應用背景

隨著云計算、軟件定義網絡SDN等新技術的廣泛應用，以及伴隨新型攻擊方式的出現，傳統網絡安全模式面臨著巨大挑戰。在云計算環境中，物理安全設備不能監控和理解虛擬化數據流，難以對其進行有效防護;傳統安全架構不能提供按需彈性的網絡安全功能，無法適應云計算環境靈活的業務發展需求。

在軟件定義網絡SDN的基礎上提出“軟件定義安全SDS”的安全防護思路，實現云計算環境的安全由業務和應用驅動，從而實現復雜網絡的安全防護，提升安全防護能力和用戶安全體驗。

基于“軟件定義安全”的防護思路

軟件定義安全SDS是從軟件定義網絡SDN引申而來，原理是將通過安全數據平面與控制平面分離，對物理及虛擬的安全設備與其接入模式、部署方式、實現功能進行了解耦，底層抽象為安全資源池里的資源，頂層統一通過軟件編程的方式進行智能化、自動化的業務編排和管理，以完成相應的安全功能，從而實現一種靈活的安全防護。

圖1 軟件定義安全的防護架構

如圖1：作為安全操作系統的安全控制平臺，向上為安全應用提供編程接口，向下提供安全設備資源池化管理，東西向可適配不同的業務管理平臺(如云管理平臺、SDN控制平臺和定制的管理平臺等)。在內部，從這些不同的接口獲得信息轉化成標準的安全策略、資產庫信息、日志告警，并利用這些信息完成任務調度、智能決策和命令推送，將以往需要人工完成或半自動完成的管理流程轉換成了接近全自動化控制。

在云計算環境中利用虛擬化技術實現安全設備的資源池化，并通過安全控制平臺與SDN控制器的協同，使云計算環境中的流量經過特定安全設備，實現安全檢測、過濾等安全防護功能。此外根據應用所需的安全需求就可以從資源池中找到相應安全資源，而不用關心物理上安全設備部署在哪里，也不需要考慮安全設備如何布線劃區。

圖 2 網絡安全設備部署方式

如圖2：虛擬安全設備可以部署在計算節點或安全節點上，工作在二/三層網絡。計算節點和安全節點內Hypervisor的虛擬交換機連接到SDN控制器，安全控制平臺通過SDN控制器開放的北向接口與之連接。

圖 3 使用SDN技術實現流量牽引的原理

如圖3：當接收并解析安全策略后，安全控制平臺通過SDN控制器向虛擬交換機下發流表，依次在源節點的虛擬交換機、源目節點間的隧道(GRE/VXLAN等)和目的節點的虛擬交換機之間建立一條路徑，這樣原來虛擬機VM1通過源節點虛擬交換機直接到 VM2的流量，就沿著上述指定路徑先到了目的節點的虛擬安全設備，當處理完畢之后，數據流從安全設備的輸出網卡返回到最終的目的虛擬機VM2。

圖 4 使用SDN技術實現服務鏈

如圖4：當需要多種類型的安全防護時，數據流就會依次經過多個安全設備，形成一條服務鏈。

實現價值

1.縱深防御的安全體系

基于安全域部署相應的防護措施，實現縱深防御，滿足云計算平臺的安全保障要求。

2.模塊化架構可靈活擴展

根據應用場景和需求的不同，選擇和部署相應的安全資源、系統功能模塊、安全應用。

3.橫向(東西)流量的防護

通過部署虛擬化的安全資源池和流量引導技術，可以實現牽引東西向流量到安全資源池內做檢測和防護。

4.滿足等保合規要求

通過構建安全監測、識別、防護、審計和響應的綜合安全能力，保障云計算資源和服務的安全，確保符合等級保護的要求。