王燚

【摘? 要】基于SDN解決云計算安全問題是未來數(shù)據(jù)中心網(wǎng)絡發(fā)展的趨勢。隨著SDN網(wǎng)絡規(guī)模的擴展，單一的控制器結(jié)構(gòu)的SDN網(wǎng)路處理能力受限，從而面臨著各種風險。論文對如何構(gòu)建安全的SDN體系架構(gòu)以解決云計算安全存在的問題進行了討論。以華為和戴爾的解決方案為例，深入探究了企業(yè)應該如何安全有效地部署SDN網(wǎng)絡，以及未來SDN的發(fā)展趨勢。最后期冀能夠構(gòu)建一個安全、健康、和諧、穩(wěn)定的移動互聯(lián)網(wǎng)及大數(shù)據(jù)時代。

【Abstract】Solving the problem of cloud computing security based on SDN is the trend of future data center network development. With the expansion of the scale of SDN， the SDN with a single controller structure is limited in processing capacity， so it is faced with various risks. This paper discusses how to build a secure SDN architecture to solve the problems existing in cloud computing security. Taking solutions of Huawei and Dell as examples， this paper deeply explores how enterprises should deploy SDN network safely and effectively， as well as the development trend of SDN in the future. Finally， we hope to build a safe， healthy， harmonious and stable era of mobile internet and big data.

【關鍵詞】軟件定義網(wǎng)絡（SDN）;云計算;控制器;解決方案

【Keywords】software defined network （SDN）; cloud computing; controller; solutions

【中圖分類號】TP393.0? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文獻標志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號】1673-1069（2021）10-0122-03

1 引言

云計算的安全問題自從云計算存在那天開始就一直備受關注。云計算是一種在構(gòu)建上非常具有彈性，依賴于互聯(lián)網(wǎng)并且以網(wǎng)絡技術、分布式計算為基礎的計算方式，然而，任何一種依賴互聯(lián)網(wǎng)的應用都具有很大的風險，當然云計算也不例外。近年來，基于SDN的云計算安全解決方案成為解決云計算安全問題的主流及未來發(fā)展趨勢。

2 云數(shù)據(jù)帶來的安全威脅

云計算（Cloud Computing）是一種新興的并行計算模式，由遠程數(shù)據(jù)中心中的服務器和電腦組成，可以為用戶提供各種資源和服務。云計算由硬件層（Hardware）、基礎設施層（Infrastructure）、平臺層（Platform）和應用層（Application）組成（見表1）。硬件層的具體載體為數(shù)據(jù)中心，主要負責利用各種資源技術管理調(diào)用底層的數(shù)據(jù)資源;平臺層主要包括操作系統(tǒng)和應用框架;應用層則直接與用戶進行交流。

2.1 十二大云計算威脅

隨著越來越多應用程序和數(shù)據(jù)的云端移動化，信息安全問題也接踵而至，云計算在帶來數(shù)據(jù)共享的同時也帶來了新的安全威脅和挑戰(zhàn)。Gartner公司副總裁兼云計算安全負責人Jay Heiser表示：“公共云的使用量正在快速增長，因此不可避免地導致更多的敏感內(nèi)容可能存在風險?！?/p>

然而，保護這些云數(shù)據(jù)的主要任務正在從云計算提供商過渡到云計算用戶本身，因此，為讓企業(yè)能夠作出更正確的決策，云計算安全聯(lián)盟（CSA）發(fā)布了《十二大云計算頂級威脅：行業(yè)洞察報告》。這12個主要的安全問題分別是：數(shù)據(jù)泄露;身份、憑證和訪問管理不足;不安全的接口和應用程序編程接口（API）;系統(tǒng)漏洞;賬戶劫持;惡意內(nèi)部人士;高級持續(xù)威脅（APT）;數(shù)據(jù)丟失;盡職調(diào)查不足;濫用和惡意使用云服務;拒絕服務（DoS）;共享技術漏洞。雖然企業(yè)可以提供一些補丁來暫時消除威脅，但是這些安全隱患對于云計算服務提供上來說仍然是一個非常嚴重的問題，仍然還會有最新的漏洞無法修補，這就要求提供商們找尋新的應對措施。

2.2 SDN發(fā)展背景及與云計算之間的關系

云計算所儲存的用戶數(shù)據(jù)是完全暴露在提供服務的企業(yè)面前的，一旦泄露，將會對用戶造成極大的損失和威脅，這種情況令人十分擔憂。因此，在這種環(huán)境下軟件定義網(wǎng)絡（SDN）體系結(jié)構(gòu)應運而生。

