基于SDN的云數據中心安全防護技術研究

張少芳 王劍釗 劉延鋒

摘 要：區別于傳統的數據中心，云數據中心資源虛擬化的特性使其內部網絡變得扁平化，隨之而來的主要網絡流量方向的變化、網絡邏輯邊界的模糊等問題，使得傳統的數據中心安全技術已經無法滿足其需求。而SDN通過給出多個維度的立體安全防護設計，能夠有效滿足云數據中心對安全的彈性需求，為其業務提供更為可靠的安全保障。

關鍵詞：SDN;數據中心;安全;控制器;網絡

1 SDN的概念

SDN全稱為Software Defined Network，中文名稱為軟件定義網絡。作為一種網絡虛擬化技術，它最早由美國斯坦福大學Nick McKeown教授所領導的研究組提出。其技術的關鍵是將傳統網絡設備中緊密耦合在一起的轉發平面和控制平面進行邏輯上的剝離，從而實現對網絡中通信數據的動態控制，使網絡更易于集中管理并能對用戶需求變化及時做出響應。

在傳統網絡中，網絡設備是純分布式的控制，其控制面和轉發面緊密耦合，數據的轉發行為受到各種網絡協議的控制，而網絡管理員無法直接操控轉發行為。

SDN則進行了轉控的分離，采用集中式的控制方式，使網絡管理員可以直接通過應用程序來操控設備的轉發行為，而不受任何協議的影響。

SDN的基本架構如圖1所示。

1.1 網絡設備

與傳統的物理網絡設備不同，在SDN中網絡設備被看作一個邏輯層次，以轉發平面的形式出現。實際中，它可以是諸如交換機、路由器、防火墻等硬件設備，也可以是類似OpenVSwitch的虛擬交換機。網絡設備負責存儲網絡中所有的轉發表項，并基于SDN控制器的指令來接收用戶的數據報文，然后根據流表對其進行轉發。

網絡設備在其上層SDN控制器的控制下進行工作，他們之間的通信基于南向接口實現，網絡設備一方面需要接收并執行SDN控制器對其發出的指令，另一方面在遇到異常情況時也會主動發送Trap報文到SDN控制器。

1.2 南向接口

南向接口是轉發平面與控制平面之間進行溝通的通道。在傳統網絡中，南向接口、控制平面和轉發平面一起被集成在硬件網絡設備中，對外并不可見。而在SDN架構中，希望通過對南向接口進行標準化來對網絡設備的軟硬件進行解耦，否則SDN到最后還是特定軟件只能在特定硬件上運行。

注意：南向接口向上屏蔽了硬件交換機和虛擬交換機的區別，上層能看到的只是抽象的轉發平面。

1.3 控制器

在一個SDN網絡中，控制器（Controller）的數量可能不止一個，當存在多個Controller時，它們之間的關系可能是相互獨立的對等關系，也可能是主從的關系。如果多個Controller之間為主從關系，則只能有一臺主Controller。Controller和網絡設備之間的關系則可以是多對多的關系。Controller一般會被安裝在專門進行網絡管理的服務器上。

作為SDN網絡中的核心，Controller向上會為上層服務提供應用程序接口，向下則基于OpenFlow等協議控制轉發平面的行為。

1.4 北向接口

在傳統網絡中，北向接口指的是諸如iMC、eSight等對網絡進行管理的軟件與硬件網絡設備之間的接口，一般采用簡單網絡管理協議（SNMP）來進行通信。在SDN架構中，指的則是SDN Controller與上層Application之間的接口。

1.5 應用服務

包括負載均衡、安全、網絡運行情況檢測、拓撲發現等各種服務，其目的主要是對網絡進行管理，最終表現形式均為軟件應用程序。它們的安裝位置既可以與Controller在同一臺物理服務器上，也可以在不同的服務器上，只要其與Controller之間通過北向接口可以通信即可。

2 云數據中心面臨的安全挑戰

在傳統的數據中心中，其網絡往往采用接入層、匯聚層和核心層的三層架構，對網絡資源通過功能分區的方式進行部署，區域之間或者通過劃分VLAN結合VLAN間訪問控制的方式進行邏輯上的隔離，或者直接進行物理上的隔離。數據中心網絡與外網之間則一般通過硬件防火墻設備來進行隔離。而云數據中心通過對資源的虛擬化打破了傳統數據中心網絡的物理邊界，網絡從三層架構轉變為邏輯上的大二層網絡。這也為如何保障云數據中心的安全帶來了挑戰。

（1）虛擬化技術使數據中心的流量從以前的南北向流量為主轉為了東西向流量為主，而傳統上基于功能分區的訪問控制導致東西向流量的路徑迂回，從而使通信延遲增大，云數據中心無法為租戶提供高效的服務。

（2）隨著云數據中心租戶以及虛擬機規模的增大，基于高效利用資源的虛擬機動態遷移增加，網絡安全邊界變得模糊，傳統手工配置的VLAN和ACL明顯無法滿足彈性邊界安全的需求，云數據中心需要可以實現策略隨行的自動化安全策略來保障虛擬應用業務的安全遷移。

