2014 年8月14日至15日,第七屆移動互聯網國際研討會在北京國際會議中心隆重舉行,本次大會以“4G移動互聯網時代的創(chuàng)新與變革”為主題,圍繞4G網絡技術及未來發(fā)展、虛擬運營商、移動互聯網應用、信息安全、物聯網、融合通信等產業(yè)熱點展開。以下為綠盟科技有限公司劉文懋博士在“面向移動互聯網的開放API及應用安全”分論壇發(fā)表演講。
以下為演講速記:
大家好,我是來自綠盟科技的劉文懋,今天我給大家?guī)淼倪@個主題演講主要是在SDN環(huán)境下一些新型的安全架構和實踐。這個標題應該叫做軟件定義安全,軟件定義這個詞非常火,包括軟件定義網絡,軟件定義數據中心,軟件定義存儲等等,好像還有叫軟件定義一切。那我們今天談的這個軟件定義安全是指在一個新型網絡中,整個使用一種可以編程的方式,開放的接口的方式把安全解決方案適用于新型的數據中心也好,運營商也好,這些新型的網絡。
我的演講包括兩方面,一個就是新型網絡現在遇到的一些安全的挑戰(zhàn)。然后,面向這種挑戰(zhàn),我們會提出什么樣的一些安全解決方案。談到新型網絡,什么是新型網絡,剛才何博士談到新型網絡,李總也談到網絡虛擬化,應該也算是新型網絡,他們都是對網絡當前30年,基本上半個世紀的計算機網絡做的一些形態(tài)上,或者轉化層面的一些改變,這些東西叫新型網絡。而且我們在運營商層面,都會談到網絡虛擬化,或者功能虛擬化,還有SDN,這兩個技術可能都會一起用解決問題,這兩個東西一般是正交的關系,網絡虛擬化,實際上就是用軟件的形式管理硬件的或者軟件的資源,能夠把它作為一個虛擬的網絡的池,我可以很快構建一套虛擬網絡,把虛擬網絡,虛擬交換機,虛擬網卡都準備好,再把這些存儲設備很方便的連接到虛擬網絡上,能夠快速的搭建一個虛擬計算系統(tǒng)。
那么,什么是SDN?假定我們實現了虛擬化之后,我們可以在若干個數據中心,甚至可跨物理環(huán)境的數據中心,比如上海和北京,兩個數據中心多臺虛擬機,怎么樣將一個虛擬機的數據包轉化到另外一個虛擬機中,我們可以可編程的把這些虛擬機連接的交換機,或者集中設備進行控制,這樣我們能更方便星火的控制我們的策略,當然也可以加入我們一些安全的控制策略。所以說,這兩個方面非常容易結合在一起解決我們當前的一些問題。關于SDN Openflow,只要支持SDN和Openflow,兩方面控制一些數據轉發(fā)。大概這就是我們談的新型的網絡的雛形。
在我們綠盟也做了一些安全曲線,這個時間場景中是虛擬化的開源的解決方案,SDN使用,看開源的應用,這兩者要相結合,這個大概就是在一個IaaS環(huán)境中,上面這個節(jié)點是三層轉發(fā)的一個物理服務器,另外的節(jié)點主要負責虛擬機的管理,以及數據報的發(fā)送,其實這兩個可以不在一個數據,甚至跨物理的環(huán)境都沒有問題。比如我們要對這兩臺機器的數據包做一個檢測,我們通過SDN控制器,和GRE的交換機。所以說,我們可以很方便的控制網絡流量,也可以很方便的做這些網絡控制,我們可以在SDN控制器上做應用,也可以做一些檢測,因為在虛擬化的環(huán)境中,不同租戶的機器也可能發(fā)生惡意攻擊,你在虛擬環(huán)境中如何檢測這種攻擊,我們通過SDN的方式很否一的融入到這種管理中。當然,如果你安的設備是管理化,那更好,你可以部署在很多地方進行保護。大概就是這么一個場景,這種場景會遇到什么問題呢?我們先看一下有什么可能遇到的問題,然后分析這些安全問題的根源在哪兒,為什么有這些問題,然后再提出解決辦法。
第一、SDN是集中控制的架構,控制器和應用容易受到攻擊,造成底層網絡設備的流控制不一致。所以,這就是在上層可能會遇到的一些問題,這些問題就是SDN現在的挑戰(zhàn),就是你增加一些控制器,SDN應用,這些必然要成為你保護的優(yōu)先對象。解決辦法就是你涉及到面向控制器和應用的機制,如果控制器受到攻擊了,要在空置平面增長一些服務的設備,如果APP受到一些攻擊,你可能要部署一些防火墻等等。