3 如何構(gòu)建安全的SDN及安全強化方案

3.1 SDN體系架構(gòu)

SDN的核心訴求為通過自動化業(yè)務簡化網(wǎng)絡運維，其目的在于實現(xiàn)網(wǎng)絡流量的靈活控制，使網(wǎng)絡管理更加智能高效?，F(xiàn)在企業(yè)使用的大多數(shù)SDN體系架構(gòu)分為3層（見圖1）：底層是轉(zhuǎn)發(fā)層——支持SDN功能的網(wǎng)絡基礎設施;中間層是控制層——在SDN中擁有網(wǎng)絡核心控制權;上層是應用層——包括SDN配置管理的服務和應用程序。在這個體系構(gòu)架中，強調(diào)了OpenFlow在控制層的重要性，如圖2的結(jié)構(gòu)所示，這種架構(gòu)大大降低了管理的復雜度，增強了網(wǎng)絡的可靠性和安全性，實現(xiàn)更細致的網(wǎng)絡控制。

3.2 SDN面臨的新的挑戰(zhàn)

①數(shù)據(jù)層的攻擊：攻擊目標可能為某個節(jié)點，例如，OF交換機或者接入SDN交換機的主機。攻擊者在未通過網(wǎng)絡訪問權限的情況下攻擊運行狀態(tài)不穩(wěn)的某個網(wǎng)絡節(jié)點。

②控制層的攻擊：這種攻擊是最常見且最明顯的攻擊目標，攻擊者可能會向控制器發(fā)起資源消耗攻擊，使控制器處理消息變得緩慢，最終導致網(wǎng)絡崩潰從而繞過控制器所部署的安全檢測。

③應用層的攻擊：攻擊者利用公開但沒有認證機制的北向接口協(xié)議，從而實現(xiàn)通過控制器來控制SDN網(wǎng)絡的通信并且部署自己的網(wǎng)絡設置。

3.3 SDN構(gòu)架方案

3.3.1 基于專用接口的方案

此方案是為了構(gòu)建一個開放的網(wǎng)絡環(huán)境，其目的是讓網(wǎng)絡更加靈活、更適應新的網(wǎng)絡和趨勢。onePK為此戰(zhàn)略的重要組成部分，能夠深入訪問各種操作系統(tǒng)和硬件平臺。其最大的優(yōu)點是對網(wǎng)絡部署的改動小，實時操作方便快捷。

3.3.2 基于疊加網(wǎng)絡的方案

大部分的SDN參考架構(gòu)如圖3所示，其中疊加網(wǎng)絡的典型性代表是虛擬局域網(wǎng)（VLAN），但這一方案并不是最近才提出的，因此，為滿足云計算等新業(yè)務的要求，Nicira公司提出了網(wǎng)絡虛擬化平臺（NVP）方案（見圖4）。網(wǎng)絡虛擬化平臺很好地實現(xiàn)了網(wǎng)絡的虛擬化并與虛擬化管理相互整合，使網(wǎng)絡資源的按需調(diào)度更加便捷。

3.3.3 基于開放協(xié)議的方案

此方案為當前SDN實現(xiàn)的主流方案，其基于開放式網(wǎng)絡協(xié)議并實現(xiàn)了控制平臺與轉(zhuǎn)發(fā)平臺的分離，獲得了很多業(yè)界支持，相關技術發(fā)展迅速，如ONF SDN和ETSI NFV都為此類方案。

3.4 SDN構(gòu)架的安全強化

由此我們可以了解到控制層和數(shù)據(jù)層的分離保證了整個網(wǎng)絡邏輯上的統(tǒng)一管理和控制。所以我們必須加強對3層的安全強化。

3.4.1 數(shù)據(jù)層的安全強化

典型的SDN系統(tǒng)都是基于x86的處理器并且使用TLS協(xié)議來保障平面的安全。企業(yè)通常在網(wǎng)絡設備代理和控制器之間使用TLS協(xié)議來建立認證加密機制，避免網(wǎng)絡嗅探和南向接口的欺騙通信。

3.4.2 控制層的安全強化

為阻止在SDN網(wǎng)絡中出現(xiàn)沒有經(jīng)過授權就訪問的行為，系統(tǒng)應允許管理員通過安全認證來登錄SDN控制器，在各個策略中必須要確保管理員的存在。如果一個控制器受到了攻擊，那么它必須要有一個高可靠性的構(gòu)架。如若攻擊者的攻擊方式為隱形攻擊的話，那么被攻擊的目標極易不被發(fā)現(xiàn)。

3.4.3 應用層的安全強化

為防止這種情況的發(fā)生，需要在應用層進行另一個保護措施——使用帶外數(shù)據(jù)網(wǎng)絡來控制流量傳輸。需要在數(shù)據(jù)中心部署一個帶外數(shù)據(jù)網(wǎng)絡，并且需要給北向接口的應用程序發(fā)出請求SDN資源的安全編碼，使那些在應用程序、控制器、服務之間的數(shù)據(jù)請求都有能對應的各自的加密認證方式，以此來確保數(shù)據(jù)和通信的安全，這種部署比在企業(yè)廣域網(wǎng)中進行部署成本更低且更加簡單便捷。

