NFV的SSC安全服务链体系架构

基于SDN/NFV的SSC安全服务链体系架构Abstract：The traditional security service devices are tightly coupled with the network topology, so they have such characteristics as fix deployment position, complex management configuration, difficult security service upgrade and extension, incapable of changing according to network application security requirementshe security service chain ( SSC) based on software-defined network ( SDN) can be used to implement the dynamical deployment and on-demand arrangement of security services. This paper introduces the concept, classification and architecture, and describes the construction method of SSC. The constructed security service chain is tested and verifiedhe test results show that this construction method of SSC can implement such functions as firewall, intrusion detection and deep packet inspection, etc., arrange on demand the security service by the aid of traffic steering module to form the security service chain.Keyword：software-defined network;network function visualization;security service chain;traffic steering;firewall;intrusion detection;deep packet inspection;21 世纪的网络安全已经成为安全研究的一个焦点, "网络战"、"网络主权"等概念层 出不穷, 网络空间作为继"陆、海、空、天"后的第五空间而备受瞩目。现有安全防护手段如 入侵检测、防火墙等, 都是构建在高成本的专用硬件和封闭软件的设备中, 本质上都是通过 不断升级或补充特征库的方式对安全问题做出被动响应。随着网络安全形势的日益严峻, 查 漏补缺、外围封堵的传统安全防护模式正在走进"死胡同"。传统安全设备 （例如防火墙、入侵检测） 是基于特定的硬件环境实现特定的安全防 护功能, 部署在网络中的固定位置, 很难满足当今网络服务和应用的不同安全要求。一是传 统的安全服务设备与网络拓扑紧耦合, 管理配置固定繁琐, 无法随业务安全需求变化而动态 变化, 无法根据网络状态和安全威胁进行网络防御能力的动态调整 ;二是当前网络攻击的演 变速度大大超过了安全防护技术的开发和更新速度 , 管理员需要根据各种新型攻击扩充检 测攻击特征库, 现有的网络架构下进行各种安全设备的升级和更新换代, 安全服务升级周期 长、扩展难、成本高、易出错, 管理员无法实时高效地实现对网络的安全管理;三是网络中部 署的各种安全防护设备功能重复交叉 , 网络的安全防护设备繁多, 重复建设, 开销成本高, 资源消耗大;四是各厂商之间的安全设备缺乏透明度, 软硬件种类繁多, 阻碍了技术融合, 不 利于形成全网统一的态势呈现。网络功能虚拟化 (NFV) 通过在通用服务器上部署虚拟网络功能 (VNF) 软件取代 基于专用硬件的网络设备, 在降低网络成本和运营支出的同时, 部署使用更加灵活。软件定 义网络(SDN)【2】可对全网流量进行细粒度控制，支持应用的动态部署和重新配置。SDN 和NFV技术的发展，使得网络服务和应用系统可采用服务功能链(SFC)这种高效、可扩展的 方式, 实现快速自动部署。作为网络服务和应用的关键特征之一的安全性也必须满足当今快 速增长和不断发展的网络及应用的不同安全需求。SHIN S 等提出 FRESCO 安全架构, 其以安全模块组合的方式生成安全服务, 但仅给 出了功能上的验证°QAZI Z等通过对SDN/NFV技术的分析，提出通过组合虚拟安全应用模块 来构建安全服务链(SSC)的技术思想，但并未给出服务构建策略。LEE W等提出的SIMPLE 方案利用 SDN 技术设计了针对数据层中网络功能中间件的管理机制, 然而其仍缺乏对应用 层的组合策略。GUSHCHIN A等也仅在假设网络节点具有安全服务能力条件下，研究了节点 间的路由问题。Martini B等通过修改Open Flow协议Qo S字段来标识不同网络流服务需求 提出了基于服务类型的SSC理论模型。但该方案拓展了 SDN网络的南向标准协议，兼容性较 差且需预先编排各个服务类型对应的服务链。Giotis K等提出了基于策略的网络虚拟资源管 理机制, 根据不同数据流的业务需求动态地编排服务节点, 但其并未涉及应用策略更新引起 的策略冲突问题。Cloud4NFV基于ETSI的架构规范，设计了一种端到端的NFV平台，对服务链的管理 和编排进行了优化。