云計算以資源的形式向用戶提供計算、存儲等能力，用戶不必關心資源存放在哪里、怎么提供，而是按需使用。因云計算建設、使用、維護成本遠低于傳統(tǒng)方案而受到用戶的歡迎，相關技術與應用一直在快速發(fā)展。云計算的安全問題是被關注的焦點問題之一，國內外多家調查機構的調查顯示，云計算的安全問題已經(jīng)成為影響用戶采用云計算的首要因素。

云計算的安全問題大體可分為兩類：一類是用戶、設備、系統(tǒng)等因部署在云環(huán)境中而需要新的防護手段，另一類是由云計算技術引入的新的安全問題。本文不涉及第二類問題，重點討論如何在云環(huán)境中解決第一類問題。傳統(tǒng)的安全問題之所以在云環(huán)境中有不同的表現(xiàn)，一方面是因為虛擬化等技術增加了安全設備識別云計算環(huán)境中的用戶、設備、系統(tǒng)等的難度，另—方面是云計算的數(shù)據(jù)大集中帶來了新的安全風險。

本文提出一種方案，在原有的云計算環(huán)境（本文稱為業(yè)務云）之外，用云技術建設安全云，在業(yè)務云中部署安全代理，通過SDN（software defined network，軟件定義網(wǎng)絡）技術連接業(yè)務云、安全云和安全代理，并通過安全代理把業(yè)務云動態(tài)劃分為邏輯隔離的多業(yè)務區(qū)域（本文稱為業(yè)務子云），從而把安全從業(yè)務云的具體實現(xiàn)技術和部署方案中脫離出來，針對相對穩(wěn)定的業(yè)務邏輯實施防護。同時，不同業(yè)務的數(shù)據(jù)在業(yè)務子云之間隔離，提升了安全性，而各業(yè)務子云仍可通過安全途徑共享整個業(yè)務云的資源，享受云計算的優(yōu)勢。

1方案概論

方案包含如下組成部分：業(yè)務云、業(yè)務子云、安全代理、安全云和管理中心，其架構如圖1所示。

1)業(yè)務子云是業(yè)務云的一部分，用于提供一種或多種相關的業(yè)務。業(yè)務子云之間通過安全代理實現(xiàn)邏輯隔離。

2)安全代理是實現(xiàn)邏輯隔離的關鍵設備，包含SDN交換機核心功能和基礎安全功能。通過靜態(tài)或動態(tài)配置，安全代理能夠對數(shù)據(jù)報文進行檢測，決定數(shù)據(jù)報文的走向，從而實現(xiàn)業(yè)務子云之間的邏輯隔離、基礎的安全防護以及把流量導人到安全云中進行處理。

3)安全云為業(yè)務子云和安全代理提供安全服務，實現(xiàn)全面的安全防護功能。此外，通過安全云中的大數(shù)據(jù)分析引擎提供增強的數(shù)據(jù)分析服務，實現(xiàn)更高的安全性。安全云也是基于云計算技術搭建，但不要求與業(yè)務云采用相同的技術架構。

4)管理中心是安全代理和安全云的控制器。管理中心理解業(yè)務云的業(yè)務邏輯和管理員的安全意圖，根據(jù)業(yè)務云的實時狀態(tài)，動態(tài)調整安全代理和安全云的策略，分配相關資源，控制安全云實現(xiàn)安全功能。

