SDS 架構下安全原子的構建

◆郭志君 盧宇浩

（中國電子科技集團公司第三十研究所 四川 610041）

隨著日益劇增的網(wǎng)絡攻擊行為的出現(xiàn)，傳統(tǒng)網(wǎng)絡安全防護體系即在大容量交換設備基礎上疊加各類安全防護設備，這種串行部署方式和存在功能重疊的安全防護設計，會在轉發(fā)數(shù)據(jù)包時進行多次的協(xié)議解析和處理，體現(xiàn)出來的弊端即可擴展性差、管理運維復雜、網(wǎng)絡性能低下，難以形成靈活便捷的安全防御體系。

軟件定義網(wǎng)絡（Software Defined Networking）是由美國斯坦福大學提出的一種新興的基于軟件的網(wǎng)絡架構及技術，其“開放性、網(wǎng)絡可編程、網(wǎng)絡虛擬化”的技術特點，使得這種架構在新一代網(wǎng)絡構建中具有先天的優(yōu)勢。其數(shù)據(jù)平面和控制平面的松耦合架構，可以盡可能將網(wǎng)絡安全功能與網(wǎng)絡安全設備解綁，而且在多租戶使用的應用模式下亦可以有針對性地靈活配置與之相匹配的網(wǎng)絡安全防護能力。

基于此，本文針對當前封裝在各個網(wǎng)絡安全設備中的基本功能進行抽象裁剪形成一系列安全原子，以安全功能原子資源池的形式在基于SDN 網(wǎng)絡中進行可重構的全局網(wǎng)絡安全防護功能的構建，實現(xiàn)新一代SDN 網(wǎng)絡下“多樣性、集約化、易管理”的安全防御體系。

1 SDS 與VSA 的區(qū)別

從SDN 演進的過程中，實現(xiàn)SDN 網(wǎng)絡環(huán)境中的安全防護主要有兩種架構：虛擬化的安全設備VSA（Virtualized Security Appliance）和軟件定義安全SDS（Software Defined Security）[1]。

VSA 的特點是通過對傳統(tǒng)軟硬件形態(tài)的安全設備虛擬化，以虛擬鏡像的方式嵌入部署到SDN 網(wǎng)絡中。這種方式的靈活性體現(xiàn)在將實際物理拓撲映射成邏輯拓撲，由SDN 控制平面按照既定策略和邏輯拓撲讓數(shù)據(jù)流經(jīng)過相應的安全設備進行安全處理，且各安全設備可通過RESTful APⅠ接口進行進一步的安全管理服務集成。雖然是對傳統(tǒng)安全產(chǎn)品和技術的一種平滑演進，但其實質上并未提升安全防護能力，只是利用了SDN 對網(wǎng)絡的可編程能力提升自動化部署程度，以降低安全運維的成本。

SDS 的特點是將安全的控制平面和數(shù)據(jù)平面進行分離，將安全設備的功能進行重整、合并、簡化處理，以去除冗余功能和重疊功能，形成安全原子服務資源集，通過虛擬技術和服務編排技術，以達到動態(tài)可重構的、定制化的安全防御能力。這種方式具有更高的效率和開放性，是真正意義上的軟件定義。

2 SDS 三層模型

SDS 最大的特色即繼承了SDN 的三大特點：集中控制、開發(fā)接口和網(wǎng)絡虛擬化[2]。因此安全防御體系的SDS架構模型依然延續(xù)SDN的三層架構，如圖1 所示。

（1）基礎設施層，包括OpenFlow 交換機和OpenFlow 路由器等設備，主要負責維護流表和設備狀態(tài)等重要信息，從而實現(xiàn)數(shù)據(jù)平面上的處理，如轉發(fā)或丟棄等。

（2）控制層，包含網(wǎng)絡操作系統(tǒng)NOS、SDN 控制器和安全控制器。SDN 控制器向下通過南向接口以Openflow 協(xié)議進行數(shù)據(jù)/指令交互，向上通過開放式北向接口APⅠ與應用層通信，可以通過鏈路層發(fā)現(xiàn)協(xié)議LLDP 可建立全局視圖，管理網(wǎng)絡資源[3]。目前已公開的SDN 控制器有FloodLight、Beacon、MulJaxon、Nox、Pox 等。在控制層，安全控制器用于定義和維護以及更新全局的安全策略，該控制器的實現(xiàn)可以是在原有SDN 控制器的基礎上實現(xiàn)，也可以單獨成立。

（3）應用層，包括由設備管理、應用管理、策略服務等通用原子構建的通用資源池和由包過濾、策略配置、信譽評估、流量統(tǒng)計等安全原子構建的安全資源池。資源池中的資源可以是廠商甲的，也可以是廠商乙的，均采用標準的對外描述、管理和控制接口。