第二、在虛擬化環(huán)境中,你的防火墻放在那兒,其實這個不是很好做。因為虛擬的二層網絡可能部署在各個地方,這個不好做,如果在一個虛擬網絡中,物理設備根本接收不到這種包,即使你收到包也是第三方的,你在多租戶的環(huán)境中,能不能理解多租戶的隔離問題,這都對我們現有設備帶來一定的挑戰(zhàn)。這應該說是虛擬化帶來的挑戰(zhàn),解決辦法也很簡單,既然是虛擬化帶來的挑戰(zhàn),我們同樣用虛擬化的方式,用SDN的方式,使你的流量可以控制到。當我們用虛擬化的設備,用各種辦法解決了問題,我們會發(fā)現客戶使用虛擬化方式,可以從計算、存儲、和網絡秒級可能就部署完了,但是我們能不能很快的檢測攻擊,我們能不能通過各種各樣的方式分析這種攻擊,至少現在很難,現在這種規(guī)則從發(fā)現到上房可能長達數個月,這種周期非常長,我們能不能通過一種辦法去解決呢?這個其實在原來不是問題,網絡可能前面變化很慢,現在網絡變化很快樂,這個業(yè)務可能上線了,你安全了,很難那么快就上線。所以,這個其實是SDN自動化對安全帶來的挑戰(zhàn)。
我們應該怎么解決?我們應該設計一套軟件定義安全的技術。我們先分析,因為SDN這個控制器,就第一點,這個解決本身其實挺多,但是主要這塊是業(yè)務相關的,是SDN控制器業(yè)務相關的,而且這塊SDN在快速發(fā)展,所以我們主要還是在上面兩個部分,第一個就是用SDN和虛擬化解決當前的一些問題,我們必須保證安全設備,能夠理解這些虛擬環(huán)境中的流。
這是我們做的一個案例,這兩個虛擬機的流量都會被融入到IPS的入口,然后有一個出口,這個時候控制器會集成虛擬機的流量,所以我們可以通過SDN+虛擬的技術很容易的部署安全設備,免得把這個流量牽引出來,免得把它扔回去,在二層環(huán)境中,不需要使用一些傳統(tǒng)的比較麻煩的技術。解決這個問題之后,我們還需要設計一個自動化的軟件定義安全,第一要分離安全數據和控制平面,提供開放、可擴展的應用接口,實現自動化的安全運維。第二控制器能夠組建全局的流視圖,能夠做到快速的防護。根據這種思想,我們也是借鑒了SDN的想法,既然你有控制器,我們也作為一個安全的控制器,上面是設備,然后和你做一個開放接口的一些交互。那么,在SDN網絡方面,網絡控制器來看,其實就是它上面的安全應用。但是,在安全來看,又是分布式的,分層的一套安全解決方案,而且我們可以和IaaS進行交互。其實這個安全控制器和網絡控制器一樣是一個非常重要的措施系統(tǒng),上面提供不同的API層,底層有管理這個安全設備,安全智慧池一個池化的管理系統(tǒng),左邊會與SDN控制器進行交流,右邊是虛擬化平臺,會做一個交互,會了解虛擬網絡,虛擬路由等等這些信息,放在它的資產庫中,這樣實現了我們整個非常大的松偶合,而且分布式的一個安全解決方案。
我們這邊給出一個案例,就是抗DDoS的攻擊,在我們系統(tǒng)中,安全應用和安全設備都會向這個控制器去注冊。它對這個流感興趣,說明這些流可能符合DDoS的一些特征,這個信息收到之后,這個監(jiān)控模塊會去匹配,一旦有了,它會向安全應用提交這些流,安全應用會對這些數據進行分析,比如結合虛擬化環(huán)境中的租戶、用戶、虛擬機等等這些級別的信息展示策略,它會最后解析成一條,應該將虛擬機1已虛擬機2等等這些虛擬機的流量先引入到一個設備上去。這條命令,我們會通過流推送模塊,把這個流命令推送,我們會通過代理去解析,這個虛擬機到虛擬設備,計算的路徑,比如通過Openflow這個協議,向網絡的交換機發(fā)指令。
這個整個流程來說有什么好處呢?第一我們使用流級別的檢測,而且可以獲取全局的交換機的信息,更全一些。而且我們發(fā)送這個指令是通過Openflow,比以前更快一些,秒級就可以把路徑搭建起來。完成這個之后,我們基本上進入了一個自動化的過程。但是,我們就想,如果做到這個之后,我們的安全設備是不是要做一些額外的配置,因為你的控制器能夠和業(yè)務很緊密的結合起來,但是你這個設備,能不能驅動起來,這是我們提出的一個問題,我們希望設備具備一個全面開放的標準化的接口。所以,我們想提出這個疑問,也是因為我們遇到了和網絡,網絡設備相似的一個問題,就是你前面網絡設備都是封閉的,都是開放的,我們也希望做一個開放的設備,也能做到多家廠商,也能夠協同去做這個事情。所以,我們做一個安全設備,能夠把安全邏輯簡化,然后提供一些比較開放的,比如安全接口,供控制器去調用。
我們再舉兩個例子,一個是APT,就是實時使用流監(jiān)測,端點分析等方式,事后做各種各樣的數據分析,然后通過流量分析找到一些異常的流,然后再放到IDS上,它可以做一個文件級別的檢測,基本上它如果能提出報警,這可能是惡意行為。那么,我們再把它惡意行為所感染到的機器做一個掃描,然后哪些被感染了,再做一個修復,這是從檢測,到防護,再到修復,再到智能化。
另外,軟件定義的訪問控制,我們想做的就是軟件定義的,我們使用不同的交換機,SDN交換機可以通過流量認證,然后把你所對應的數據流經過若干設備進行調整,這些我們都是在做已經有了一定的成績。謝謝大家!