方案采用的業(yè)務子云+安全云的多區(qū)域安全云計算架構主要具有以下優(yōu)勢：

1)易部署。安全云與業(yè)務云架構互相獨立，可在不影響業(yè)務的前提下快速部署。

2)易維護。安全代理接近初始零配置，可在秒級時間完成設備更換、功能更新、規(guī)模擴張等維護工作。

3)更安全。

4)業(yè)務子云之間邏輯隔離，降低業(yè)務受到的威脅：

(1)安全云能夠智能感知業(yè)務云的變化，在第一時間實施合適的安全策略，避免因策略調整不及時而導致的攻擊；

(2)安傘云更新技術后，整個業(yè)務云可立即獲得新的防護能力，避免因實施不及時而導致的攻擊；

(3)安全云通過大數(shù)據(jù)分析引擎能夠精準地識別潛在威脅。

5)更靈活。把安全也作為一種服務，方案可以根據(jù)時間、流量、威脅狀態(tài)等多種條件提供不同的安全防護服務，而不必增加大量的冗余設備。

6)更穩(wěn)定。安全云中不存在單點故障，任何設備出現(xiàn)問題后均可切換到其他設備繼續(xù)提供服務。

2具體實施

2.1業(yè)務子云與安全代理

方案不調整業(yè)務云的結構，通過增加安全代理實現(xiàn)業(yè)務子云邏輯隔離。用符號(S，T)表示業(yè)務云中的一條邏輯連接通路，S( Source)、T(Target)都是業(yè)務云中具有網(wǎng)絡功能的業(yè)務主體，如Web服務、Ftp服務、郵件客戶端、通用TCP協(xié)議端點等�？紤]業(yè)務云中的全部邏輯連接，分為若干組，每個組中各邏輯連接的業(yè)務屬性及安全需求具有相似性。對屬于同一組的多個連接(Si，Ti)把Si和Ti接入到同一個安全代理的兩個網(wǎng)絡接口，如圖2所示。

安全代理除與Si、Ti連接的接口外，至少還有一個接口用于與管理中心通信，稱為接口C。安全代理的簡化處理流程描述如下：

1) Si發(fā)起到Ti的訪問，報文P途經(jīng)業(yè)務云中的一個安全代理（簡稱G）；

2)G第一次收到來自Si的報文P時，沒有對(Si，Ti)的處理策略，通過接口C把報文轉給管理中心；

3)管理中心處理報文（實際是管理中心通過安全云提供的策略服務實現(xiàn)），如果合法，則通知G轉發(fā)報文；

4)管理中心給G的通知中包含今后對連接(Si，Tf)的處理、發(fā)送策略；

5)G再次收到來自Si的報文時，已存在對(Si，Ti)的處理策略，處理后向Ti轉發(fā)。

每個業(yè)務子云可接人一個或多個安全代理，各安全代理的接口C通過網(wǎng)絡連接到管理中心。

2.2安全代理的實現(xiàn)

完整的安全代理基于OpenFlow等SDN相關技術、訪問控制等安全技術實現(xiàn)，包括3個核心模塊：基于流表的流轉發(fā)模塊、安全控制模塊和安全通信模塊。

流表由一系列<特征，行動，目標>表項構成，流轉發(fā)模塊根據(jù)這些表項來處理報文。表1、表2、表3給出了特征、行動、目標的部分信息。特征除包含OpenFlow協(xié)議規(guī)定的1-4層信息外，還包含了應用層信息和安全信息等擴展，如應用類別、用戶信息等，從而可提供更多的安全特性。流表中每個表項的特征部分可以包含表1中任意多項特征的組合，行動部分和目標部分則各自包含表2、表3中的某一項。

收到的數(shù)據(jù)報文一旦匹配流表中的某一項，則按照流表表項指定的行動、目標進行處理。典型的行動包括丟棄、轉發(fā)、安全處理。不匹配流表的數(shù)據(jù)報文被轉發(fā)給管理中心處理。在大部分部署中，安全代理的初始配置只包含自身的IP地址、管理中心的IP地址，其余的配置包括流表都是空的，在運行過程中由管理中心動態(tài)下發(fā)。

除流表外，安全代理還維護一張由管理中心下發(fā)的安全策略表。安全策略表初始也是空的，由管理中心動態(tài)管理。安全策略表包括訪問控制、流控、加密等策略，安全控制模塊根據(jù)這些策略對數(shù)據(jù)報文進行進一步的處理。通常，安全控制模塊只包含基礎的安全功能，更復雜的功能交給安全云處理。但大型云計算環(huán)境中也可以選擇在安全代理中實現(xiàn)部分復雜功能。

安全通信模塊負責與管理中心進行安全通信，包括發(fā)送狀態(tài)信息、接收指令、安全轉發(fā)報文等。

2.3安全云的實現(xiàn)

安全云通過云計算技術構建，為業(yè)務云和安全代理提供安全服務，包括策略服務、檢測服務和審計服務等。

2.3.1策略服務

安全云以服務的方式向安全代理提供策略，這樣安全代理不用預先設置策略，極大提升了靈活性。當安全代理G遇到依據(jù)自身已有流表和安全策略表無法有效處理的數(shù)據(jù)報文P時，把P轉給管理中心處理，這就構成了一個報文處理請求和一個策略服務請求。管理中心作為請求的統(tǒng)一人口，快速處理后交給安全云做進一步處理。