4 SDN如何解決云計算存在的安全威脅

4.1 華為云數(shù)據(jù)中心SDN安全解決方法

在華為全聯(lián)大會上，華為發(fā)布了這一安全解決方案。華為安全網(wǎng)關領域總經(jīng)理劉立柱是這樣形容的：“這個云數(shù)據(jù)中心安全解決方案會把它感知到的威脅送到智能分析系統(tǒng)，它是一個運用大數(shù)據(jù)系統(tǒng)構(gòu)造的自動分析系統(tǒng)，這個大腦分析判斷出機體是否得病、得了什么病，再把這個結(jié)果反饋到SDN軟件定義的控制器，控制器實時做出動態(tài)響應。”

4.2 戴爾靈動網(wǎng)絡解決方案支持SDN

在2013中國SDN大會上，戴爾網(wǎng)絡事業(yè)部執(zhí)行總監(jiān)表示SDN的愿景不僅僅是軟件定義網(wǎng)絡、軟件定義互聯(lián)，更應該是軟件定義企業(yè)。

戴爾針對這一愿景推出了戴爾靈動基礎架構(gòu)，這個架構(gòu)將服務器、存儲、網(wǎng)絡、安全軟件無縫整合在一起，使他們以同一個政策運行并作為一個統(tǒng)一體管理。同時這個架構(gòu)可與舊設備或其他廠商兼容。

采用戴爾靈動基礎架構(gòu)的基于SDN的Fabric十分簡單、靈活及便于編程，無需人力的資源配置，無需逐臺分配交換機，擁有集中化的控制面板，使整個網(wǎng)絡架構(gòu)的管理和控制更加統(tǒng)一靈動。

5 企業(yè)怎樣部署SDN

隨著云計算數(shù)據(jù)中心建設規(guī)模的壯大，為更好地滿足業(yè)務需求，在數(shù)據(jù)中心應用SDN技術組網(wǎng)成為各國運營商普遍的解決方案。

5.1 公有云大規(guī)模部署SDN

在企業(yè)的大規(guī)模部署時，其云平臺通常是OpenStack云平臺，其目標是結(jié)合SDN實現(xiàn)業(yè)務的自動化發(fā)放功能。企業(yè)根據(jù)用戶在云平臺上的邏輯組網(wǎng)及用戶的各種需求，設計在SDN控制器下自動調(diào)控各個環(huán)節(jié)下的配置，這些配置使用戶在使用時感到更加方便的同時也確保了安全性，也使部署的平臺及其業(yè)務能力具有計算彈性、網(wǎng)絡彈性、負載均衡彈性、安全彈性等特點。

5.2 企業(yè)大規(guī)模部署SDN時需注意的方面

①根據(jù)不同數(shù)據(jù)中心場景部署不同的架構(gòu)。例如，underlay架構(gòu)適用于規(guī)模較小的數(shù)據(jù)中心，由硬件交換機負責虛擬機的通信。因此需要重新審視應用程序編碼標準，確保應用程序的安全性。

②根據(jù)不同需求考慮SDN控制器的工作方式和設備管理能力。SDN對不同的虛擬平臺支持的成熟度不同，例如，KVM和VMware具備商用條件。

③統(tǒng)籌考慮SDN解決方案與虛擬平臺、負載均衡和防火墻的兼容性?？紤]部署vLB/Vfw有利于實現(xiàn)不同租戶的業(yè)務隔離。

④SDN的云安全問題。可以知道的是，現(xiàn)在大部分的安全產(chǎn)品的部署方式為把安全產(chǎn)品都部署在南北向，這種南北向的部署方式具有一個很大的弊端——極易忽略一些非常嚴重的安全問題。解決這一弊端的方法是對南北向的流量進行處理監(jiān)控;對東西向可能接近租戶的業(yè)務和虛擬機的流量進行處理監(jiān)控;在虛擬化層面引入流量，形成一個監(jiān)控網(wǎng)絡。

6 結(jié)語

云計算與互聯(lián)網(wǎng)相互融合、相互促進，給人們生活帶來便捷和利益的同時，也讓我們面臨著各種安全泄露問題。SDN作為當前網(wǎng)絡領域中最熱門最具發(fā)展前途的技術之一，具有許多前所未有的優(yōu)勢，使網(wǎng)絡能被更加靈活地控制，優(yōu)化了網(wǎng)絡信息并提升了網(wǎng)絡性能，極具發(fā)展?jié)摿Α?/p>

但同時我們?nèi)匀幻媾R著數(shù)據(jù)層和控制層關鍵技術不足的難題，如SDN的擴展性能、規(guī)則部署與跨域通信等。因此，更好地發(fā)揮SDN的各項優(yōu)勢，避免不必要的安全風險是未來SDN發(fā)展的主要目的，只有這樣才能構(gòu)建一個安全、健康、和諧、穩(wěn)定的移動互聯(lián)網(wǎng)及大數(shù)據(jù)時代。

【參考文獻】

【1】孟強.基于云計算的移動互聯(lián)網(wǎng)安全問題[J].電子商務，2016（03）：42-43.

【2】張朝昆，崔勇，唐翯翯，等.軟件定義網(wǎng)絡（SDN）研究進展[J].軟件學報，2015，26（01）：62-81.

【3】月球，劉芹，楊小樂，等.公有云大規(guī)模資源池部署SDN的應用[J].電信科學，2018，34（06）：115-122.