SDS 架构下安全原子的构建

◆郭志君 卢宇浩

（中国电子科技集团公司第三十研究所 四川 610041）

随着日益剧增的网络攻击行为的出现，传统网络安全防护体系即在大容量交换设备基础上叠加各类安全防护设备，这种串行部署方式和存在功能重叠的安全防护设计，会在转发数据包时进行多次的协议解析和处理，体现出来的弊端即可扩展性差、管理运维复杂、网络性能低下，难以形成灵活便捷的安全防御体系。

软件定义网络（Software Defined Networking）是由美国斯坦福大学提出的一种新兴的基于软件的网络架构及技术，其“开放性、网络可编程、网络虚拟化”的技术特点，使得这种架构在新一代网络构建中具有先天的优势。其数据平面和控制平面的松耦合架构，可以尽可能将网络安全功能与网络安全设备解绑，而且在多租户使用的应用模式下亦可以有针对性地灵活配置与之相匹配的网络安全防护能力。

基于此，本文针对当前封装在各个网络安全设备中的基本功能进行抽象裁剪形成一系列安全原子，以安全功能原子资源池的形式在基于SDN 网络中进行可重构的全局网络安全防护功能的构建，实现新一代SDN 网络下“多样性、集约化、易管理”的安全防御体系。

1 SDS 与VSA 的区别

从SDN 演进的过程中，实现SDN 网络环境中的安全防护主要有两种架构：虚拟化的安全设备VSA（Virtualized Security Appliance）和软件定义安全SDS（Software Defined Security）[1]。

VSA 的特点是通过对传统软硬件形态的安全设备虚拟化，以虚拟镜像的方式嵌入部署到SDN 网络中。这种方式的灵活性体现在将实际物理拓扑映射成逻辑拓扑，由SDN 控制平面按照既定策略和逻辑拓扑让数据流经过相应的安全设备进行安全处理，且各安全设备可通过RESTful APⅠ接口进行进一步的安全管理服务集成。虽然是对传统安全产品和技术的一种平滑演进，但其实质上并未提升安全防护能力，只是利用了SDN 对网络的可编程能力提升自动化部署程度，以降低安全运维的成本。

SDS 的特点是将安全的控制平面和数据平面进行分离，将安全设备的功能进行重整、合并、简化处理，以去除冗余功能和重叠功能，形成安全原子服务资源集，通过虚拟技术和服务编排技术，以达到动态可重构的、定制化的安全防御能力。这种方式具有更高的效率和开放性，是真正意义上的软件定义。

2 SDS 三层模型

SDS 最大的特色即继承了SDN 的三大特点：集中控制、开发接口和网络虚拟化[2]。因此安全防御体系的SDS架构模型依然延续SDN的三层架构，如图1 所示。

（1）基础设施层，包括OpenFlow 交换机和OpenFlow 路由器等设备，主要负责维护流表和设备状态等重要信息，从而实现数据平面上的处理，如转发或丢弃等。

（2）控制层，包含网络操作系统NOS、SDN 控制器和安全控制器。SDN 控制器向下通过南向接口以Openflow 协议进行数据/指令交互，向上通过开放式北向接口APⅠ与应用层通信，可以通过链路层发现协议LLDP 可建立全局视图，管理网络资源[3]。目前已公开的SDN 控制器有FloodLight、Beacon、MulJaxon、Nox、Pox 等。在控制层，安全控制器用于定义和维护以及更新全局的安全策略，该控制器的实现可以是在原有SDN 控制器的基础上实现，也可以单独成立。

（3）应用层，包括由设备管理、应用管理、策略服务等通用原子构建的通用资源池和由包过滤、策略配置、信誉评估、流量统计等安全原子构建的安全资源池。资源池中的资源可以是厂商甲的，也可以是厂商乙的，均采用标准的对外描述、管理和控制接口。

