié)果，記錄5種幀長(zhǎng)在兩種解決方案環(huán)境條件下的每次獲得的平均流量帶寬值(單位：Mbps)，總共兩種規(guī)模的安全規(guī)則集總會(huì)產(chǎn)生20個(gè)數(shù)據(jù)，整理可得表1與表2兩組實(shí)驗(yàn)結(jié)果。

表1 100條規(guī)則規(guī)模條件下平均帶寬/Mbps

表2 500條規(guī)則規(guī)模條件下平均帶寬/Mbps

將所得數(shù)據(jù)除以100 Mbps的理論帶寬值，所得百分比即為吞吐量，將數(shù)據(jù)再次經(jīng)過處理，以橫坐標(biāo)軸為幀長(zhǎng)，縱坐標(biāo)軸為換算好的系統(tǒng)吞吐量，分別作圖并分析兩種規(guī)模集下的兩種解決方案的性能優(yōu)劣。

如圖7所示，在100條規(guī)則的規(guī)模條件下，兩種解決方案性能相近，iptables在同長(zhǎng)度幀長(zhǎng)的條件下，比VNF方案更早的達(dá)到接近100%的系統(tǒng)吞吐量。在規(guī)則規(guī)模較小的情況下，VNF在規(guī)則匹配算法方面，沒有太多發(fā)揮空間。iptables在實(shí)現(xiàn)方面更靠近硬件底層，而VNF的實(shí)現(xiàn)建立在虛擬化的基礎(chǔ)上，需要借助hypervisor層面的管理與優(yōu)化，且在網(wǎng)絡(luò)連接等方面比iptables原生方案更加復(fù)雜，對(duì)比可發(fā)現(xiàn)VNF方案會(huì)使數(shù)據(jù)流量再多經(jīng)過兩次OVS網(wǎng)橋(即防火墻的入口網(wǎng)橋Nf-in-XXX)，故iptables在對(duì)于系統(tǒng)資源的利用率方面占優(yōu)，在規(guī)則較少的情況下性能比VNF有微弱的性能優(yōu)勢(shì)，但是VNF比起iptables有著更強(qiáng)大的功能，在差距不明顯的情況下，如需更重視系統(tǒng)安全性，建議忽略微小的性能損失，采用VNF方案。且對(duì)于云環(huán)境來說，訪問控制策略繁多復(fù)雜，策略規(guī)則的數(shù)量規(guī)模相對(duì)龐大，本框架也主要應(yīng)用于大規(guī)模安全規(guī)則的條件。

圖7 100條規(guī)則規(guī)模條件下兩種解決方案性能對(duì)比

如圖8所示，在500條規(guī)則的測(cè)試條件下，VNF方案在安全過濾規(guī)則算法方面的優(yōu)勢(shì)明顯，在相同幀長(zhǎng)的情形下VNF體現(xiàn)出明顯的性能優(yōu)勢(shì)，主要是摒棄了iptables機(jī)械的鏈?zhǔn)狡ヅ溥^濾算法，安全規(guī)則規(guī)模劇增后，包過濾處理能力優(yōu)勢(shì)明顯，能高效且完善的解決云環(huán)境中的訪問控制問題。

圖8 500條規(guī)則規(guī)模條件下兩種解決方案性能對(duì)比

4 結(jié)束語

云計(jì)算技術(shù)的興起給網(wǎng)絡(luò)架構(gòu)帶來了深刻的變革，傳統(tǒng)的實(shí)體防火墻能夠監(jiān)控傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)中的流量從而進(jìn)行安全防護(hù)，并且能都做到一定的業(yè)務(wù)隔離。但是在云計(jì)算環(huán)境中，物理防火墻無法部署在模糊的安全邊界，云平臺(tái)管理者也無法做到對(duì)云中資源的隔離與防護(hù)。

本文通過軟件定義的方式，在Neutron項(xiàng)目的基礎(chǔ)上，設(shè)計(jì)出一套適用于云環(huán)境的訪問控制框架，對(duì)于南北向流量采用FWaaS方式，引入虛擬安全網(wǎng)關(guān)，能夠識(shí)別來自虛擬網(wǎng)絡(luò)的復(fù)雜流量并準(zhǔn)確進(jìn)行控制策略的定制與下發(fā)。對(duì)于東西向流量，采用微分段加服務(wù)鏈的方式，能進(jìn)行更細(xì)粒度的訪問控制，并能夠根據(jù)多變的安全威脅，進(jìn)行快速的安全策略調(diào)整。