安全云收到處理請求后：1）完成對P的各種檢測，把檢測結果和處理方法返回給G，完成報文處理請求；2）提取與P相關的一系列策略，經(jīng)過處理后推送給G，更新G的流表和安全策略表，完成策略服務請求。

安全云需要跟蹤已推送的策略，在策略發(fā)生變化時及時通知各安全代理，而如果安全代理中的策略超時，則需要重新向管理中心請求。

2.3.2檢測服務

安全云提供四類檢測服務。

1)復雜檢測服務。安全代理負責基礎安全防護，安全云則負責復雜的安全處理，典型的功能包括入侵防御服務、病毒檢測服務等。管理中心在安全代理中下發(fā)流表表項<特征，行動，目標>，如果“動”指定為“轉發(fā)”，“目標”指定為安全云中的防火墻、入侵防御設備、防病毒設備等，則符合“特征”的報文就會轉發(fā)給安全云進行檢測。與在安全代理中實現(xiàn)相同功能相比，安全云的檢測服務的優(yōu)勢是按需服務和更靈活。

2)可緩存檢測服務。每個安全代理只保留一小部分經(jīng)常訪問的URL地址的緩存，如1000-10000個條目，這樣檢測速度快，且在多數(shù)情況下能夠命中。而安全云保留完整的超過十億、百億個條目，當安全代理未檢測成功時，由安全云實現(xiàn)完整檢測。

3)資源消耗型檢測服務。當安全代理遇到未知可疑流量時，可交給安全云進行沙箱分析、代碼審查等耗費大量計算資源的檢測，而這些功能在安全代理中實現(xiàn)是不太現(xiàn)實的。

4)綜合檢測服務。除資源優(yōu)化外，安全云還能實現(xiàn)孤立的安全節(jié)點不能做到或很難做到的安全檢測功能，如APT攻擊檢測防御。安全代理僅憑數(shù)量有限的報文很難對APT做出正確判斷，而安全云中集結了大量數(shù)據(jù)，結合不同時間、不同地點收到的信息，有能力進行復雜的綜合分析，從而做出更精準的判斷。安全云把分析結果以服務的方式提供給安全代理，讓安全代理也具有了綜合檢測的能力。

2.3.3審計服務

除數(shù)據(jù)報文外，安全代理也向安全云發(fā)送審計信息。安全云利用自身的計算資源對審計信息進行整理、分析，向業(yè)務子云、安全代理、用戶等提供審計服務。

2.4管理中心

管理中心實現(xiàn)四個核心功能：1）配置中心。向系統(tǒng)管理員提供配置接口，保存業(yè)務云的業(yè)務邏輯、安全代理和安全云的結構、管理員的安全意圖等信息。2）控制中心。根據(jù)實時運行狀態(tài)，對安全代理及安全云的策略進行動態(tài)配置。3）資源中心。動態(tài)調整安全代理及安全云的資源分配，實現(xiàn)資源的有效利用。4）信息中心。向管理員、用戶或第三方設備提供業(yè)務云、安全云的狀態(tài)信息。

管理中心作為方案的中樞，為避免發(fā)生單點故障，需要具有極高的可靠性，需要通過冗余部件、主從熱備、負載均衡等方式提供高可用性。

3常見問題及典型場景分析

3.1流量的問題

按照安全代理的工作模式，極端情況下全部流量可能都導入到管理中心或安全云中，對業(yè)務云與安全云之間的交換機或路由器構成流量壓力。為此，管理中心需妻采取一些策略：

首先，需要減少導人到管理中心或安全云中的流量。一方面，管理中心理解整個業(yè)務云的業(yè)務邏輯，管理中心向安全代理推送相關聯(lián)的策略集，而不是單一的流表，因此能把必須導入管理中心的流量降到百分之一甚至萬分之一以下；另一方面，安全代理和安全云分別負責數(shù)據(jù)報文的轉發(fā)和安全任務，因此導入到安全云中的可以不是完整的數(shù)據(jù)報文，而是報文中的關鍵信息，從而減少流量壓力。

其次，數(shù)據(jù)報文傳輸過程中可能會經(jīng)過多個安全代理。管理中心從第一個安全代理G收到策略服務請求時，有能力計算出數(shù)據(jù)報文傳輸過程中需要經(jīng)過的其他安全代理，從而在向G返回相關策略的同時，也更新后續(xù)其他安全代理的策略集，這樣其他安全代理在收到報文后，不必把數(shù)據(jù)報文再次轉發(fā)給管理中心，而是按已有策略處理即可。管理中心在返回處理結果時還可以附帶一個令牌，安全代理在轉發(fā)報文時攜帶這個令牌，后續(xù)的安全代理接收令牌中的信息，進一步簡化處理流程。

