基于SDN的云数据中心安全防护技术研究.docx

?

?

基于SDN的云数据中心安全防护技术研究

?

?

张少芳王剑钊刘延锋

摘要：区别于传统的数据中心，云数据中心资源虚拟化的特性使其内部网络变得扁平化，随之而来的主要网络流量方向的变化、网络逻辑边界的模糊等问题，使得传统的数据中心安全技术已经无法满足其需求。而SDN通过给出多个维度的立体安全防护设计，能够有效满足云数据中心对安全的弹性需求，为其业务提供更为可靠的安全保障。

关键词：SDN;数据中心;安全;控制器;网络

1SDN的概念

SDN全称为SoftwareDefinedNetwork，中文名称为软件定义网络。作为一种网络虚拟化技术，它最早由美国斯坦福大学NickMcKeown教授所领导的研究组提出。其技术的关键是将传统网络设备中紧密耦合在一起的转发平面和控制平面进行逻辑上的剥离，从而实现对网络中通信数据的动态控制，使网络更易于集中管理并能对用户需求变化及时做出响应。

在传统网络中，网络设备是纯分布式的控制，其控制面和转发面紧密耦合，数据的转发行为受到各种网络協议的控制，而网络管理员无法直接操控转发行为。

SDN则进行了转控的分离，采用集中式的控制方式，使网络管理员可以直接通过应用程序来操控设备的转发行为，而不受任何协议的影响。

SDN的基本架构如图1所示。

1.1网络设备

与传统的物理网络设备不同，在SDN中网络设备被看作一个逻辑层次，以转发平面的形式出现。实际中，它可以是诸如交换机、路由器、防火墙等硬件设备，也可以是类似OpenVSwitch的虚拟交换机。网络设备负责存储网络中所有的转发表项，并基于SDN控制器的指令来接收用户的数据报文，然后根据流表对其进行转发。

网络设备在其上层SDN控制器的控制下进行工作，他们之间的通信基于南向接口实现，网络设备一方面需要接收并执行SDN控制器对其发出的指令，另一方面在遇到异常情况时也会主动发送Trap报文到SDN控制器。

1.2南向接口

南向接口是转发平面与控制平面之间进行沟通的通道。在传统网络中，南向接口、控制平面和转发平面一起被集成在硬件网络设备中，对外并不可见。而在SDN架构中，希望通过对南向接口进行标准化来对网络设备的软硬件进行解耦，否则SDN到最后还是特定软件只能在特定硬件上运行。

注意：南向接口向上屏蔽了硬件交换机和虚拟交换机的区别，上层能看到的只是抽象的转发平面。

1.3控制器

在一个SDN网络中，控制器（Controller）的数量可能不止一个，当存在多个Controller时，它们之间的关系可能是相互独立的对等关系，也可能是主从的关系。如果多个Controller之间为主从关系，则只能有一台主Controller。Controller和网络设备之间的关系则可以是多对多的关系。Controller一般会被安装在专门进行网络管理的服务器上。

作为SDN网络中的核心，Controller向上会为上层服务提供应用程序接口，向下则基于OpenFlow等协议控制转发平面的行为。

1.4北向接口

在传统网络中，北向接口指的是诸如iMC、eSight等对网络进行管理的软件与硬件网络设备之间的接口，一般采用简单网络管理协议（SNMP）来进行通信。在SDN架构中，指的则是SDNController与上层Application之间的接口。

1.5应用服务

包括负载均衡、安全、网络运行情况检测、拓扑发现等各种服务，其目的主要是对网络进行管理，最终表现形式均为软件应用程序。它们的安装位置既可以与Controller在同一台物理服务器上，也可以在不同的服务器上，只要其与Controller之间通过北向接口可以通信即可。

2云数据中心面临的安全挑战

在传统的数据中心中，其网络往往采用接入层、汇聚层和核心层的三层架构，对网络资源通过功能分区的方式进行部署，区域之间或者通过划分VLAN结合VLAN间访问控制的方式进行逻辑上的隔离，或者直接进行物理上的隔离。数据中心网络与外网之间则一般通过硬件防火墙设备来进行隔离。而云数据中心通过对资源的虚拟化打破了传统数据中心网络的物理边界，网络从三层架构转变为逻辑上的大二层网络。这也为如何保障云数据中心的安全带来了挑战。

（1）虚拟化技术使数据中心的流量从以前的南北向流量为主转为了东西向流量为主，而传统上基于功能分区的访问控制导致东西向流量的路径迂回，从而使通信延迟增大，云数据中心无法为租户提供高效的服务。

（2）随着云数据中心租户以及虚拟机规模的增大，基于高效利用资源的虚拟机动态迁移增加，网络安全边界变得模糊，传统手工配置的VLAN和ACL明显无法满足弹性边界安全的需求，云数据中心需要可以实现策略随行的自动化安全策略来保障虚拟应用业务的安全迁移。

3基于SDN的云数据中心多维安全模型

针对云数据中心的特点，需要从“数据