圖1 SDS 架構的安全防御體系模型

3 安全原子模型

SDS 最鮮明的特點是將傳統(tǒng)安全功能進行抽象、重整、合并、簡化成一個個安全原子單元，最終進行池化。

原子即滿足完成一定功能的，定義在輸入集Ⅰ，輸出集O、狀態(tài)集S 和動作集A 上的函數(shù)：輸出O（i，s0，a）=F1（i∈Ⅰ，s0∈S，a∈A）），狀態(tài)S（i，s0，a）=F2（i∈Ⅰ，s0∈S，a∈A）。即對于特定輸入，有特定輸出及相應的內(nèi)部狀態(tài)變遷，可以完成一定功能的資源組。原子服務作為服務編制的基本單位，也可以被注冊為資源。

安全原子資源池即由多種安全原子服務資源組成的一個異構的集合，采用標準化的封裝技術，解決廠商鎖定的問題，更開放性的容納第三方廠商的安全功能。

以防火墻為例，作為最傳統(tǒng)最基礎的邊界安全防護功能，其最核心的三個功能要素：策略配置和包過濾。策略配置，主要負責對配置數(shù)據(jù)的維護，除了新增配置操作之外，還需要有刪除、更新及查詢操作，屬于對外交互接口。代入原子的狀態(tài)函數(shù)，即當外部接口輸入操作指令后，會根據(jù)當前狀態(tài)產(chǎn)生相應動作，因此可以列為一個原子服務。包過濾，屬于數(shù)據(jù)處理，依據(jù)特定的規(guī)則，允許或者限制傳輸?shù)臄?shù)據(jù)通過，實現(xiàn)內(nèi)外網(wǎng)之間的訪問權限控制。帶入原子的輸出函數(shù)，即當有特定數(shù)據(jù)輸入后，會根據(jù)當前規(guī)則狀態(tài)對該數(shù)據(jù)流執(zhí)行允許或阻斷，因此也可以列為一個原子服務。因此這兩個主體功能即可作為原有防火墻功能抽象后的原子。當然，還會有用于收集和計算流統(tǒng)計信息的流管理以及負責與認證服務器之間進行認證交互的認證代理等其他功能原子。應用層防火墻還會包括應用識別、應用攻擊防護等功能原子。

DDoS 防御、入侵檢測、入侵防御以及WAF 等均可以采用此法進行安全原子的抽象定義。比如DDoS 是一種利用網(wǎng)絡上已被攻陷的主機作為“僵尸機”，向某一目標電腦發(fā)送大量服務請求的攻擊，把目標主機的網(wǎng)絡資源或系統(tǒng)資源消耗殆盡，使之無法正常響應用戶的服務請求[4]。針對其技術特點，可以抽象出以下幾個功能原子：（1）流量統(tǒng)計，根據(jù)五元組或其他信息流進行流聚類以此統(tǒng)計流信息從而作為DDoS 攻擊檢測的數(shù)據(jù)依據(jù)；（2）信譽評估，即用于根據(jù)流表項發(fā)

送頻率進行信譽評級，如果發(fā)送頻率超過預警值、防護值或緊急值的數(shù)據(jù)流分別進行信譽評估，從而作為數(shù)據(jù)處理的依據(jù)；（3）策略配置，完成數(shù)據(jù)處理策略的配置、更新及查詢。入侵檢測主要采用高性能網(wǎng)絡抓包技術通過數(shù)據(jù)鏡像端口獲取網(wǎng)絡數(shù)據(jù)報文，對各種類型的網(wǎng)絡數(shù)據(jù)報文進行預處理后，通過規(guī)則庫特征匹配算法實現(xiàn)攻擊檢測，對發(fā)現(xiàn)的攻擊異常行為進行實時告警，產(chǎn)生日志文件。入侵防御是能夠監(jiān)視網(wǎng)絡或網(wǎng)絡設備的網(wǎng)絡資料傳輸行為的計算機網(wǎng)絡安全服務，能夠即時的中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡資料傳輸行為?？梢钥闯?，同防火墻和DDoS 防御一樣，ⅠDS 和ⅠPS 依然會有流識別、統(tǒng)計、策略配置等同樣的功能原子。我們就是把這些相同的功能原子進行合并、刪掉冗余，減少中間重復解析和處理的時延，從而達到對安全資源統(tǒng)一管理、按需分配，高效靈活配置的目的。

4 結語

近年來隨著大量網(wǎng)服務轉移到云端，網(wǎng)絡邊界的定義越來越模糊化，網(wǎng)絡攻擊的形式和手段也越來越隱蔽復雜和靈活多變，傳統(tǒng)的串糖葫蘆的安全防御方式已無法適應和面對網(wǎng)絡安全現(xiàn)有局勢，因此網(wǎng)絡安全防御體系需要進行根本性的變革。Gartner 早在2014 年即將“軟件定義安全”作為當年的十大信息安全技術之一，將其作為平臺革命。隨著這些年SDN 和NFV 技術的發(fā)展，以及人工智能的快速發(fā)展，軟件定義安全從原來的概念變得越來越清晰化。在實際應用實踐中這些年各大廠商也是各顯其能，發(fā)揮各自的優(yōu)勢。但目前多數(shù)僅停留在利用虛擬化技術實現(xiàn)的面向云計算的原生資源池，而非軟件定義。因此在未來網(wǎng)絡研究中安全原子模型的構建有其可行性和必然性。