近年来互联网已发生巨大的变化,无论是基础设施还是终端设备,无一不在重构我们的生活。随着云计算的普及和网络恶意攻击的产业化,数据泄露的风险不断加大,云计算信息系统中计算、网络和数据安全等方面的各种威胁也日渐突出。
传统的网络安全防护方法应用到如今复杂的网络环境中已明显表现出其局限性,借鉴软件定义网络(SDN, Software-Defined Networking)的思想,一种灵活的网络安全防护方法——软件定义安全(SDS,Software-Defined Security)应运而生,在对复杂网络的安全防护上表现出更强的适应性。
软件定义安全的架构通过将安全控制平面与安全数据平面分离,标准化南向安全控制通道,并通过安全控制器(Security Controller)保护信息系统。在云计算系统和软件定义网络环境中,更能通过虚拟资源调度和流量控制手段,实现安全威胁快速响应和多种安全手段结合的方法中断攻击链(Kill Chain)。
软件定义安全体系的核心是安全控制平台(Security Controller)。在南北方向,安全控制器根据通过解析定制化的北向安全应用逻辑,协同控制南向资源池中的安全设备,实现预期安全功能;在东西方向,控制知识库构建了多种虚拟化解决方案租户、虚拟机和虚拟网络等资产关系,且通过松耦合的方式与多种SDN的网络控制器集成,可获取拓扑和流数据等信息,并下发网络流量控制的命令,实现网络流量实时感知和控制。
图1 安全控制器的交互图
安全控制平台的优势:
(1)控制与数据分离简化了安全设备的处理引擎,使得安全设备更稳定高效。
(2)借助虚拟化技术,实现安全设备的资源池化,并通过安全控制平台与SDN控制器的协同,对流量按需调度,实现服务链(Service Chain),根据应用所需的安全需求就可以从资源池中找到相应资源,而不用关心物理上安全设备部署在哪里,也不需要考虑如何布线划区。
得益于南北向的松耦合结构,安全控制平台适用于多种场景,借助不同场景下的安全应用,安全控制平台可实现如BYOD访问控制、DDoS检测清洗、软件定义的抗APT攻击、软件定义的WEB安全等功能。
此外,东西向安全控制平台也采用松耦合结构,在大量网络业务分析后整理出了若干安全业务相关的SDN控制器北向接口和虚拟化系统接口,通过利用或开发相关接口,安全控制平台与不同的SDN和虚拟化系统集成,可部署在多种不同业务类型的客户环境中。
绿盟科技软件定义安全方案与武汉绿网控制器GNFlush的协同工作,正是这种架构多种优点的体现。经过双方技术上的配合协作,安全控制平台可借助GNFlush对全局网络流量具有可视可控的能力,并在BYOD场景中进行了验证。
图2 软件定义的BYOD访问控制
软件定义的BYOD访问控制方案可支持多种认证方式:如LDAP、OpenID和手机号验证等,进而基于访问者的角色、属性与被访问资源的关系实现访问控制。借助GNFlush控制器,可以实现流级别的细粒度控制,且无论访问者物理位置在何处,底层网络设备都执行同样的控制规则。这种全局、细粒度、强制且一致的访问控制机制可认为是云安全联盟提出的软件定义边界(Software Defined Perimeter)在BYOD场景中的实现。
此外,当使用GNFlush可实现基于上下文环境的自适应访问控制,安全控制平台通过GNFlush获得全局流视图,利用用户、终端、资产和网络环境等上下文信息形成动态的、基于风险的访问决策,建立访问安全基线,当存在异常访问时,向GNFlush下发流指令,将可疑流量牵引到安全资源池组成的安全服务链,进行DPI、代码和行为检测,并进一步对确认的威胁进行处理。
武汉绿网研制的高性能SDN控制器GNflush每秒流表下发速率高达 10M flow/s,能实现毫秒级的主备切换。控制器具备全局视野,可掌握整个管理域范围内的流信息,这与传统交换机只了解所转发的流量有很大的区别。通过和不同类型的安全功能进行结合,这个全局信息使得安全服务重构成为可能。例如,SDN可以为每个网络节点和流建立各种安全状态属性,并与安全信誉和异常发现系统等联动,实现更智能、灵活、高效的安全机制。高性能SDN控制器为各安全机制的自动化、联动、特别是跨厂商设备的联动,提供了新的机遇。
软件定义的理念正在改变IT基础设施的方方面面,如计算、存储和网络,最终成为软件定义一切(Software Defined Everything)。这“一切”必然包含安全,软件定义的安全体系将是今后安全防护的一个重要前进方向。近日,绿盟科技将发布软件定义的云安全体系架构安全白皮书,敬请期待。
