写点什么

架构师俱乐部:SDN 与云网络安全

  • 2016-08-15
  • 本文字数:2200 字

    阅读完需:约 7 分钟

与 OpenStack 相比,软件定义网络技术的发展可谓形式喜人。在 SDN/NFV 技术方面,OpenFlow 已成为事实上的南向标准, OpenSwitch 正式成为 Linux 基金会项目。为此,在 7 月 15 日的 ArchSummit 全球架构师峰会深圳站上,我邀请 SDNLab 联合举办了一次“架构师俱乐部”的闭门交流。

活动定向邀请了产业界和研究机构就 SDN 与云网络安全这个话题展开了讨论,专家们就以下问题在经过讨论后分别进行了讨论。

  • SDN 与 DDoS 防御
  • 混合云的安全防护
  • 网络安全与可视化
  • 新业务的安全困境
  • SDS 的形态与发展
  • 被动防御与主动防御

SDN 下的 DDoS 怎么结合?

DDoS 攻击和 SDN 是否存在可行的结合点,成为 SDN 模型下的一直有效应用,是一个值得讨论的话题。众所周知,以各种 FLOOS 泛洪为代表的大流量攻击,以及诸如 CC 这种资源耗尽型攻击,一直比较活跃且难以防御。当前业界存在的 DDoS 解决方案,既有在运营商侧进行的各种大流量泛洪清洗,也有一些部署在企业互联网 /IDC 出口的 DDoS 防护方案。这些方案的部署,对于 DDoS 取到了一定的作用,但是面对应用系统的小流量的资源耗尽型攻击,其防御的效果不太理想,究其原因,主要是因为用户的业务系统本身千差万别,涉及到种类繁多的协议交互或者是信令交互,而通用的 DDoS 方案本身很难对这些应用层协议的合理性做出准确的判断。

而对这部分最清楚的是业务系统的运营方或服务提供商。从这个角度看,充分调度 / 利用服务商本身的理解,基于通用的 SDN 平台开发各种有针对性的 DDoS 防护插件,看上去是 DDoS 和 SDN 结合的较好的契合点。传统的 DDoS 设备或解决方案提供商,将现有的防护思路进行移植,基于开源的 SDN 控制器进行 DDoS 通用防护程序的开发;同时,业务系统服务提供商(比如网游 / 直播 / 互联网应用系统)基于同样的控制器平台进行自身业务系统防护插件或防护代理开发,两者相结合可以实现较好的防护效果。

当然,事情看上去好像比较美好,实际操作起来也会面临一些困难。一方面传统的 DDoS 设备或解决方案提供商是否有很大的兴趣和投入进行 SDN 框架的移植,另一方面 SDN 控制器的标准的选择和版本的及时跟进也是一个现实的困难,而且在安全即服务的模型下,基于 SDN 模型的 DDoS 服务 API 接口目前也缺乏统一的定义,从而给第三方的防御插件开发带来困难。可喜的是我们看到很多的 SDN 厂商已经在基于 OpenDaylight 平台进行诸多安全应用程序的开发,后续在新的市场机会的刺激下,相信会有更多的有实力的厂商参与到这个 DDoS 的 SDN 设计方案中来。

混合云的安全防护

关于这个话题讨论结果认为,首先混合云的安全一定要有网络隔离的手段,包括防火墙等等,但最终将走到 VPC 这条道路上来。那么在 VPC 里该如何做呢?这显然不是一个 VPC 所能解决的,因此需要多个 VPC。这时的问题是多个 VPC 之间的管理和控制逻辑。

混合云安全最好的切入点是新业务,尤其是对于业务模块众多的大厂商来说,这是一个难得的机会。对于业务模块数以千计、万计的互联网公司来说,新业务特别适合 VPC 这种模式。大体量固然有其转型的困难,“一旦他转过身来也就过去了”。如果大厂商不去实践、去应用、去观察,便很难再有谁去做这件事。另外,大厂商更容易把混合云的安全能力产品化,这也是中小厂商所不具备的优势。

网络可视化与安全

可视化不但是云安全的需求,也是诸如大数据之类技术的需求之一(如数据可视化)。在云环境中东西向的流量很大,传统的模式去镜像流量显然开销太大,性能也无法达不到要求。解决这个问题的关键是高效,专家的结论是基于 KVM 用 vSwitch 的方法可以解决 4 层以下的可视化问题。

这里主要采用了探针技术。借助该技术可以实现两个目标,第一个目标是全流的分析,只有全流量分析才能做到真正的内网可视化,第二个目标是解决内网非常复杂情况诊断问题,特别是针对异常流量的采样和分析。

新业务的安全困境

在一个比较复杂的网络上部署和运行的业务所面临的不仅仅是一个技术问题,很多时候也是一个管理问题。

  • 首先,当然是在管理规范上下功夫,要在安全标准和接入流程上实行严格的准则,这是最重要的。
  • 其次,对于一些未知的威胁、攻击方式,只能靠已知的立体防护策略,即主机层、网络层、应用层的一些防御手段来预测和降低它的发生概率。
  • 第三,即便如此,总还是有漏过的安全威胁,接下来就要靠监控和预警机制了。把前面漏过的威胁及时地通过一些有效的监控手段和预警手段发现和拦截。
  • 第四个手段是大数据,通过综合的数据分析,把一些更小概率的发生事件挖掘出来,这也是目前业界比较新的防护手段。大数据安全其实挑战蛮大,所以像腾讯、阿里等收购了很多做安全分析研究的团队。但是小公司又不敢把自己的数据拿给别人分析,因为那是核心的商业机密,因此不管是传统的网络安全厂商,还是一些专业的安全厂商可能都没有太好的办法。

