基于SDN 服務(wù)鏈的云技術(shù)數(shù)據(jù)中心安全防護(hù)

裘國(guó)星

（浙江華通云數(shù)據(jù)科技有限公司，浙江 杭州310012）

云平臺(tái)數(shù)據(jù)中心是現(xiàn)代信息數(shù)據(jù)處理的主要平臺(tái)，借助于云平臺(tái)各信息技術(shù)公司能夠?yàn)橛脩籼峁┌踩?、穩(wěn)定的信息服務(wù)，云平臺(tái)區(qū)別于傳統(tǒng)的網(wǎng)絡(luò)信息服務(wù)，因此需要在云平臺(tái)數(shù)據(jù)中心中應(yīng)用與之相匹配的安全防護(hù)策略。SDN 服務(wù)鏈技術(shù)就是應(yīng)用于云技術(shù)數(shù)據(jù)中心的安全防護(hù)技術(shù)，其能夠有效的避免傳統(tǒng)玩網(wǎng)絡(luò)安全服務(wù)部署技術(shù)所存在的不足，為云技術(shù)數(shù)據(jù)中心構(gòu)建起全新的安全防護(hù)策略。

1 傳統(tǒng)網(wǎng)絡(luò)安全服務(wù)部署所存在的不足

傳統(tǒng)網(wǎng)絡(luò)安全服務(wù)部署采用的是物理拓?fù)涞姆绞?，采用手工設(shè)置安全策略，而安全設(shè)備將直接布設(shè)在網(wǎng)絡(luò)業(yè)務(wù)流量路徑中。在需要對(duì)安全服務(wù)策略進(jìn)行更換時(shí)則需要進(jìn)行大量的手動(dòng)配置，繁瑣而耗時(shí)，因此無法滿足現(xiàn)代社會(huì)對(duì)于信息產(chǎn)業(yè)快速發(fā)展的需求。同時(shí)，傳統(tǒng)的網(wǎng)絡(luò)安全服務(wù)部署由于直接與網(wǎng)絡(luò)業(yè)務(wù)流量業(yè)務(wù)相關(guān)聯(lián)，其在安全服務(wù)的過程中需要進(jìn)行多次的解包與封包操作，繁瑣且耗時(shí)，安全設(shè)備的資源擴(kuò)展性較差、共享性不足，在擴(kuò)展時(shí)則需要使用高端設(shè)備來彌補(bǔ)性能的不足。

2 SDN 服務(wù)鏈的技術(shù)優(yōu)勢(shì)

服務(wù)鏈技術(shù)是為了方便用戶，在為用戶提供良好的通訊服務(wù)的同時(shí)按照業(yè)務(wù)邏輯要求依次穿過各種安全服務(wù)節(jié)點(diǎn)，并根據(jù)業(yè)務(wù)服務(wù)的需求來設(shè)定安全訪問路徑。SDN 服務(wù)鏈技術(shù)是一種可以應(yīng)用于云平臺(tái)的安全服務(wù)技術(shù)，此技術(shù)最大的特點(diǎn)在與將控制平面、虛擬網(wǎng)絡(luò)和轉(zhuǎn)發(fā)平面、物理網(wǎng)絡(luò)之間相分離。物理網(wǎng)絡(luò)是虛擬網(wǎng)絡(luò)的基礎(chǔ)，以物理網(wǎng)絡(luò)的虛擬化和邏輯化抽象與SDN Overlay 虛擬網(wǎng)絡(luò)的控制部件相結(jié)合，完成對(duì)于網(wǎng)絡(luò)安全服務(wù)鏈的控制，實(shí)現(xiàn)安全服務(wù)與網(wǎng)絡(luò)架構(gòu)的有機(jī)結(jié)合，安全服務(wù)的轉(zhuǎn)發(fā)流量可以通過自動(dòng)穿過安全服務(wù)節(jié)點(diǎn)完成相關(guān)的安全服務(wù)處理業(yè)務(wù)。采用SDN 服務(wù)鏈能夠方便的完成安全拓?fù)?。此外，SDN 服務(wù)鏈所具有的服務(wù)節(jié)點(diǎn)統(tǒng)一資源池化能夠?qū)崿F(xiàn)安全服務(wù)的安全、快速的共享。云平臺(tái)所涉及到的用戶眾多，基于SDN 服務(wù)鏈的安全策略能夠有效的打破傳統(tǒng)物理拓?fù)渌鶐淼牟蛔?，?shí)現(xiàn)個(gè)性化的安全防護(hù)策略，通過基于用戶的業(yè)務(wù)需求自動(dòng)轉(zhuǎn)發(fā)文件實(shí)現(xiàn)用戶所需安全服務(wù)的快速編制和修改，而無需對(duì)物理拓?fù)湓斐捎绊?。相較于傳統(tǒng)的安全服務(wù)，SDN 服務(wù)鏈技術(shù)的應(yīng)用將傳統(tǒng)的數(shù)據(jù)報(bào)文簡(jiǎn)化為一次，僅僅在初次接入的流分類節(jié)點(diǎn)中進(jìn)行一次分發(fā)，即可完成整個(gè)流程。SDN 服務(wù)鏈所采用的虛擬網(wǎng)絡(luò)是疊加在物理服務(wù)網(wǎng)絡(luò)上的，采用的是邏輯隧道疊加方式，現(xiàn)今應(yīng)用于安全服務(wù)的技術(shù)標(biāo)準(zhǔn)為VXLAN.

