• 快捷搜索
  • 全站搜索

基于SDN和NFV的云安全体系建设

2015-12-29 15:50:06作者:招商银行股份有限公司信息技术部 施海滨 钟祝君编辑:金融咨询网
随着云计算、虚拟化、SDN(软件定义网络)以及NFV(网络功能虚拟化)等新技术的发展,基于SDN和NFV的云安全防护体系能够满足应用多种的需求,该体系在客户侧大规模部署建设是公认的技术发展方向。

随着云计算、虚拟化、SDN(软件定义网络)以及NFV(网络功能虚拟化)等新技术的发展,传统硬件设备对应用所需要的灵活性、动态性、可调度性支持的缺失,使人们更多地希望通过新技术来解决这些问题,基于SDN和NFV的云安全防护体系能够满足应用对这些特性的需求,该体系在客户侧大规模部署建设是公认的技术发展方向,是大势所趋。

        SDN及NFV技术出色的灵活性和可定义的特性,非常符合计算虚拟化环境下的网络支撑需求,业界都在讨论如何利用其架构及技术特点来解决云计算存在的安全问题。

一、云计算面临的安全挑战

        云计算、虚拟化等新技术的发展,带来了新一轮的IT技术变革,赋予了应用灵活性、扩展性、快速交付等特性,但同时也给网络与业务带来巨大的挑战,如需要网络能够支持面向应用的二层环境,策略能够根据应用变化而调整,网络服务模式需要从传统的连接服务转向面向应用的网络交付,而社交网络、在线大流量视频以及创新的服务模式如物联网、大数据的出现,对网络安全提出了更高的要求。

        传统的安全部署模式在管理性、伸缩性、业务快速升级等方面逐渐表现出对业务支撑能力的不足:

        基于拓扑结构的局部安全部署,由于串联设备性能差异巨大,导致木桶效应明显;

        分散的设备策略配置管理,对管理员安全技能要求高;

        安全规则复杂,手工配置和维护困难;

        安全能力无法动态复用,资源浪费明显;

        物理安全设备容易成为“拥塞点”和性能瓶颈;

        物理安全设备对虚拟机东西向流量不可见,无法实施有效的安全策略管理;

        物理安全设备特性开发部署周期长,不能随着应用需求的变化而快速调整;

        物理安全设备大都是封闭、固化的,不能动态伸缩,部署初期资源浪费,后期网络拓展困难。

二、基于SDN和NFV的云安全体系架构

        针对云计算所带来的安全挑战,SDN和NFV作为新一代网络技术,既可独立部署解决不同的网络问题,满足不同的业务需求,又能够紧密结合,实现网络灵活调度、动态扩展、按需快速交付,可最大程度地满足用户对业务部署的要求。

        根据ONF(OpenNetworkFoundation)的SDN分层体系,SDNFabric网络实现了控制与转发分离、软硬件解耦,转发层由支持OpenFlow及Overlay等核心技术的网络硬件设备组成,控制层由软件控制集群及硬件设备的操作系统完成。同时,创新性地将NFVManager以APP的形式集成到VCFC控制集群上,可实现SDN控制器集群对NFV的定义、NFV的自动化部署及NFV资源池的弹性伸缩等生命周期控制管理。

        基于SDN及NFV技术的云安全体系架构的基础硬件层和物理抽象层不仅包括运行NFV的物理服务器,还包括物理安全设备、嵌入安全的vSwitch物理服务器、支持虚拟化的安全物理设备等设施,与SDN架构中的数据转发层相对应;业务控制层则由NFV操作系统、设备操作系统与上层应用组成。

        基于SDN及NFV技术的云安全体系的功能区域包括以下几部分:

        一是云计算接入安全,通过嵌入式安全vSwitch技术,形成基于状态的安全防护体系;

        二是云计算出口安全,支持虚拟化的高性能安全物理设备、灵活的NFV技术等最大化满足公有云的安全防护及网络安全业务需求;

        三是云计算互访安全,面对虚拟化、复杂的云计算东西向流量和南北向流量,云安全资源池可实现对不同租户计算、相同租户下不同计算互访的安全需求,如防火墙、IPS、负载均衡、DPI等,通过SDN控制器集群实现安全业务的按需动态部署及自动化弹性伸缩,达到云计算安全业务的自动化交付、简化管理;

        四是云计算VCFC控制器集群,作为云安全体系的控制大脑,VCFC控制器集群不仅负责基于SDNFabric部署Overlay虚拟化网络创建、流量转发与维护等的管理,还负责完成对云计算安全业务的动态部署、NFV生命周期管理等,并提供丰富的北向API,完成和云管理平台的无缝对接。

三、云安全体系特点及价值

        SDN基于控制与转发分离理念,以各种标准南北向开放接口为手段,实现网络灵活适配应用;NFV利用虚拟化技术,通过标准x86服务器运行防火墙、IPS、LB等网络安全业务,并形成资源池化,让网络不再依赖于专用硬件,从而使云安全体系的安全业务能够“弹性扩展”、“快速交付”、“统一部署”,解决传统安全部署的“拓扑依赖”问题。

        1.可定义、自适应的安全

        SDN将控制层从转发设备上分离出来,为实现软件灵活定义网络创造了条件。网络管理员可以方便地定义基于网络流的安全控制策略,并将其应用到各种网络设备中,从而实现对整个网络通信的安全控制。

        SDN网络可以实现基于流的调度,网络管理员可以静态配置或者动态生成引流规则,将报文牵引到不同的安全设备上进行处理。与传统的基于IP包的转发规则相比,基于流的调度使安全服务和管控更加细粒度,提升了安全服务的防护效率和准确性。

        SDN网络具有基于控制器的软件编程能力,网络管理员通过安全APP或者安全模板提供安全即服务SaaS,安全设备运维管理自动化配置,实现维护服务更有效、更低成本、更快速,在降低安全运维和学习成本的同时提高安全防护的及时性和效率。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章