基于軟件定義安全的服務功能鏈設計①

梁瓊瑤,秦 華,劉文懋

1(北京工業大學 信息學部,北京 100124)

2(北京神州綠盟信息安全科技股份有限公司,北京 100089)

1 前言

傳統網絡中部署安全設備往往受限于網絡物理拓撲的緊耦合性,且部署后的安全設備功能相對固定,不易擴容.當前特別是在云計算環境下,面對快速、多變、持續性的安全威脅,亟需具有快速、按需而變能力的安全防護方案.2012年Gartner機構提出軟件定義安全[1](Software Defined Security,SDS),通過分離安全控制平面和數據平面,將網絡安全設備與其接入模式、部署方式進行解耦,底層通過網絡功能虛擬化(Network Function Virtualization,NFV)將安全設備虛擬化形成安全資源池,頂層通過軟件定義的方式進行自動化管理,實現新業務安全需求的快速開發和部署.

基于SDS構建的安全服務功能鏈可動態、靈活的提供各種安全服務.IETF SFC工作組的草案[2,3]中對服務功能鏈的定義、架構、使用場景、路由轉發、協議及報文格式等進行了詳細闡述.文獻[4,5]主要描述了在NFV架構下對服務功能鏈資源調度工作,充分考慮了對網絡資源的優化利用,但未提及如何構建服務功能鏈.文獻[6]提出了基于SDN/NFV的安全服務鏈架構,描述了SDN,NFV與安全服務鏈的關系,并通過組合虛擬安全應用模塊來構建安全服務鏈,但未具體描述安全服務鏈的實現以及安全資源調度的問題.

綜上,本文基于SDS的服務功能鏈框架,研究在虛擬網絡環境中動態編排部署安全服務功能鏈,主要討論了安全服務功能鏈的構建、虛擬安全設備的調度以及流量調度方面的問題,實現按需而變的安全防護機制.

2 軟件定義安全服務功能鏈設計

2.1 軟件定義安全架構

SDS架構可分為四個部分:安全應用接口,實現安全功能的安全資源池,軟件定義的安全控制器和軟件定義的SDN控制器,如圖1所示.

圖1 SDS架構

安全應用接口:位于架構的頂層,向安全控制器推送用戶定義的安全需求;

安全資源池:由傳統的物理安全防護組件、虛擬化安全防護組件組成,通過安全能力抽象和資源池化,將安全設備抽象為具有安全能力的資源池,提供基礎的安全防護能力;

安全控制器:安全控制器北向與安全應用進行數據和安全需求的交互;南向提供對基礎安全防護組件的注冊、調度的管理;西向與SDN控制器對接,生成需要的邏輯拓撲、數據流的調度指令;

SDN控制器:維護全網視圖,監控全網拓撲,根據安全控制器傳遞的流指令實現網絡流量重定向的功能.

2.2 安全設備虛擬化

將安全設備部署到云計算環境中形成集中管理的安全資源池,需要使用NFV虛擬化技術實現安全設備虛擬化,以便根據需求動態靈活的部署.

2.2.1 基于NFV的安全架構

基于NFV[7]的安全架構,如圖2所示,底層的虛擬安全設備SFVI抽象為安全資源池里的資源,SFV通過軟件編程的方式進行智能化、自動化的業務編排和管理,為VSF提供各種安全能力,以完成相應的安全功能,從而實現一種靈活的安全防護.當用戶申請某種安全能力時,通過統一的資源調度算法選擇合適的節點,在該節點上完成相應的業務.

圖2 基于NFV的安全架構

2.2.2 基于NFV的安全資源調度

為了充分利用安全資源池中宿主機的資源,改善負載平衡,在啟動虛擬安全設備時綜合考慮三種資源指標(內存、CPU和磁盤空間)調度算法.

調度工作分為兩個階段:

(1)過濾階段:比較宿主機節點每個資源指標(空閑內存、空閑CPU、空閑磁盤空間)是否大于所啟動虛擬安全設備占用的資源空間,若其中一個指標不符合,則將該宿主機節點過濾掉.

(2)計算階段:計算剩余宿主機資源指標歸一化效用值.

1)MEMmax表示剩余宿主機中最大空閑內存值,MEMmin表示剩余宿主機中最小空閑內存值,空閑內存為X的宿主機其內存的歸一化效用值Um的計算如公式(1)所示.

2)CPUmax表示剩余宿主機中最大空閑CPU數,CPUmin表示剩余宿主機中最小空閑CPU數,空閑CPU數為Y的宿主機其CPU的歸一化效用值Uc的計算如公式(2)所示.

3)DISKmax表示剩余宿主機中最大空閑磁盤空間值,DISKmin表示剩余宿主機中最小空閑磁盤空間值,空閑磁盤空間為Z的宿主機其磁盤空間的歸一化效用值Ud的計算如公式(3)所示.