最后，管理中心及安全云應避免單一入口。通過指定不同的入口點，導入到管理中心或安全云的流量可經(jīng)過不同的路徑到達，從而分散交換機或路由器的流量壓力。

3.2加密的問題

管理中心與安全代理之間傳輸?shù)目刂菩畔⑷绻艿浇俪只虮O(jiān)聽，整個方案的安全性將不存在，因此控制信息的傳輸需全程加密，由管理中心和安全代理的安全通信模塊實現(xiàn)。管理中心與安全代理之間轉發(fā)的數(shù)據(jù)報文因跨出了業(yè)務子云的范圍，其中的敏感信息也需要加密。加密既可以通過安全通信模塊來實現(xiàn)，也可以通過部署獨立的VPN設備來實現(xiàn)。不同業(yè)務子云之間傳輸?shù)男畔�，對加密有要求的，應通過部署獨立的VPN設備來實現(xiàn)。

3.3虛擬桌面案例分析

云環(huán)境下，用戶通過互聯(lián)網(wǎng)連接到云中的虛擬桌面，再通過虛擬桌面訪問云中的服務器。這里以此過程為例，說明云防護的過程，如圖3所示。

1)用戶U1以遠程桌面的方式登錄服務器SI上的虛擬機V1；

2) Ul訪問虛擬機V4上的業(yè)務Al時，發(fā)出的數(shù)據(jù)報文P被安全代理CI獲得；

3) CJI通過網(wǎng)絡把P轉發(fā)給管理中心；

4)管理中心解析P，確認安全后，根據(jù)UI、A1、G1信息推送策略給G1；

5)管理中心同時向G1發(fā)送一個令牌；

6)管理中心向后續(xù)的安全代理G3發(fā)送與“U1訪問A1”相關的適用于G3的策略；

7) G1發(fā)送令牌以及P，到達0.3，G3已獲得令牌，按令牌指示把P發(fā)送給V4，到達Al；

8) U1后續(xù)發(fā)出數(shù)據(jù)報文P2，因Crl、G3均已知道P2的處理方式，故直接轉發(fā)P2給V4，到達Al；

9) U2以遠程桌面的方式登錄S2上的V2，通過類似上述過程，Cl及其他安全代理獲得相關策略；

10) -段時間后，UI重新登錄，假設被分配到S3上的V3，通過類似上述過程，G2及其他安全代理獲得相關策略。G1上與UI相關的策略在一段時間后會自動超時作廢。

4結束語

云的安全問題已經(jīng)成為制約云計算發(fā)展的重要因素之一。本文通過用SDN技術劃分多區(qū)域、構建安全代理的方式，把云環(huán)境中的安全策略遷移等問題從復雜的云計算基礎設施建設中分離出來，專注于不頻繁變化的業(yè)務邏輯，使得大量在非云環(huán)境下的技術、產品、方案可以快速應用于云計算環(huán)境中，不依賴于業(yè)務云的實現(xiàn)方式，不改變業(yè)務云的軟硬件結構。相較于原業(yè)務云方案，本文方案具有易部署、易維護、更安全、更靈活、更穩(wěn)定等特點，為實現(xiàn)云安全提供了一種可行的思路。

文中構建安全代理的方式還是比較簡單的。一方面，直接利用初始云環(huán)境的邏輯連接通路構建安全代理，容易造成安全代理數(shù)量過多、單一安全代理利用率太低的問題。另一方面，盡管安全代理和管理中心存在交互，并非孤立的設備，但安全代理之間的信息共享仍然不夠。文中提出了使用令牌減少重復檢測的思路，但還需要進一步解決令牌產生、傳遞、使用等方面的諸多問題。此外，額外增加的流量也是一個問題。文中給出的思路能夠在多數(shù)情況下減輕流量壓力，但如何避免極端情況下的流量爆發(fā)增長仍然需要進一步的研究。

關鍵字：

上一篇:SBS含量檢測方法的改進及應用

下一篇:精鑄支架澆不足缺陷解決方案

信息篩選

一種基于SDN技術的多區(qū)域安全云計算架構研究

信息篩選

行業(yè)資訊月點擊排行

展會信息月點擊排行

招商信息月點擊排行