转载

架构师俱乐部：SDN与云网络安全

与OpenStack相比，软件定义网络技术的发展可谓形式喜人。在SDN/NFV技术方面，OpenFlow已成为事实上的南向标准， OpenSwitch正式成为Linux基金会项目。为此，在7月15日的 ArchSummit全球架构师峰会深圳站上，我邀请 SDNLab 联合举办了一次“架构师俱乐部”的闭门交流。

活动定向邀请了产业界和研究机构就SDN与云网络安全这个话题展开了讨论，专家们就以下问题在经过讨论后分别进行了讨论。

SDN与DDoS防御
混合云的安全防护
网络安全与可视化
新业务的安全困境
SDS的形态与发展
被动防御与主动防御

SDN下的DDoS怎么结合？

DDoS攻击和SDN是否存在可行的结合点，成为SDN模型下的一直有效应用，是一个值得讨论的话题。众所周知，以各种FLOOS泛洪为代表的大流量攻击，以及诸如CC这种资源耗尽型攻击，一直比较活跃且难以防御。当前业界存在的DDoS解决方案，既有在运营商侧进行的各种大流量泛洪清洗，也有一些部署在企业互联网/IDC出口的DDoS防护方案。这些方案的部署，对于DDoS取到了一定的作用，但是面对应用系统的小流量的资源耗尽型攻击，其防御的效果不太理想，究其原因，主要是因为用户的业务系统本身千差万别，涉及到种类繁多的协议交互或者是信令交互，而通用的DDoS方案本身很难对这些应用层协议的合理性做出准确的判断。

而对这部分最清楚的是业务系统的运营方或服务提供商。从这个角度看，充分调度/利用服务商本身的理解，基于通用的SDN平台开发各种有针对性的DDoS防护插件，看上去是DDoS和SDN结合的较好的契合点。传统的DDoS设备或解决方案提供商，将现有的防护思路进行移植，基于开源的SDN控制器进行DDoS通用防护程序的开发；同时，业务系统服务提供商（比如网游/直播/互联网应用系统）基于同样的控制器平台进行自身业务系统防护插件或防护代理开发，两者相结合可以实现较好的防护效果。

当然，事情看上去好像比较美好，实际操作起来也会面临一些困难。一方面传统的DDoS设备或解决方案提供商是否有很大的兴趣和投入进行SDN框架的移植，另一方面SDN控制器的标准的选择和版本的及时跟进也是一个现实的困难，而且在安全即服务的模型下，基于SDN模型的DDoS服务API接口目前也缺乏统一的定义，从而给第三方的防御插件开发带来困难。可喜的是我们看到很多的SDN厂商已经在基于 OpenDaylight 平台进行诸多安全应用程序的开发，后续在新的市场机会的刺激下，相信会有更多的有实力的厂商参与到这个DDoS的SDN设计方案中来。

混合云的安全防护

关于这个话题讨论结果认为，首先混合云的安全一定要有网络隔离的手段，包括防火墙等等，但最终将走到VPC这条道路上来。那么在VPC里该如何做呢？这显然不是一个VPC所能解决的，因此需要多个VPC。这时的问题是多个VPC之间的管理和控制逻辑。

混合云安全最好的切入点是新业务，尤其是对于业务模块众多的大厂商来说，这是一个难得的机会。对于业务模块数以千计、万计的互联网公司来说，新业务特别适合VPC这种模式。大体量固然有其转型的困难，“一旦他转过身来也就过去了”。如果大厂商不去实践、去应用、去观察，便很难再有谁去做这件事。另外，大厂商更容易把混合云的安全能力产品化，这也是中小厂商所不具备的优势。

网络可视化与安全

可视化不但是云安全的需求，也是诸如大数据之类技术的需求之一（如数据可视化）。在云环境中东西向的流量很大，传统的模式去镜像流量显然开销太大，性能也无法达不到要求。解决这个问题的关键是高效，专家的结论是基于KVM用vSwitch的方法可以解决4层以下的可视化问题。

这里主要采用了探针技术。借助该技术可以实现两个目标，第一个目标是全流的分析，只有全流量分析才能做到真正的内网可视化，第二个目标是解决内网非常复杂情况诊断问题，特别是针对异常流量的采样和分析。

新业务的安全困境

在一个比较复杂的网络上部署和运行的业务所面临的不仅仅是一个技术问题，很多时候也是一个管理问题。

其次，对于一些未知的威胁、攻击方式，只能靠已知的立体防护策略，即主机层、网络层、应用层的一些防御手段来预测和降低它的发生概率。
第三，即便如此，总还是有漏过的安全威胁，接下来就要靠监控和预警机制了。把前面漏过的威胁及时地通过一些有效的监控手段和预警手段发现和拦截。
第四个手段是大数据，通过综合的数据分析，把一些更小概率的发生事件挖掘出来，这也是目前业界比较新的防护手段。大数据安全其实挑战蛮大，所以像腾讯、阿里等收购了很多做安全分析研究的团队。但是小公司又不敢把自己的数据拿给别人分析，因为那是核心的商业机密，因此不管是传统的网络安全厂商，还是一些专业的安全厂商可能都没有太好的办法。