谈“软件定义安全”的云计算安全实现方式

　　应用背景

　　随着云计算、软件定义网络SDN等新技术的广泛应用，以及伴随新型攻击方式的出现，传统网络安全模式面临着巨大挑战。在云计算环境中，物理安全设备不能监控和理解虚拟化数据流，难以对其进行有效防护;传统安全架构不能提供按需弹性的网络安全功能，无法适应云计算环境灵活的业务发展需求。

　　在软件定义网络SDN的基础上提出“软件定义安全SDS”的安全防护思路，实现云计算环境的安全由业务和应用驱动，从而实现复杂网络的安全防护，提升安全防护能力和用户安全体验。

　　基于“软件定义安全”的防护思路

　　软件定义安全SDS是从软件定义网络SDN引申而来，原理是将通过安全数据平面与控制平面分离，对物理及虚拟的安全设备与其接入模式、部署方式、实现功能进行了解耦，底层抽象为安全资源池里的资源，顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理，以完成相应的安全功能，从而实现一种灵活的安全防护。

　　图1 软件定义安全的防护架构

　　如图1：作为安全操作系统的安全控制平台，向上为安全应用提供编程接口，向下提供安全设备资源池化管理，东西向可适配不同的业务管理平台(如云管理平台、SDN控制平台和定制的管理平台等)。在内部，从这些不同的接口获得信息转化成标准的安全策略、资产库信息、日志告警，并利用这些信息完成任务调度、智能决策和命令推送，将以往需要人工完成或半自动完成的管理流程转换成了接近全自动化控制。

　　在云计算环境中利用虚拟化技术实现安全设备的资源池化，并通过安全控制平台与SDN控制器的协同，使云计算环境中的流量经过特定安全设备，实现安全检测、过滤等安全防护功能。此外根据应用所需的安全需求就可以从资源池中找到相应安全资源，而不用关心物理上安全设备部署在哪里，也不需要考虑安全设备如何布线划区。

　　图 2 网络安全设备部署方式

　　如图2：虚拟安全设备可以部署在计算节点或安全节点上，工作在二/三层网络。计算节点和安全节点内Hypervisor的虚拟交换机连接到SDN控制器，安全控制平台通过SDN控制器开放的北向接口与之连接。

　　图 3 使用SDN技术实现流量牵引的原理

　　如图3：当接收并解析安全策略后，安全控制平台通过SDN控制器向虚拟交换机下发流表，依次在源节点的虚拟交换机、源目节点间的隧道(GRE/VXLAN等)和目的节点的虚拟交换机之间建立一条路径，这样原来虚拟机VM1通过源节点虚拟交换机直接到 VM2的流量，就沿着上述指定路径先到了目的节点的虚拟安全设备，当处理完毕之后，数据流从安全设备的输出网卡返回到最终的目的虚拟机VM2。

　　图 4 使用SDN技术实现服务链

　　如图4：当需要多种类型的安全防护时，数据流就会依次经过多个安全设备，形成一条服务链。

　　实现价值

　　1.纵深防御的安全体系

　　基于安全域部署相应的防护措施，实现纵深防御，满足云计算平台的安全保障要求。

　　2.模块化架构可灵活扩展

　　根据应用场景和需求的不同，选择和部署相应的安全资源、系统功能模块、安全应用。

　　3.横向(东西)流量的防护

　　通过部署虚拟化的安全资源池和流量引导技术，可以实现牵引东西向流量到安全资源池内做检测和防护。

　　4.满足等保合规要求

　　通过构建安全监测、识别、防护、审计和响应的综合安全能力，保障云计算资源和服务的安全，确保符合等级保护的要求。