Clayman等针对高动态网络提出了一个基于协调器的架构，通过监控网 络服务配置和资源状况，确保VNF的自动编排，实现虚拟网络的自动化部署及资源的自动化 分配。Net FATE考虑到网络流量所需通过的服务链 提出了将业务流程虚拟化的方法，在设 计服务链的同时, 也需要考虑物理资源的有效利用, 从而实现预期的经济效益。刘鎏等针对 传统虚拟网络映射算法的不足提出了基于资源主动拆分的v NFC映射策略，并利用最优化算 法，将v NFC的映射问题建模成整型优化问題 有效地提高了物理资源利用率。本文提出了一种 SSC 构建方法。该方法基于 SSC 体系架构, 通过 SDN 控制器下发 SSC构建策略，包括分流策略和流量牵引策略，到SDN交换机，来构建SSC。试验结果证明, 利用提出的SSC构建方法可实现防火墙、入侵检测以及深度包检测等功能，并能够借助流量 牵引模块按需编排安全服务，形成SSC。1、安全服务链基于SDN的服务功能链(SFC)定乂了一组有序的抽象服务功能和排序约束,SSC作 为一种服务功能链, 定义了一组有序的安全功能, 以及针对特定数据包和/或流的安全策略。 用户可根据不同业务需求动态部署安全功能(如v FW、v IDS等),按需编排安全功能形成SSC, 在应用生命周期内, 为应用提供安全服务, 支持安全服务的弹性伸缩和故障迁移, 同时支持 实时威胁检测和基于策略的自动化响应。安全服务提供商利用 SSC, 可管理和运营独立的安 全服务, 并提供可集成到其他服务 (如智能交通系统 (ITS) 、视频服务和位置服务) 中的定 制安全服务。服务提供商可以只关注基本服务逻辑, 从安全服务提供商那里获得专业安全服 务, 以便为终端用户提供安全服务。根据部署方式的不同,SSC可以分为2种: 独立的SSC,安全服务提供商可自行管 理和运营独立的安全服务；（2）互通SSC,与其他SFC整合，以将安全机制嵌入到数据流的提 供端到端的服务/应用。根据服务对象不同,SSC可以分为非面向用户的SSC和面向用户的SSC。非面向用户 的 SSC 既不面向特定用户也不面向特定业务逻辑提供通用的安全服务, 如数据包过滤、入侵 检测和预防等功能;面向用户的SSC是面向特定用户和/或特定业务逻辑，并且通过与SFC控 制器协作而以特定顺序集成到SFC （服务功能链）中。例如，面向用户的SSC提供认证、授权 和单用户加密/解密等安全服务, 以实现更高的安全级别保护。非用户导向的 SSC 可以作为 独立的SSC和互通SSC进行部署。面向用户的SSC只能部署为互通SSC,因为必须集成到特 定的业务逻辑中。2、基于SDN/NFV的SSC体系架构SSC 的构建同时利用了软件定义安全 (Software Defined Security, SDS) 和虚拟化安 全 (Virtualized Security Appliance, VSA) 2种技术思路。SDS 的特点是将安全的控制平面和数据平面进行分离和重构, 实现模块化、服务化、 可重用oSDS将现有安全技术分解成基本安全服务 并进一步划分为原子安全服务。然后，通 过 SDN 控制层的可编程能力及安全防护控制器, 利用服务重构技术和安全状态表将各安全 原子服务有机整合, 形成定制的安全能力。VSA的特点是通过传统安全设备的虚拟化来实现SDN网络中的安全嵌入。SDN网络 被划分为基础设施层 （主要包括计算和存储资源, 以及负责网络转发的交换和路由设备等） 控制层（主要有SDN控制器组成）和服务层（主要包括业务应用和网络安全应用等）,在VSA 模式下, 安全设备, 例如防火墙、入侵检测和防护系统、反病毒系统、蜜罐等安全设备工作 于服务层，由网络控制器根据策略将目标流量调度到相应的安全设备进行处理。基于SDN/NFV的SSC体系架构如图1所示，包括SSC控制器和SSC功能域2部分。 网络服务/应用和安全管理根据安全需求向SSC控制器发送SSC请求,SSC控制器根据安全需 求，创建SSC,提供定制的安全保护。图 1 基于 SDN/NFV 的 SSC 体系架构SSC 各部分功能详细描述如下:(1) Restful编程接口:SSC控制器对上提供基于Restful的编程接口，方便与其他服务 或应用的集成。(2) SSC 管理:包括服务链目录、服务链创建以及服务链列表。服务链目录, 用于管理定义服务链;服务链创建，用于创建SSC实例;服务链列表，用于管理创建的服务链。(3) 安全功能管理:包括安全功能目录、安全功能创建以及安全功能列表。安全功能 目录, 用于管理定义安全功能;安全功能创建, 用于构建安全功能实例;安全功能列表, 用于 管理安全功能实例。(4) 策略管理:主要包括对分流策略以及流量牵引策略的管理。(5) 动态编排:主要包括安全事件分析以及动态响应。安全事件分析:用于分析异常 事件;动态响应:当安全事件分析模块发现安全攻击后，动态响应模块根据规则生成SSC请求, 并把SSC请求通过消息总线发送给中央调度器。(6) 分流引擎:基于分流策略, 识别数据流;一旦识别数据流, 则将服务链实例 ID 作 为服务链标签插入到数据包中 , 从而为后续流量牵引做准备;将打上服务链标签的数据包转 发给 v Switch。(7) 流量牵引:模块内嵌于 v Switch 模块;根据数据包中的服务链标签以及相应的流 量牵引策略, 将流量牵引到1个或多个安全功能实例;从安全功能实例回收流量, 然后将流量 牵引到下一跳的流量牵引模块或分流引擎, 实现安全功能服务链。 安全功能实例:基于虚拟化技术创建的安全功能引擎:v IDS, v FW, v DPI等。3、SSC 创建创建 SSC 的过程描述如下:(1) 服务/应用或管理平台请求来自SSC控制器的定制安全保护，并根据安全要求向 SSC控制器发送SSC请求。(2) 在接收到来自服务/应用程序，管理平台的SSC请求后,SSC管理将查找服务链目 录并选择适当的 SSC。(3) 服务链列表检查是否在SSC