图1 SDS 架构的安全防御体系模型

3 安全原子模型

SDS 最鲜明的特点是将传统安全功能进行抽象、重整、合并、简化成一个个安全原子单元，最终进行池化。

原子即满足完成一定功能的，定义在输入集Ⅰ，输出集O、状态集S 和动作集A 上的函数：输出O（i，s0，a）=F1（i∈Ⅰ，s0∈S，a∈A）），状态S（i，s0，a）=F2（i∈Ⅰ，s0∈S，a∈A）。即对于特定输入，有特定输出及相应的内部状态变迁，可以完成一定功能的资源组。原子服务作为服务编制的基本单位，也可以被注册为资源。

安全原子资源池即由多种安全原子服务资源组成的一个异构的集合，采用标准化的封装技术，解决厂商锁定的问题，更开放性的容纳第三方厂商的安全功能。

以防火墙为例，作为最传统最基础的边界安全防护功能，其最核心的三个功能要素：策略配置和包过滤。策略配置，主要负责对配置数据的维护，除了新增配置操作之外，还需要有删除、更新及查询操作，属于对外交互接口。代入原子的状态函数，即当外部接口输入操作指令后，会根据当前状态产生相应动作，因此可以列为一个原子服务。包过滤，属于数据处理，依据特定的规则，允许或者限制传输的数据通过，实现内外网之间的访问权限控制。带入原子的输出函数，即当有特定数据输入后，会根据当前规则状态对该数据流执行允许或阻断，因此也可以列为一个原子服务。因此这两个主体功能即可作为原有防火墙功能抽象后的原子。当然，还会有用于收集和计算流统计信息的流管理以及负责与认证服务器之间进行认证交互的认证代理等其他功能原子。应用层防火墙还会包括应用识别、应用攻击防护等功能原子。

DDoS 防御、入侵检测、入侵防御以及WAF 等均可以采用此法进行安全原子的抽象定义。比如DDoS 是一种利用网络上已被攻陷的主机作为“僵尸机”，向某一目标电脑发送大量服务请求的攻击，把目标主机的网络资源或系统资源消耗殆尽，使之无法正常响应用户的服务请求[4]。针对其技术特点，可以抽象出以下几个功能原子：（1）流量统计，根据五元组或其他信息流进行流聚类以此统计流信息从而作为DDoS 攻击检测的数据依据；（2）信誉评估，即用于根据流表项发

送频率进行信誉评级，如果发送频率超过预警值、防护值或紧急值的数据流分别进行信誉评估，从而作为数据处理的依据；（3）策略配置，完成数据处理策略的配置、更新及查询。入侵检测主要采用高性能网络抓包技术通过数据镜像端口获取网络数据报文，对各种类型的网络数据报文进行预处理后，通过规则库特征匹配算法实现攻击检测，对发现的攻击异常行为进行实时告警，产生日志文件。入侵防御是能够监视网络或网络设备的网络资料传输行为的计算机网络安全服务，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。可以看出，同防火墙和DDoS 防御一样，ⅠDS 和ⅠPS 依然会有流识别、统计、策略配置等同样的功能原子。我们就是把这些相同的功能原子进行合并、删掉冗余，减少中间重复解析和处理的时延，从而达到对安全资源统一管理、按需分配，高效灵活配置的目的。

4 结语

近年来随着大量网服务转移到云端，网络边界的定义越来越模糊化，网络攻击的形式和手段也越来越隐蔽复杂和灵活多变，传统的串糖葫芦的安全防御方式已无法适应和面对网络安全现有局势，因此网络安全防御体系需要进行根本性的变革。Gartner 早在2014 年即将“软件定义安全”作为当年的十大信息安全技术之一，将其作为平台革命。随着这些年SDN 和NFV 技术的发展，以及人工智能的快速发展，软件定义安全从原来的概念变得越来越清晰化。在实际应用实践中这些年各大厂商也是各显其能，发挥各自的优势。但目前多数仅停留在利用虚拟化技术实现的面向云计算的原生资源池，而非软件定义。因此在未来网络研究中安全原子模型的构建有其可行性和必然性。