基于软件定义网络的技术与安全体系研究
2017-11-17季佳华
◆季佳华
(上海出入境检验检疫局 上海 200135)
基于软件定义网络的技术与安全体系研究
◆季佳华
(上海出入境检验检疫局 上海 200135)
随着软件定义网络(Software Defined Network,SDN)概念的提出,各IT企业、研究机构纷纷加入SDN的研究和建设工作。SDN的建设与发展必然受到安全和隐私问题的制约。本文总结了SDN的安全威胁与安全技术,从控制层、应用层对SDN的主要安全威胁进行研究,并给出了SDN安全技术框架,为理清SDN当前面临的安全威胁、增强网络安全资源的动态调度能力提供理论参考。
SDN;云计算;安全技术
0 引言
2006年,斯坦福大学Clean State项目组最早提出了软件定义网络(Software Defined Network,SDN)的概念[1],构想了最早的数据与控制分离的SDN架构,即通过软件进行网络控制的编程,为传统安全解决方案下的云数据中心流量监控困难、网络边界模糊、安全管理边界难定义及安全无法按需交付等问题提供了解决思路。此后,各研究机构和IT厂商大量参与到SDN的研发中,SDN的体系结构也得到不断拓展,其在控制的灵活性、网络的开放性、运维的高效性等方面的优势日益凸显。但随着研发的不断深入,安全问题也越来越受到关注。本文从控制层、应用层两个层面分析了SDN存在的主要安全隐患,并给出了SDN安全技术框架,为SDN安全技术的研究提供理论参考。
1 SDN体系架构
根据ONF发布的SDN白皮书中给出的定义,SDN可分为应用层、控制层、基础设施层三层体系框架[2](如图 1)。应用层由业务应用组成;控制层由 SDN控制软件组成,主要负责维护网络状态、拓扑信息,处理数据平面资源的编排等。基础设施层包含各种简化的网络设备,主要负责基于流表的状态收集和数据处理、转发。SDN本质上具有“控制和转发分离”、“通用硬件及软件可编程”和“设备资源虚拟化”三大特性,从而实现更细粒度的网络控制,降低管理的复杂度,实现更快速的网络创新能力和更好的用户体验,在数据中心、数据中心互联、企业网及电信运营商网络等多个场景中体现出独特价值。
图1 SDN体系架构
如鉴于数据中心的流量大、周期性强、突发性强等特点,其网络需要具备多路径转发与负载均衡、集中管理和控制、绿色节能、网络带宽按需提供的能力,而将 SDN技术应用于多数据中心互联场景,通过其部署统一的控制器,可对各数据中心之间的流量需求进行统一收集、计算与调度,并实施带宽的灵活按需分配,可显著提升数据中心间的链路利用率。数据中心的 SDN应用框架如图2所示。
图2 数据中心的SDN应用框架
2 SDN的安全威胁与安全体系分析
SDN通过对数据平面和,使得基础的网络设备与控制平面相互剥离,通过一个可编程、集中式的软件控制器负责控制平面的工作,使得底层硬件的复杂度大大降低。上层应控制平面的解耦用通过软件控制器提供的API操作实现对整个网络对控制;控制层与基础设施层间有 SDN统一定义的控制层面与数据层面接口协议OpenFlow[3],更进一步抽象了底层硬件,也实现了对底层硬件区别的屏蔽;软件控制器大多由第三方实现,因而在控制平面上无需受硬件厂商的限制,只需在软件控制器上添加或修改应用即可实现对新特性的添加或修改,相比于传统网络简单很多,但也因此带来一些安全隐患。相对于 SDN的三层体系框架,SDN架构及安全威胁主要源于控制层、应用层两个层面。
2.1 SDN的安全威胁分析
(1)控制层安全威胁
SDN通过一个集中式的软件控制器负责控制平面的工作,其管理的集中性使得网络安全服务部署、网络服务访问控制及网络配置等均集中于 SDN控制器上,该种模式下也可能存在单点失效的风险:一方面,控制器的自身可靠性、稳定性、连续性也尤为关键;集中的控制方式很可能成为 APT等攻击的目标,一旦控制器被攻破即可造成网络服务的大面积瘫痪;管理的集中性使得控制器易受DoS、DDOS等资源耗尽型攻击;网络的开放性特征也使得SDN控制器易受攻击者的网络攻击和网络监听等威胁。另一方面,SDN的控制器通常部署于通用服务器或计算机上,因而操作系统所面临的风险也同样存在于 SDN控制器中,难以防护计算机本身所受攻击,如数据溢出型攻击等威胁。针对控制平面的安全威胁如表1所示。
表1 控制平面的安全威胁