3 報(bào)文在SDN 服務(wù)鏈中的識(shí)別與封裝

數(shù)據(jù)報(bào)文在SDN 服務(wù)鏈中需要添加相應(yīng)的文字段來進(jìn)行標(biāo)識(shí)，以便SDN 服務(wù)鏈能夠完成識(shí)別和封裝。各SDN 服務(wù)鏈具有不同的標(biāo)識(shí)，數(shù)據(jù)報(bào)文所攜帶的標(biāo)識(shí)將引導(dǎo)數(shù)據(jù)報(bào)文通過某一條SDN 服務(wù)鏈進(jìn)行傳輸。數(shù)據(jù)報(bào)文的封裝和標(biāo)識(shí)特征有以下2 種：（1）VXLAN 封裝。此種方式應(yīng)用的前提在于網(wǎng)絡(luò)設(shè)備支持相關(guān)功能。SDN 服務(wù)鏈對(duì)VXLAN 報(bào)文的擴(kuò)展以VXLAN 報(bào)文頭保留字段中的某一3 字節(jié)作為服務(wù)路徑ID，用于確定服務(wù)鏈。此外，在上述3 字節(jié)中還包括有1 字節(jié)的信息用于記錄服務(wù)鏈與主機(jī)服務(wù)節(jié)點(diǎn)之間的連接通信次數(shù)。（2）NSH 擴(kuò)展封裝。NSH是一種應(yīng)用于服務(wù)鏈的封裝格式，NSH 具有良好的通用性能夠應(yīng)用于多種Overlay 封裝中，NSH 通過對(duì)VXLAN 報(bào)文進(jìn)行擴(kuò)展能夠攜帶不同業(yè)務(wù)所需要的上下文信息，用以在簡(jiǎn)單的步驟內(nèi)完成復(fù)雜的業(yè)務(wù)，使用NSH 能夠完成二層用戶報(bào)文甚至是三層用戶報(bào)文。

4 SDN 服務(wù)鏈對(duì)于數(shù)據(jù)報(bào)文的處理

以VCFC 為核心布設(shè)SDN 服務(wù)鏈時(shí)，VCFC 將根據(jù)云平臺(tái)上用戶的需求完成相關(guān)服務(wù)鏈的布設(shè)，同時(shí)將梳理布設(shè)服務(wù)鏈上各節(jié)點(diǎn)的業(yè)務(wù)邏輯，VCFC 為報(bào)文特征下發(fā)端，VTEP 則為接收端，其在接收到VCFC 所下發(fā)的服務(wù)鏈報(bào)文特征后將所需要處理的服務(wù)鏈數(shù)據(jù)報(bào)文引入到服務(wù)鏈中用以完成邏輯處理。

5 SDN 服務(wù)鏈的組網(wǎng)模式

SDN 服務(wù)鏈的組網(wǎng)可以采用以下三種模式：（1）以VSR 為網(wǎng)關(guān)的VXLAN 服務(wù)鏈。VSR 作為VXLAN 網(wǎng)關(guān)，向Overlay 提供網(wǎng)關(guān)功能，VSwitch 軟件用以作為虛擬機(jī)和VXLAN 網(wǎng)絡(luò)的連接終端，VSwitch 軟件能夠在多種虛擬化平臺(tái)中得到良好的應(yīng)用。利用多種設(shè)備作為安全服務(wù)節(jié)點(diǎn)，以VCFC 作為安全節(jié)點(diǎn)的控制中樞完成對(duì)于各安全節(jié)點(diǎn)的集中控制和調(diào)配，實(shí)現(xiàn)整個(gè)服務(wù)鏈的功能。（2）以物理交換機(jī)作為網(wǎng)關(guān)的VXLAN 服務(wù)鏈。物理交換機(jī)作為VXLAN 網(wǎng)關(guān)，向Overlay 提供網(wǎng)關(guān)功能。物理交換機(jī)可以用作接入虛擬機(jī)和物理服務(wù)器的接口將其連接到VXLAN 網(wǎng)絡(luò)中，并借助于多種虛擬化平臺(tái)完成云服務(wù)中心數(shù)據(jù)的安全服務(wù)。在構(gòu)建的服務(wù)鏈中可以采用VSR、VFW、VLB 以及物理防火墻、安全設(shè)備等作為以物理交換機(jī)作為網(wǎng)關(guān)的VXLAN服務(wù)鏈的安全服務(wù)節(jié)點(diǎn)。（3）安全設(shè)備代理服務(wù)鏈。將傳統(tǒng)的安全設(shè)備直接應(yīng)用于服務(wù)鏈?zhǔn)菬o法兼容的，因此可以采用將VXLAN 二層網(wǎng)關(guān)用作服務(wù)鏈的代理服務(wù)節(jié)點(diǎn)，用于向SDN 服務(wù)鏈的報(bào)文特征提供解析服務(wù), 通過這一方式可以在服務(wù)鏈中引入大三方的安全設(shè)備，從而使得SDN 服務(wù)鏈技術(shù)能夠與傳統(tǒng)的安全設(shè)備相關(guān)聯(lián)，實(shí)現(xiàn)網(wǎng)絡(luò)中東西向流量的安全防護(hù)。

