sdn下网络安全的需求和挑战(蒋忠平)

资源描述

《sdn下网络安全的需求和挑战(蒋忠平)》由会员分享，可在线阅读，更多相关《sdn下网络安全的需求和挑战(蒋忠平)（11页珍藏版）》请在金锄头文库上搜索。

1、 SDN 下网络安全的需求和挑战下网络安全的需求和挑战作者：作者：蒋忠平蒋忠平/90006634 版本版本：V1.0 (2015-12-21) 交换机交换机与企业通信解决方案部与企业通信解决方案部 DCN 设计组设计组内部公开 ii 华为专有和保密信息版权所有华为技术有限公司 ii 修改记录 V1.0 (2015-12-21) 第一次发布。内部公开 iii 华为专有和保密信息版权所有华为技术有限公司 iii 目目录录 1 云数据中心的安全挑战和需求云数据中心的安全挑战和需求 . 1 1.1 租户/业务间隔离 1 1.2 租户/业务内部访问控制 1 1.3 网络边界防护 . 2

2、2 华为敏捷华为敏捷 SDN 安全方案安全方案 3 2.1 方案概览 . 3 2.2 方案设计 . 4 2.2.1 防火墙方案设计 4 2.2.2 VPN 方案设计 7 2.3 方案总结 . 8 内部公开 1 华为专有和保密信息版权所有华为技术有限公司 1 1 云数据中心的安全挑战和需求云数据中心的安全挑战和需求在云数据中心中，随着虚拟化技术的使用使得安全的边界逐渐模糊，在公有云多租户环境或私有云的业务多实例虚拟化环境中需要考虑的安全有多个方面，包括租户/业务间隔离，租户/业务内部互访的管控，租户/业务内部互访管控又分为同一子网内部及子网间的互访管控，此外多租户环境还得需要考虑租

3、户边界的安全接入，以及租户公有云与私有云的安全互通等，这些都是当前云化数据中心面临的主要安全挑战；本文旨在探讨当前公有云多租户环境中涉及的安全问题及需求，以及华为 SDN 方案在网络安全方面提供的方法及手段。 1.1 租户/业务间隔离在云数据中心中，租户间的隔离面临着从终端到网络出口的整条业务链的全方位资源隔离，由于计算虚拟化的应用，多个租户申请的虚拟机资源可能会被分配到同一物理服务器上，因此在计算节点上就需要对租户 VM 的接入从网络侧进行隔离，避免租户 VM 在接入端互访。租户网络的三层路由域也需要进行隔离；由于租户发放的逻辑网络 IP 规划由自己来进行设计，因此路

4、由域的规划上需要能够实现租户间的 IP 地址重叠，并且在数据中心内部（或者说在租户内部 Router 上）应禁止跨租户的网络直接实现互访，租户间的访问应仅能通过访问租户对外开放的公网 IP 来实现。 1.2 租户/业务内部访问控制租户内部隔离会根据租户对网络及应用的规划有着不同的需求，例如租户内部可能部署多个业务，对于某些敏感业务租户可能要去与其他业务完全隔离；或者一个业务用户按照组件/模块间调用关系会将其划分成几个不同的层次，各层间的互访或调用关系租户希望能够得到安全管控。例如租户的某个业务可能会划分为 Web、APP 和 DB 三个层次， Web 层是面向直接用户的，这一

5、层的 Web server 将会暴露给 Internet 供用户访问，而 APP 层租户则希望通过安全策略仅允许Web层中的必要节点能对其访问，公众用户在Internet 上是无法看到和访问该层设施，同样，DB 层租户又会设置安全策略仅允许 APP 层能对其进行访问，Web 层和公众用户都无法访问；这样设置的好处是，仅将有互访需求的设内部公开 2 华为专有和保密信息版权所有华为技术有限公司 2 施进行彼此暴露，最大限度的减少网络对外的暴露“面积”，降低内部资源受外网攻击概率，并且布控多道安全策略后，也可加大外部入侵难度，从而提升业务安全防护等级。另外，从租户内部的 IP 规划层

