• 快捷搜索
  • 全站搜索

基于SDN和NFV的云安全体系建设

2015-12-29 15:50:06作者:招商银行股份有限公司信息技术部 施海滨 钟祝君编辑:金融咨询网
随着云计算、虚拟化、SDN(软件定义网络)以及NFV(网络功能虚拟化)等新技术的发展,基于SDN和NFV的云安全防护体系能够满足应用多种的需求,该体系在客户侧大规模部署建设是公认的技术发展方向。

        2.可管理的全局安全策略

        SDN控制器集群通过对各种物理安全设备和NFV网元进行抽象,将原先离散的、异构的设备形成统一的逻辑安全资源池,并对所有安全资源进行统一调度,同时通过“安全服务链”实现流量检测路径规划,提供与拓扑无关的全局安全策略。

        SDN控制器集群具备全局视野,掌握整个管理域范围内的流信息,可以实现分布式安全设备的协同工作。如当在IPS检测点发现DDOS攻击时,可以立刻通知控制器集群在接入侧(如嵌入式安全vSwitch)生成一条动态黑名单或者防火墙策略,将特定攻击报文丢弃,从而使恶意流量在源端即被遏制,提升安全防护效率。

        全局安全资源池可以实现安全资源的动态复用和弹性扩展。这样,在网络部署初期不需要为未来的扩展预留不必要的安全设备,而且可以通过虚拟设备做到一机多用,减少安全设备的数量和投入成本。当安全设备性能不足时,可以在资源池中新增相应的逻辑安全资源,SDN控制器集群根据HASH引流规则,将不同的流量分配到不同的安全资源上,实现资源的弹性扩展。

        3.安全自动化快速部署、弹性扩展

        云计算业务的多样化以及快速变化的特点,对安全业务提出了灵活性要求。传统安全设备内置的业务及业务流程相对固定,无法随着应用需求的变化而变化,而SDN和NFV技术的结合可完美地实现安全业务的灵活定义、按需快速部署、弹性扩展。

        NFV技术通过将设备的硬件和软件解耦,可将传统设备提供的安全业务功能分解成一个个VNF单元,通过云平台或SDNVCFC控制器集群对NFV资源池、安全设备、网络设备及vSwitch上的业务进行统一管理,根据应用需求、业务流量特点定义不同的业务链,实现不同业务流经过不同安全单元进行差异化处理,并通过模板化方式实现各种复杂业务的快速部署。

        (1)NFV资源弹性部署

        通过VCFC控制器集群不仅可创建并对服务器动态下发NFV资源节点,如vFW、vNAT、vIPS、vDPI、vLB等,同时针对支持虚拟化的安全设备,动态创建虚拟FW、虚拟LB等,实现不同租户、同一租户不同应用的云安全业务部署。

        (2)嵌入式安全

        VCFC控制器集群基于虚拟化技术抽象定义出VNF安全业务,下发至SDNFabric网络的接入vSwitch及统一出口网关设备,满足不同租户、同一租户不同业务的云计算在接入层面、出口层面的安全业务需求。

        嵌入VNF安全业务在云计算环境中,对同一服务器内部众多的东西向流量可提供有效的安全防护。同时,嵌入VNF安全业务是基于状态的,能够对东西向流量进行安全策略和TCP状态检查。

        在虚拟环境中,VM的迁移非常常见,因此安全防护策略需要跟随VM迁移实现自动防护;当虚拟机迁移,VNF中对VM的引流策略以及相关的安全策略要能够自动迁移到新主机,确保VM安全防护策略不因迁移而发生变化。

        (3)业务安全自动化

        基于SDNFabric的云安全体系,通过VCFC控制器集群部署的NFV资源、VNF安全业务自动关联至对应的租户或租户的业务流量,实现服务链的自动部署。

        4.南北向API的全面、兼容性

        SDN和NFV技术的开放性决定了云安全体系也是一个开放的体系。SDN和NFV云安全体系各组件秉承标准、开放、端到端的理念,提供全面、丰富、灵活的南北向接口。

        5.灵活的安全云服务

        随着云计算和移动互联网的蓬勃发展,网络数据量爆炸式增长。安全管理员在利用流量日志分析安全威胁时很容易淹没在大量的“噪音”数据中,很难发现日志中存在的高风险异常现象或趋势。

        云安全体系可通过安全资源池海量网络流量、日志、告警、状态、异常数据信息综合采集和分析,输出网络安全报表,内容包括TOPN攻击,基于地址或者应用的丢包TOPN,基于地址或者应用的连接数TOPN,过去1小时、1天甚至1个月的会话新建和并发统计数报表等,让网络管理员对网络数据了如指掌,主动感知网络安全态势,利用SDN控制器机群统一的安全策略下发和控制,动态实时更新学习安全策略和修复网络。

        云安全体系还提供在线病毒和特征库升级以及紧急风险策略同步,有效防御0-day攻击,提供智能灵活的云安全服务。

        当前云计算模式已得到业界普遍认同,成为信息技术领域新的发展方向。随着云计算的大量应用,云环境的安全问题也日益突出。建立自动化、虚拟化、可动态弹性伸缩的云安全防护体系已是大势所趋。随着SDN和NFV技术的不断演进,云安全的防护体系也将日益完善,推动云计算更加健康、有序地发展。

(文章来源:中国金融电脑杂志)

首页 上一页 1 2

扫码即可手机
阅读转发此文

本文评论

相关文章