4)綜合三項資源指標的效用值,該宿主機節點的綜合效用值U的計算如公式(4)所示.

其中,W1、W2和W3分別代表三種資源指標(內存、CPU、磁盤空間)對應的權重值且W1+W2+W3=1,U值最大的節點即為要選擇的最優調度節點.

2.3 安全服務功能鏈

2.3.1 術語定義

服務功能術語定義如下:

安全服務功能(Security Service Function,SSF):安全服務功能負責對收到的報文進行具體處理,如防火墻、IDS、IPS等安全設備.

分類器(Classifier):根據不同的用戶安全需求,對不同的流量進行分類.分類后的流量會經過不同的SSF.

服務功能轉發器(Service Function Forwarder,SFF):根據報文攜帶的安全服務功能鏈封裝信息將流量轉發至SSF上,同時處理從SSF回傳的流量.可以把SFF理解為一個OpenvSwitch虛擬交換機.

安全服務功能鏈(Security Service Function Chain,SSFC):一條SSFC定義了一個有序的虛擬安全功能(VSF)集合,網絡流量需按既定順序通過這些VSF.

安全服務功能路徑(Security Service Function Path,SSFP):介于SSFC和SFF之間,給出了每個SSF對應的SFF.

2.3.2 SSFC架構

SSFC的實現包含如下幾個組件[8],如圖3所示.

邏輯層面上根據用戶安全需求,生成安全服務功能鏈,SDN控制器為該安全服務功能鏈選擇經過的SSF實例,實現邏輯SSFC到物理轉發路徑的映射;

物理層面上包含Classifier、SFF和SSF組件.Classifier對用戶流量進行分類,確定對應邏輯的服務功能鏈;SFF將封裝有對應邏輯服務功能鏈的數據報文進行逐跳轉發;SSF即虛擬安全設備,用于處理收到的數據報文.

服務功能鏈實現流程如圖3所示,包括以下步驟:(1/2)根據用戶安全需求,生成安全服務功能鏈,并將信息發送給SDN控制器;

(3)控制器根據安全服務功能鏈生成安全服務功能路徑SSFP并將相關的流表信息下發給Classifier、SFF;

(4)用戶數據報文進入Classifier,Classifier根據3下發的規則對流進行分類,匹配相應的SSFP;

(5/6)與SSFP相匹配的數據報文發送到SFF,SFF根據SSFP將流量發送到SSF1,SSF1將處理后的報文返回SFF;

(7/8)同步驟5、6;

(9)根據SSFP,報文已完成SSFC的轉發路徑,將報文發送到傳統網絡中.

圖3 SFC架構

2.3.3 SSFC邏輯表示

SSFC是一組有序的VSF集合,用戶流量按照制定的策略依次通過多個SSF.如圖4所給出的安全服務功能鏈SSFC 1、SSFC 2、SSFC 3為例,所提供的SSF依次為:

圖4 S S F C邏輯表示圖

2.3.4 SSFC物理實現

SSFC架構中各種組件完成SSFC報文轉發的實現依據是IETF定義的SSFC數據傳輸協議Network Service Header(NSH),NSH專門用于創建動態服務功能鏈,NSH報文格式如下:

圖5 NSH報文格式

Service Path Identifier(SPI)和Service Index(SI)為兩個重要字段.

SPI:標識服務路徑,參與節點必須使用此標識符進行服務功能路徑選擇.

1.2.2 RACE實驗 5'-Full RACE：根據從cDNA文庫中已得到的MLAA-22基因(AY288965)的cDNA序列，使用引物設計專用軟件分別設計其下游特異性引物GSP2(外側引物)：5'-ACTGAGCTTTGGCAGCCGATACAAT-3'，以及下游特異性引物GSP3(內側引物)： 5'-CTCAATAAGGCAGTTTCGGTGGTAT-3'；此引物由Takara公司合成。按廠家提供的試劑盒說明書進行MLAA-22基因的5'-Full RACE實驗，以擴增其cDNA的5'端未知序列。

SI:提供SSFP的位置,給定SSFP的初始分類器應該將SI設置為255,但是控制平面可以適當地配置SI的初始值(即考慮服務功能路徑的長度).在執行所需服務后,NSH數據包中的SI值自減1.

SI與SPI一起用于確定一條服務功能鏈,并用于確定路徑中的下一個SFF/ SSF.圖4中SSFC1、SSFC2的表示如表1所示.