6、面看，两个访问受控的业务或同一业务访问受控的层次可能会部署于两个不同子网，也可能会部署在同一子网，这就要求数据中心网络能够提供灵活方案以应对业务不同层次间的网络访问控制需求。 1.3 网络边界防护目前，在典型的公有云中基本都会为租户提供网络安全相关的服务，但不同的云提供商针对租户类型及需求的不同在租户网络的防护上又会有不同的方案；总体而言，租户在数据中心网络边界安全上的需求可笼统的分为基础防护和增强防护：基础防护：基础防护一般包括基本的状态防火墙安全防护，主要是使用防火墙的状态防护机制为客户提供必要的会话访问限制；增强防护：增强防护可基于用户的业务及攻击类型为客户提供有针对性

7、的防护措施，例如为 Web 访问服务提供防御的 WAF 服务，为拒绝服务攻击提供防御的防 DDoS 服务。华为 SDN 方案目前可通过对接 OpenStack 云平台为客户提供基本的东西安全管控及必要的边界接入安全方案。内部公开 3 华为专有和保密信息版权所有华为技术有限公司 3 2 华为敏捷华为敏捷 SDN 安全方案安全方案 2.1 方案概览在敏捷 SDN 方案中，安全的范畴与数据流向相关，可分为南北向安全与东西向安全两大部分：东西向安全：租户/业务网络中同一 Subnet 的主机之间互访或不同 Subnet 间跨网段的三层互访的安全管控；在华为 SDN 方案中东西向安全

8、主要通过安全组来实现；南北向安全：主要是租户/业务网络内的 VM 或主机与外部网络的互访管控，其中包括跨 VPC 的互访控制及 VPC 与外部网络的互访控制；在华为 SDN 方案中主要通过防火墙来实现。内部公开 4 华为专有和保密信息版权所有华为技术有限公司 4 同时南北向安全也包括公有云与私有云的互联，这里就会涉及到 VPN 的相关服务，其中租户可能会采用包括 IPsec VPN、SSL VPN 及 MPSL/专线等多种形式的 VPN 来进行公有云与私有云间的互联，当前华为敏捷数据中心方案中支持 OpenStack 云平台直接下发 IPsec VPN 业务，同时也支持半自

9、动化方案对 SSL VPN/MPSL/专线等其他种类的VPN 进行业务发放。防火墙与安全组安全组很像防火墙参考实现，它们都是使用 IPTables 规则来做包过滤。他们之间的区别在于：安全组由 L2 Agent 来实现，也就是说 L2 Agent（比如 neutronopenvswitchagent 和 neutronlinuxbridgeagent）会将安全组规则转换成 IPTables 规则，而且一般发生在所有计算节点上。防火墙由 L3 Agent 来实现，它的规则会在租户的 Router 所在的 L3 Agent 节点上转化成 IPTables 规则。防火墙保护只能作用于跨网

10、段的网络流量，而安全组则可以作用于任何进出虚拟机的流量。防火墙作为高级网络服务，将被用于服务链中，而安全组则不能。在 Neutron 中同时部署防火墙和安全组可以达到双重防护。外部恶意访问可以被防火墙过滤掉，避免了计算节点的安全组去处理恶意访问所造成的资源损失。即使防火墙被突破，安全组作为下一到防线还可以保护虚拟机。最重要的是，安全组可以过滤掉来自内部的恶意访问。 2.2 方案设计在华为数据中心敏捷 SDN 安全方案中，主要包含防火墙服务及 VPN 服务（IPsec VPN、 SSL VPN）：防火墙主要用于为租户提供南北向的流量管控，包括 VPC 间互访、VPC 与外

11、网间的互访，外网包括 Internet、 MPLS VPN 及专线等，公有云与租户私有云间通过 IPsec VPN 的互访管控； VPN 服务包括 IPsec VPN 和 SSL VPN，IPsec VPN 主要为租户提供私有云与公有云间的互联，SSL VPN 则为租户提供单个用户向公有云的接入，便于租户对公有云进行远程访问和管理。 2.2.1 防火墙方案设计防火墙方案总体设计概要如下图：内部公开 5 华为专有和保密信息版权所有华为技术有限公司 5 防火墙的创建与联接当租户创建 VPC 时如果用户选择启用 NAT、EIP 或安全策略中的任何一个或多个，则 AC 控制器就会为

