基于SDN技术的云数据中心网络安全架构浅析

基于SDN技术的云数据中心网络安全架构浅析

贡仟军

山西财经大学网络与信息教育技术中心

摘要：软件定义网络（Software Defined Network，SDN）是由美国斯坦福大学Clean-Slate课题研究组提出的一种新型网络创新架构，是网络虚拟化的一种实现方式。SDN技术本身源于企业内网中访问控制的网络安全应用背景，并在解决私有云数据中心网络的流量工程（traffic engineering）与公有云数据中心的多租用虚拟网络等背景下进一步发展成熟。其核心技术OpenFlow通过将网络设备的控制面与数据面解耦，通过构建具有全局知识的控制平面，从而实现了网络流量的灵活控制，使网络变得更加智能，为核心网络及应用的创新提供了良好的平台。

关键词：SDN技术；云数据；网络安全

引言

SDN技术将整个网络划分为控制层、物理层和应用层。控制层南向接口负责对网络所有的物理资源进行探测、监控和管理，包括对物理层的设备资源进行探测和向上层应用提供抽象化的网络资源调用。控制层北向接口则为应用层提供网络的整体资源。通过控制器南向接口感知、调度网络；通过控制器北向接口获取业务需求；通过编程实现网络的虚拟化，构建业务和物理资源的关联，实现业务的全面开放。

1 云数据中心网络安全特点

云数据中心是一个专门设计和维护大规模云计算的基础设施，集中存储和管理各种应用和服务所需的大量数据和计算资源。设备之间通过高速网络进行连接，确保各种设备之间可以快速、可靠地传输数据，采用虚拟化技术将物理基础资源集中在一起形成一个共享虚拟资源池，从而达到更加灵活和低成本地充分有效使用资源。

1.1 动态映射

在云数据中心需要随时保障用户数据的安全，安全服务要跟随虚拟机的迁移状况，动态地、实时地映射到实际的物理设备和安全设备上，实现数据的安全防护以及用户业务流量的全过程跟随，避免安全策略的实施在拓扑的动态变化过程中产生空窗期。

1.2 全局协同

云数据中心的安全策略的定义要能根据服务的演变而不断地调整，实现在现有的基础上进行服务更新、拓展。同时不同服务安全策略与全网的安全策略、不同服务之间的安全策略必须协同，避免安全策略冲突的情况，影响云数据中心的安全策略的发挥，实现数据安全服务不断地拓展。

1.3 集中管理

云数据安全中心要能够满足不同云数据服务的需求，以物理上分散的形式实现对安全策略和安全能力逻辑上的集中管理和控制。

1.4 高效实现

为数据中心提升安全服务的整体性能，需要根据不同服务的安全需求，对安全资源的分配、调度和控制予以全局优化，提升安全服务的整体性能，需要根据安全资源的分布对流量进行负载均衡和智能调度，降低云数据中心网络的性能压力。

2 基于SDN技术云数据中心网络安全架构设计

2.1 安全设备重构

采用虚拟化技术，将安全产品的软件从硬件中分离出来并运行在池化的虚拟环境中，使得多种安全产品可以直接运行在通用的物理服务器上，并由多台设备共同构成资源池，使安全设备成为网络中的服务元素，将安全设备与云数据中心的其他资源一样，视为一种服务，在全网范围内进行资源的优化配备和调度。

2.2构建逻辑处理框架

封装不同安全设备上安全产品的功能模块，提取并合并其中公共的处理模块，构建不同安全能力的逻辑处理框架，统一网包处理的输入输出接口，为上层的安全处理提供可复用的、高性能的基础支撑；上层的安全处理模块基于统一定义的输入输出接口对网包进行处理，并将安全设备视为一种服务进行组合拼接，实现不同安全功能的高效动态组合。

2.3 制订与部署多目标安全策略

在云数据中心网络的应用中，基于SDN控制平面提供的网络状态信息，根据客户应用的安全需求及虚拟网络拓扑设计适合该类应用的安全策略描述方式，定义安全策略与转发策略。SDN控制器将转发策略与安全策略联合编译，并根据客户所请求的资源量与资源类型，分发到网络中的不同节点上。

安全策略的部署：

计算量小、动态性强、无状态、依赖全局网络视图的策略既可部署在网络的控制平面上，也可部署在网络的数据平面上。

计算量大、依赖网流状态信息的策略必须部署在网络的数据平面上。

对于更新频繁、规模大、应用实时性强的策略，可在研究策略编译的过程中考虑引入动态增量更新算法。

2.4 安全资源的全局优化方法

通过SDN技术中网络控制器提供的全局网络视图和对网络设备的可编程控制，按照虚拟网络拓扑与物理网络拓扑之间的映射、物理服务器的负载情况以及流量的分布模型，选择最适合安全设备接入的位置。根据不同安全能力的逻辑处理框架，按照不同安全功能对硬件资源需求的差异，分配最适合其实现的资源类型，构建多业务差异化流量管理模型。以网络为资源优化分配和调度的中心，通过对网络拓扑的监测发现、控制网络物理拓扑和逻辑拓扑的变化，以及变化产生的信息更新，根据业务需求制定流表的转发策略，动态调整交换设备上的转发流表和安全设备上的策略映射，实现负载均衡和资源优化配置，实现全网范围上资源的统筹。

3 结束语

伴随着数据中心所有资源虚拟化的进程逐步加快，安全设备的虚拟化和开放接口必将为云数据中心网络安全服务的提供带来更多的便利。而软件定义网络中“软件定义”的核心思想，必将为云数据中心网络安全问题的最终解决提供方向性的指引。

参考文献：

[1]王伟，成天宇，陈思斌. 基于云数据中心的SDN网络安全架构设计[J]. 电信科学，2021，37(3)：5-11.

[2]张亮，陈玉杨，李小军. 基于SDN的云数据中心网络安全技术综述[J]. 计算机应用研究，2021，38(11)：3171-3176.

[3]段曙光，李艳霞，唐婷. 基于SDN的云数据中心网络安全研究[J]. 电子技术与软件工程，2022，46(6)：71-74.

[4]郭蕾，张志杰. 基于SDN的云数据中心网络安全技术研究综述[J]. 信息网络安全，2022，(2)：55-60.