作为在近些年最热门的网络新兴技术,SDN的发展不负众望,2015年应用部署可谓热火朝天,2016的发展势头似乎也在呼应咨询机构预测的SDN井喷,国内国外SDN startup也在不断出现。伴随着从开始的概念纠结到后续落地案例的逐渐丰富,我们也看到了大家看待SDN的态度愈发走向理性,同时SDN/NFV的理念和架构也逐渐对传统行业产生了一定影响和冲击,这其中就包括安全问题。
于是借着2016 InfoQ ArchSummit大会的机会,SDNLAB和InfoQ联合举办了题为“SDN与云网络安全”的闭门技术交流会。定向邀请了产业界和研究机构就“SDN与云网络安全”这个话题展开了讨论。
与会嘉宾
- 魏亮,江苏省未来网络创新研究院团队总监、SDNLAB联合创始人
- 韩方,欢聚时代(YY直播) 安全中心总监
- 徐勇州,腾讯平台技术运营总监
- 陈洋钧,QingCloud研发工程师
- 张天鹏,云杉网络联合创始人兼CTO
- 王志雄,广州西麦科技股份有限公司 SDN/NFV 研发总监
- 孙松儿,华三H3C安全产品线总架构师
议题
通过初步的讨论,专家们一致达成共识将从以下几个子议题展开讨论:
- SDN与DDoS防御
- 混合云的安全防护
- 网络安全与可视化
- 新业务的安全困境
- SDS的形态与发展
经过思想碰撞之后,针对每个子议题都形成了相应的结论。希望这些结论能够让对于SDN、云、安全感兴趣的读者有一定的启发作用,甚至能帮助到大家创新创业找到灵感,那就真是功德无量了。
1. SDN下的DDoS防范之难
DDoS攻击和SDN是否存在可行的结合点,成为SDN模型下的一直有效应用,是一个值得讨论的话题。众所周知,以各种FLOOD泛洪为代表的大流量攻击,以及诸如CC这种资源耗尽型攻击,一直比较活跃且难以防御。当前业界存在的DDoS解决方案,既有在运营商侧进行的各种大流量泛洪清洗,也有一些部署在企业互联网/IDC出口的DDoS防护方案。这些方案的部署,对于DDoS取到了一定的作用,但是面对应用系统的小流量的资源耗尽型攻击,其防御的效果不太理想,究其原因,主要是因为用户的业务系统本身千差万别,涉及到种类繁多的协议交互或者是信令交互,而通用的DDoS方案本身很难对这些应用层协议的合理性做出准确的判断。
而对这部分最清楚的是业务系统的运营方或服务提供商。从这个角度看,充分调度/利用服务商本身的理解,基于通用的SDN平台开发各种有针对性的DDoS防护插件,看上去是DDoS和SDN结合的较好的契合点。传统的DDoS设备或解决方案提供商,将现有的防护思路进行移植,基于开源的SDN控制器进行DDoS通用防护程序的开发;同时,业务系统服务提供商(比如网游/直播/互联网应用系统)基于同样的控制器平台进行自身业务系统防护插件或防护代理开发,两者相结合可以实现较好的防护效果。
当然,事情看上去好像比较美好,实际操作起来也会面临一些困难。一方面传统的DDoS设备或解决方案提供商是否有很大的兴趣和投入进行SDN框架的移植,另一方面SDN控制器的标准的选择和版本的及时跟进也是一个现实的困难,而且在安全即服务的模型下,基于SDN模型的DDoS服务API接口目前也缺乏统一的定义,从而给第三方的防御插件开发带来困难。可喜的是我们看到很多的SDN厂商已经在基于OpenDaylight平台进行诸多安全应用程序的开发,后续在新的市场机会的刺激下,相信会有更多的有实力的厂商参与到这个DDoS的SDN设计方案中来。
2. 混合云的安全防护
关于这个话题讨论结果认为,首先混合云的安全一定要有网络隔离的手段,包括防火墙等等,但最终将走到VPC这条道路上来。那么在VPC里该如何做呢?这显然不是一个VPC所能解决的,因此需要多个VPC。这时的问题是多个VPC之间的管理和控制逻辑。
混合云安全最好的切入点是新业务,尤其是对于业务模块众多的大厂商来说,这是一个难得的机会。对于业务模块数以千计、万计的互联网公司来说,新业务特别适合VPC这种模式。大体量固然有其转型的困难,“一旦他转过身来也就过去了”。如果大厂商不去实践、去应用、去观察,便很难再有谁去做这件事。另外,大厂商更容易把混合云的安全能力产品化,这也是中小厂商所不具备的优势。
3. 网络可视化与安全
可视化不但是云安全的需求,也是诸如大数据之类技术的需求之一(如数据可视化)。在云环境中东西向的流量很大,传统的模式去镜像流量显然开销太大,性能也无法达不到要求。解决这个问题的关键是高效,专家的结论是基于KVM用vSwitch的方法可以解决4层以下的可视化问题。
这里主要采用了探针技术。借助该技术可以实现两个目标,第一个目标是全流的分析,只有全流量分析才能做到真正的内网可视化,第二个目标是解决内网非常复杂情况诊断问题,特别是针对异常流量的采样和分析。
4. 新业务的安全困境
在一个比较复杂的网络上部署和运行的业务所面临的不仅仅是一个技术问题,很多时候也是一个管理问题。
首先,当然是在管理规范上下功夫,要在安全标准和接入流程上实行严格的准则,这是最重要的。
其次,对于一些未知的威胁、攻击方式,只能靠已知的立体防护策略,即主机层、网络层、应用层的一些防御手段来预测和降低它的发生概率。
第三,即便如此,总还是有漏过的安全威胁,接下来就要靠监控和预警机制了。把前面漏过的威胁及时地通过一些有效的监控手段和预警手段发现和拦截。
第四个手段是大数据,通过综合的数据分析,把一些更小概率的发生事件挖掘出来,这也是目前业界比较新的防护手段。大数据安全其实挑战蛮大,所以像腾讯、阿里等收购了很多做安全分析研究的团队。但是小公司又不敢把自己的数据拿给别人分析,因为那是核心的商业机密,因此不管是传统的网络安全厂商,还是一些专业的安全厂商可能都没有太好的办法。
5. SDS的形态与发展
在讨论的最后,大家认为SDS的发展态势有以下几个趋势:
- 传统安全厂商的重心可能是vFW、vIDS之类的产品研发。
- 狭义的SDS厂商会不断有新公司诞生。
- 云安全方面,基础设施的安全会不断完善。
- 基于SDN/NFV技术的安全将在API的基础上定制化各种特殊业务的插件,同时结合大数据技术,进而提供SaaS化的安全服务。
鉴于本次闭门交流会的形式一致获得受邀嘉宾的好评,SDNLAB在未来将会继续开展此类闭门技术研讨,也希望能跟更多的像InfoQ这样优质的平台合作,产生出更加优质的文章和内容。通过及时的分享和深入的交流,在资深技术人员之间搭建一个平台,让彼此之间的信息无障碍流通,同时增加彼此识朋交友的机会。(有兴趣参加10月深圳中国软件定义大会闭门交流会议请联系小黑:微信号:wx928579866;邮箱:cuibaigui@sdnlab.com)