SDS 的形态与发展

在讨论的最后,大家认为 SDS 的发展态势有以下几个趋势:

  • 传统安全厂商的重心可能是 VFW、VIDS 之类的产品研发。
  • 狭义的 SDS 厂商会不断有新公司诞生。
  • 云安全方面,基础设施的安全会不断完善。
  • 基于 SDN/NFV 技术的安全将在 API 的基础上定制化各种特殊业务的插件,同时结合大数据技术,进而提供 SaaS 化的安全服务。

架构师俱乐部介绍

『架构师俱乐部』是国际知名技术社区 InfoQ 发起和主办的,以资深架构师为主的不定期技术交流活动,旨在通过及时的分享和深入的交流,在资深技术人员之间搭建一个平台,让彼此之间的信息无障碍流通,同时增加彼此识朋交友的机会。

2016-08-15 17:072007
用户头像

发布了 64 篇内容, 共 23.6 次阅读, 收获喜欢 11 次。

关注

评论

发布
暂无评论
发现更多内容

从零到一构建完整知识体系,阿里最新SpringBoot原理最佳实践真香

程序员小毕

Java spring 源码 面试 SpringBoot 2

“大厂”角力移动办公系统市场,钉钉和企微向左、WorkPlus向右

WorkPlus

SpringBoot源码 | refreshContext方法解析

六月的雨在InfoQ

源码 springboot 源码阅读 9月月更 refreshContext

HUAWEI DevEco Testing注入攻击测试:以攻为守,守护OpenHarmony终端安全

OpenHarmony开发者

OpenHarmony

阿里云张新涛:连接产业上下游,构建XR协作生态

阿里云弹性计算

交互 XR 视觉计算 沉浸式体验

预约直播 | 大规模稀疏模型演进与DeepRec

阿里云大数据AI技术

开源项目 AI技术 模型稀疏训练

关于用户 email 邮件地址是否允许有加号的问题

汪子熙

typescript 正则表达式 邮件 9月月更 输入校验

推荐|海泰国密通信安全解决方案 助力用户实现安全合规

电子信息发烧客

如何设计企业级数据埋点采集方案?

字节跳动数据平台

数据分析 用户增长 埋点 数据应用 埋点设计

为什么阿里人成长速度极快?看完他们 Java 架构进化笔记,值得学习

Java-fenn

Java 程序员 java面试 Java学习 Java面试题

Paper Time|开放式时空大数据助力智能公交路线规划

OceanBase 数据库

百度App Android启动性能优化-工具篇

百度Geek说

android 性能优化 企业号九月金秋榜

小红书自研小程序:电商体验与效果优化的运行时体系设计

小红书技术REDtech

小程序 前端 小程序运行时

华为云快成长直播间大数据&AI专场,加速经济物联网智能化提升

科技怪咖

漏洞修复实用指南

SEAL安全

开源 漏洞 安全漏洞 漏洞修复 开源漏洞

高并发之缓存

源字节1号

软件开发

阿里大佬力荐6篇实战文档:JVM+多线程+Kafka+Redis+Nginx+MySQL,你确定不看?

收到请回复

Java 云计算 开源 架构 编程语言

FreeRTOS记录(八、用软件定时器?还是硬件定时器?)

矜辰所致

软件定时器 FreeRTOS 9月月更

手把手教大家编译 flowable 源码

江南一点雨

Java workflow flowable

【指针内功修炼】字符指针 + 指针数组 + 数组指针 + 指针参数(一)

Albert Edison

C语言 二维数组 9月月更 指针数组 数组指针

变革加速,博睿数据赋能“中国智造”转型升级

博睿数据

可观测性 智能运维 博睿数据

“双减”一年,如何让教育回归本质?

旺链科技

区块链 产业区块链 企业号九月金秋榜 教培行业

一文带你体验MRS HetuEngine如何实现跨源跨域分析

华为云开发者联盟

大数据 后端 企业号九月金秋榜

大数据ELK(一):集中式日志协议栈Elastic Stack简介

Lansonli

ELK 9月月更

面试造火箭!连续轰炸50问,我却靠这些"java复习宝典"一一攻克!

收到请回复

Java 云计算 开源 架构 编程语言

华为云快成长直播ERP专场,以数据驱动企业智慧变革

科技怪咖

算法基础(二)| 高精度算法详解

timerring

算法 9月月更

亿级日志队列回放性能测试初探

FunTester

关关难过关关过!2022年BAT面试通关秘籍:面前规划+面试题集+简历优化+面经分享等!

收到请回复

Java 云计算 开源 架构 编程语言

全新演绎!美团内部疯传Spring Boot速成手册也太香了叭!

收到请回复

Java 云计算 开源 架构 编程语言

Github点击破百万!这部《从零开始学架构》神书就此霸榜

Java-fenn

Java 程序员 java面试 Java书籍 Java面试题

架构师俱乐部:SDN与云网络安全_语言 & 开发_魏星_InfoQ精选文章