12、该 VPC 创建一个虚拟防火墙，同时会为 VPC 在 VXLAN GW 创建一个 VRF 用于与虚拟防火墙互联，AC 会在 VXLAN GW 上的 VRF 创建缺省路由下一跳指向与虚拟防火墙互联的 IP 地址，虚拟防火墙则为该 VPC 中所创建的子网配置回指路由，下一跳指向与 VRF 互联的 IP 地址。租户访问 Internet 时防火墙的配置内部公开 6 华为专有和保密信息版权所有华为技术有限公司 6 每 VPC 所属的虚拟防火墙配置静态路由下一跳指向 Public VFW （根防火墙），同时根防火墙会将路由转发至 VXLAN GW 上配置的 Public VRF （通

13、过配置缺省路由， Public VFW 及 Public VRF 的配置为预先手工配置，该配置为一次性，后续所有出入 Internet 的流量共用，无需更改）；Public VRF 再通过互联 VLAN 与出口路由器上对接 CMNET 的 VRF 进行连接，由出口路由器最终将流量转发至 cmnet 出口设备。租户访问专线/MPLS VPN 时防火墙及相关联动的配置当租户 VPC 的流量访问专线或 MPLS VPN 时，AC 控制器会为该租户再创建一个独立的虚拟防火墙（私有云汇聚防火墙），并向 VPC 所属的 VFW 下发静态路由，将去往私有云的路由指向该私有云汇聚防火墙，同时 A

14、C 控制器在 VXLAN GW 上为该租户创建一个专属 VRF（私有云汇聚 VRF），AC 将私有云汇聚防火墙缺省路由指向私有云汇聚路由器，同时下私有云汇聚防火墙下发网段回指路由指向 VPC 所属的 VFW；去往私有云的路由到达私有云汇聚 VRF 时，该 VRF 通过缺省路由将流量转发至分区出口路由器与 PE/专线对接的 VRF 上，然后再将流量转发出相应的出口设备，出口路由器由于非华为提供，所以需要在开通 VPN 时手工配置，VXLAN GW 及防火墙的配置通过 AC 控制器自动下发。内部公开 7 华为专有和保密信息版权所有华为技术有限公司 7 租户 VPC 间互访时防火

15、墙及相关的配置同一租户不同 VPC 间互访时，VM 流量首先达到 vSwitch，经过源 VPC 所属的 DVR 进行判断，目的地址不属于本 VPC，然流量匹配缺省路由，由本地 NVE 进行 VXLAN 封装后上送 VXLAN GW，经过 VXLAN GW 上的源 VPC 所属的 AVR 进行路由选路后转发往源VPC所属的VFW， VFW上有AC控制器事先下发的去往目的VPC的静态路由，下一跳为目的 VPC 所属 VFW 的内部虚接口，流量匹配该静态路由后转发至目的 VPC 的 VFW,目的 VFW 根据回指路由在将流量转发至目的 VPC 所属的 AVR，然后匹配 VXLAN 流表封

16、装转发至目的 VM 所在的 NVE。每一个 VPC 所属的 VFW 通过 VLAN 与该 VPC 所属的 AVR 进行互联， AVR 是 VPC 在创建时，由 AC 控制器在 VXLAN GW 上为其分配的专属 VRF，VRF 的缺省路由指向与防火墙的互联 IP，防火墙则针对 VPC 所属的各网点配置回指路由，上述配置均为业务上线时通过 OpenStack 进行业务编排，有 AC 控制器自动下发。 2.2.2 VPN 方案设计华为敏捷数据中心SDN方案VPN接入主要分为两种： IPsec VPN和SSL VPN， IPsec VPN 主要用于租户私有云与公有云的互通，SSL VPN 则主要用于租户从 Internet 接入共有云对业务进行维护管理。华为提供的 VPN 设计方案如下图所示：内部公开 8 华为专有和保密

展开阅读全文