(2)应用层安全威胁
SDN的应用层有大量来自SDN控制器的可编程接口,其开放性特征也可能受到接口的滥用的威胁,加上当前对应用的授权机制尚存在很多漏洞,使得攻击者利用开放接口安装受攻击应用或安装恶意应用,进而威胁 SDN网络控制器的安全。此外,由于应用的策略冲突检测机制尚不健全,OpenFlow应用程序可能会下发互相影响的流量策略,以致已有的安全防护策略受到恶意应用的影响。针对应用平面的安全威胁如表2所示。
表2 应用平面的安全威胁
2.2 SDN的技术与安全体系分析
通过对SDN的安全威胁分析,并总结SDN的安全研究的前沿技术,从控制层、应用层两方面分析 SDN中的安全问题,构建出SDN的安全技术框架如图3所示。
图3 SDN的安全技术体系
具体来说,控制器层面易于受到攻击,首先需制定严密的安全管理、访问控制和授权等规则;其次,为避免更大范围的破坏,需要及时感知到的异常行为、异常网络设备并进行隔离,一般可基于如下第三方SDN云安全应用实现:
(1)异常检测。SDN的异常检测范围包括 DDoS攻击、端口扫描、P2P僵尸网络、蠕虫等[4],借助SDN的异常检测容易发现未知威胁,其侧重点在于检测而非防御,并可以在检测到威胁的第一时间分析威胁类型。
(2)DDoS检测。基于SDN的DDoS攻击检测也主要利用SDN集中控制的特性,通过流表统计可方便攻击信息的收集,通过安装静态流表亦可方便对DDoS攻击的及时响应。但当前在流信息的收集的开销较高、检测精度和速度等问题亟待解决。
(3)IDS/IPS。基于SDN的控制的灵活性、集中性的优点,IDS可实现对检测的网络范围的灵活地选择,也可及时探测虚拟机迁移并做出动态调整策略[5],还可通过安装静态流表在检测到入侵行为后启动阻止、隔离、导流到蜜罐分析等进行快速相应。
(4)网络监控。SDN的网络监控在安全控制中的应用主要包括测量网络吞吐量、延时、利用率、分组丢失率等流量工程[6],以及安全应用开发、应用层协议分析等安全类应用。最后,控制器需对网络行为的能力进行具备分析,并从当前服务等状态、日志、流量等方面对网络行为特征进行分析,一旦发现异常的网络行为立即报警并隔离。对于应用层面而言,首先需制定严密的安全服务准入规则,鉴定需要控制器提供的接口、应用提供的服务等的安全性,及时发现不负责规则的应用,将其列入 SDN非合法的应用列表;其次,利用可编程的接口实现对已有的技术对安全威胁的监控与排除,从而实现对控制器的安全防护。
此外,在 SDN的安全管理中,需综合考虑基础应用层、应用层、控制层的安全威胁,制定系统的安全评价与安全管理体系。其中,安全评价体系包含一系列的安全评价标准,从而实现对网络设备、应用和服务等的安全分级与评价,及时发现安全级别低的服务或应用并通知给控制器,由控制器执行相应的安全控制措施。安全管理也即管理人员通过可视化的控制界面实现差异化的安全策略配置与管理。
[1] 候海军.基于SDN的DoS攻击检测技术研究[D].北京交通大学,2016.
[2] Devlic A,John W,Skoldstrom P.A Use-Case Based Analysis of Network Management Functions in the ONF SDN Model[C]//European Workshop on Software Defined NETWORKING.IEEE,2012.
[3] 马梦帆.基于SDN的流量工程技术研究[D].电子科技大学,2016.
[4] Giotis K,Argyropoulos C,Androulidakis G,et al.Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments[J]. Computer Networks,2014.
[5] 游井辉.基于虚拟机动态迁移的资源调度策略研究[D].华南理工大学,2015.
[6] Adrichem NLMV,Doerr C,Kuipers F A. OpenNetMon:Network monitoring in OpenFlow SoftwareDefined Networks[C]//Network Operations and Management Symposium.IEEE,2014.