3 基于SDN的云數據中心多維安全模型

針對云數據中心的特點，需要從“數據中心—子網—租戶—端口”各個維度給出立體的安全防護設計，為數據中心的業務提供更為可靠的安全保障。

與傳統數據中心網絡安全策略類似，云數據中心整體安全保障依然需要在網絡的入口集中式的放置硬件防火墻設備，當然為滿足云數據中心對安全的彈性需求，往往還需要結合虛擬化技術來實現防火墻資源的池化。

子網級別的安全需要為不同類型的租戶分配不同的vRouter或者vFireWall實例，一方面實現子網之間的隔離，另一方面可以通過策略實現特定的通信。

租戶級別的安全主要需要實現不同租戶之間的邏輯隔離，以避免租戶間的信息泄露以及安全問題的互相感染。這可以通過VxLAN等Overlay技術來實現。

端口級別的安全則需要將vSwitch上的端口與虛擬機進行綁定，形成安全組。安全組不僅要保障虛擬機之間東西向流量的安全，還需要保障端口安全策略能夠隨虛擬機進行遷移，實現策略的隨行。

當然，各維度的安全保障都需要SDN技術的支持，vSwitch、vRouter以及vFireWall等VNF（Virtual Network Funcation，虛擬網絡功能）實例均運行在SDN的轉發平面，需要由SDN控制平面的Controller通過NETCONF等協議對其進行自動化的配置管理，包括安全策略的配置、對安全組規則的下發以及對會話的管理，以及將不同租戶的流量引導到不同的VNF實例中等。

對于SDN Controller而言，云數據中心整體安全策略的配置一般實施到租戶級別的粒度，且由于策略實施后一般不會有太多的動態變化，因此相對來說比較簡單。而安全組規則的下發，則需要在“端口/虛擬機”級別實現安全防護。其實現主要有兩種方式：一種通過傳統的Iptables來實現，由SDN Controller集中進行Iptables規則的分發或者配置;另一種則是通過vSwitch設備的流表匹配相應的字段來實現安全組策略，當然這首先需要vSwitch設備支持標準的SDN南向接口協議OpenFlow。無論哪種方式，都需要SDN Controller能夠動態的感知虛擬機的位置，當虛擬機發生遷移時能夠及時的將相應的安全組規則隨之遷移。

SDN Controller對于會話的管理主要涉及會話的同步和會話的備份兩部分，會話的同步可以根據云數據中心的實際場景來選擇實時同步還是定期同步;會話的備份一般需要SDN Controller在各個VNF實例上進行熱備份，以保障VNF的高可用性。

4 SDN自身的安全

在為云數據中心提供安全性保障的同時，SDN自身的安全也應該受到重視。因為一旦SDN的安全性出現問題，則整個云數據中心的安全性也就無從談起。當然，對于SDN安全的研究還沒有形成特別成熟的體系，但其重點應該是SDN Controller的安全。

對于SDN Controller而言，最基本的安全要求是需要在其南向接口和北向接口上進行身份的認證、數據的加密和校驗，以防止非法接入、竊聽以及重放等攻擊方式;另外對于一些關鍵操作需要進行行為審計，以確保其合法性。如果進行網絡部署時需要將SDN控制器暴露在公網上，還需要對其進行全面的安全防護等。

5 結語

對于云數據中心所面臨的安全問題，通過立體的安全防護設計，由SDN為其提供多維度的安全保障，實現租戶之間的邏輯隔離以及安全策略的隨行，從而可以有效地保障云數據中心數據以及網絡的安全。

參考文獻：

[1]張晨.云數據中心網絡與SDN技術架構與實現[M].北京：機械工業出版社，2018.117-119.

[2]陳井泉，王龍，魏月蓮，吳蔣.基于SDN的云計算數據中心安全架構研究[J].現代電子技術，2020（03）.87-91.

[3]陳銀，陳柯，任森.基于SDN技術的云化數據中心解決方案[J].通信技術，2019（01）：152-156.

[4]謝瑩.云計算數據中心安全防護技術研究[J].西南民族大學學報（自然科學版），2018（11）：616-620.

[5]鐘翠，王蕾，羅興.云數據中心的SDN解決方案[J].電信科學，2018（07）：15-22.

基金項目：石家莊郵電職業技術學院科研項目（項目編號：YB2020019）項目名稱：云計算環境下數據中心信息安全體系架構研究

作者簡介：張少芳（1982— ），男，河北寧晉人，碩士，副教授，主要研究方向為網絡安全與管理、網絡集成技術;王劍釗（1974— ），男，河北曲陽人，本科，高級工程師，研究方向：多媒體技術、網絡教育培訓;劉延鋒（1980— ），男，河北邯鄲人，碩士，高級工程師，研究方向：計算機基礎教育、計算機教學管理。