6 SDN 服務(wù)鏈的部署

云平臺(tái)數(shù)據(jù)中心需要處理大量的數(shù)據(jù)，其中數(shù)據(jù)主要分為：外部網(wǎng)絡(luò)與數(shù)據(jù)中心網(wǎng)絡(luò)間的數(shù)據(jù)流量（即南北向流量）；用戶間的數(shù)據(jù)交換（東西向流量）。為實(shí)現(xiàn)對(duì)于上述兩類流量的安全防護(hù)則需要做好SDN 服務(wù)鏈的部署.在南北向流量的SDN 服務(wù)鏈部署上可以采用以下兩種模式：（1）使用集成化的NGFW 設(shè)備作為VXLAN 的網(wǎng)關(guān)用于管理用戶的VXLAN流量，NGFW 設(shè)備還可以用作安全設(shè)備與物理拓?fù)錁I(yè)務(wù)的安全防護(hù)，NGFW 具有多種防護(hù)功能，能夠根據(jù)需要通過在設(shè)備上增減配置完成用戶所需要的差異化安全服務(wù)，為用戶構(gòu)建起差異化的防火墻。以VCFC 作為管理核心能夠?qū)崿F(xiàn)多臺(tái)VXLAN 網(wǎng)關(guān)的最大化負(fù)載。（2）此模式重點(diǎn)在于在云平臺(tái)數(shù)據(jù)中心中加入了不同的安全設(shè)備用于構(gòu)建起多樣化的安全服務(wù)池，根據(jù)用戶的需求鏈接起不同的安全服務(wù)鏈。在FW/LB 和IPS 功能的實(shí)現(xiàn)上需要使用單獨(dú)的安全設(shè)備，VCFC 所控制的流量必須要經(jīng)過上述功能中的任意兩個(gè)，在最外層的安全防護(hù)上則采用的是專用的安全防火墻用于云平臺(tái)數(shù)據(jù)中心VXLAN 和VLAN 之間的安全防護(hù)。

云平臺(tái)數(shù)據(jù)中心東西流量的SDN 服務(wù)鏈的部署則依靠的是Overlay 網(wǎng)絡(luò)的轉(zhuǎn)發(fā)，所有的安全服務(wù)節(jié)點(diǎn)都能夠完成VXLAN 報(bào)文的處理，VCFC 則控制著各流量按照不同的防護(hù)邏輯依次穿過各安全服務(wù)節(jié)點(diǎn)。

SDN 服務(wù)鏈的編排則依靠的是SDN 控制器，SDN 控制器主要用于對(duì)SDN Overlay 網(wǎng)絡(luò)的控制，在SDN 服務(wù)鏈編排控制上采用的是：安全服務(wù)節(jié)點(diǎn)申請(qǐng)- 防護(hù)節(jié)點(diǎn)定義- 負(fù)載均衡成員安全服務(wù)配置- 流量特征組在定義。上述定義后的特征流量將以流表和配置的方式向分類節(jié)點(diǎn)和安全服務(wù)節(jié)點(diǎn)下發(fā)，進(jìn)而引導(dǎo)用戶的流量進(jìn)行自動(dòng)轉(zhuǎn)發(fā)。

7 結(jié)論

云平臺(tái)數(shù)據(jù)中心中可以采用SDN 服務(wù)鏈作為安全服務(wù)技術(shù)，基于SDN Overlay 虛擬網(wǎng)絡(luò)所構(gòu)建的安全服務(wù)資源池將能夠?yàn)橛脩籼峁┒鄻踊陌踩?wù)?；赟DN 服務(wù)鏈的安全服務(wù)將物理拓?fù)浣怦钆c安全部署相結(jié)合，實(shí)現(xiàn)云平臺(tái)上所需安全服務(wù)資源的共享，同時(shí)SDN 服務(wù)鏈在云平臺(tái)上的應(yīng)用還增強(qiáng)了安全服務(wù)的彈性，方便云平臺(tái)的安全服務(wù)根據(jù)需要進(jìn)行變更。