表1 SSFC1、SSFC2表示

邏輯層面SSFC到物理層面轉發路徑的映射表示:

(1)SSFC={SSF1,SSF2,…,SSFn}.表示一條SSFC由多個SSF組成有順序的安全服務功能鏈;

(2)Classifier={DPID,SPI,SI,PORT}.DPID表示OVS的標識符,SPI表示鏈的標識符,SI為初始值,PORT表示數據包封裝上NSH協議后從這個OVS端口出去;

(3)SFF={DPID,SPI,SI,PORT,SSF}.DPID表示OVS的標識符,SPI、SI為數據報文的匹配項,PORT表示連接SSF的OVS端口;

(4)SSF={TYPE,SFF}.TYPE表示虛擬安全設備的類型,如WAF、ADS等;SFF表示虛擬安全設備所映射的服務功能轉發器,通常指OVS橋.

2.4 流表下發

流表下發是由SDN控制器控制,安全控制器將解析的SSFC流指令傳遞到SDN控制器,SDN控制器獲取拓撲并結合安全控制器的流指令,通過下發流表的方式,實現流量重定向操作,使分類后的流量依次經過相應的SSFs再到目標網絡.本文的流表規則是通過OpenFlow[9]多級流表的方式實現的.

2.4.1 流表規則

根據SSFC架構,流表下發在Classifier和SFF上,設計如下:

Classifier:數據包到達Classifier,首先與table=0的流表匹配,經匹配項(如源IP、目的IP、協議類型、MAC地址等)匹配后進行NSH封裝actions={set_nsp,set_nsi,output},set_nsp表示加載鏈的標識符,set_nsi表示加載虛擬安全設備的次序,output表示將封裝NSH的數據包從OVS的端口出去.

SFF:數據包達到SFF后,首先匹配nsp,再匹配nsi,這里使用到了多級流表,流程如下:{(table=0,actions=goto_table:1);(table=1,match=nsp,actions=goto_table:4);(table=4,match=(nsp,nsi),actions=goto_table:10);(table=10,match=(nsp,nsi),actions=output)},不同級別的流表有不同的作用:

Table0:將數據包分類并進行NSH封裝;

Table1:識別數據包經過哪條服務功能鏈;

Table4:數據包的下一跳,即下一跳要經過的虛擬安全設備;

Table10:數據包的出口.

3 實驗驗證

3.1 實驗拓撲

以圖6中SSFC1為例,構建如下圖所示拓撲,圖中最頂端的計算機中啟動SDN控制器(ODL)和安全控制器,Classifier、SFF1、SFF2中為OpenvSwitch交換機,VSD1、VSD2為虛擬安全設備.H1與H2通信,要求通信過程中依次經過虛擬安全設備VSD1、VSD2.

圖6 實驗拓撲圖

用戶配置所需的安全服務功能鏈即依次經過VSD1(firewall)、VSD2(ips),如圖7所示.安全控制器根據用戶配置在安全資源池中啟動相應的虛擬安全設備,VSD1的啟動如圖8所示.

圖7 SSFC前端顯示

圖8 VSD1(firewall)啟動圖

3.2 實驗結果分析

3.2.1 流表數據

安全控制器將SSFC的流指令發送給ODL控制器,ODL生成相應的流表下發給Classifier、SFF.H1到H2的數據流流向按圖6中的①～⑥各步驟所示,實驗數據如下:

① H1的數據包到達Classifier,數據包封裝上NSH,從2端口出.流表如下:

② 數據流達到SFF1并匹配以下流表,nsp=44,nsi=255,目的地址=192.168.1.30,從1端口出.

③ VSD1對數據包進行處理,nsp=44,nsi=254,再將數據報文轉發到SFF1

④ 數據報文匹配以下流表,nsp=44,nsi=254,從1端口出.

⑤ 數據報文匹配以下流表,nsp=44,nsi=254,目的地址=192.168.1.40,從1端口出.

⑥ VSD2對數據包進行處理,nsp=44,nsi=253,再將數據報文轉發到SFF2.

3.2.2 報文數據

SFF1到VSD1:nsp=44,nsi=255,SFF1到SFF2:nsp=44,nsi=254.分別如圖9、圖10所示.

圖9 報文分析

圖10 報文分析

通過實驗證明,基于軟件定義安全的服務功能鏈的設計是可行的.在虛擬網絡環境中,根據用戶的安全需求使數據流有序的依次經過各個虛擬安全設備,實現網絡流量的動態控制.

4 結束語

本文基于軟件定義安全的服務功能鏈框架,充分利用NFV虛擬化的特性,實現了根據用戶安全需求動態編排部署安全功能服務鏈,并通過實驗證明了基于軟件定義安全的服務功能鏈可以實現按需而變的安全防護.本文研究的服務功能鏈是在單一的SDN控制器基礎上,然而實際網絡應用中,單一的SDN控制器對全網進行監管理負載過重,下一步在分布式控制器的基礎上研究服務功能鏈.