写点什么

架构师俱乐部:SDN 与云网络安全

  • 2016-08-15
  • 本文字数:2200 字

    阅读完需:约 7 分钟

与 OpenStack 相比,软件定义网络技术的发展可谓形式喜人。在 SDN/NFV 技术方面,OpenFlow 已成为事实上的南向标准, OpenSwitch 正式成为 Linux 基金会项目。为此,在 7 月 15 日的 ArchSummit 全球架构师峰会深圳站上,我邀请 SDNLab 联合举办了一次“架构师俱乐部”的闭门交流。

活动定向邀请了产业界和研究机构就 SDN 与云网络安全这个话题展开了讨论,专家们就以下问题在经过讨论后分别进行了讨论。

  • SDN 与 DDoS 防御
  • 混合云的安全防护
  • 网络安全与可视化
  • 新业务的安全困境
  • SDS 的形态与发展
  • 被动防御与主动防御

SDN 下的 DDoS 怎么结合?

DDoS 攻击和 SDN 是否存在可行的结合点,成为 SDN 模型下的一直有效应用,是一个值得讨论的话题。众所周知,以各种 FLOOS 泛洪为代表的大流量攻击,以及诸如 CC 这种资源耗尽型攻击,一直比较活跃且难以防御。当前业界存在的 DDoS 解决方案,既有在运营商侧进行的各种大流量泛洪清洗,也有一些部署在企业互联网 /IDC 出口的 DDoS 防护方案。这些方案的部署,对于 DDoS 取到了一定的作用,但是面对应用系统的小流量的资源耗尽型攻击,其防御的效果不太理想,究其原因,主要是因为用户的业务系统本身千差万别,涉及到种类繁多的协议交互或者是信令交互,而通用的 DDoS 方案本身很难对这些应用层协议的合理性做出准确的判断。

而对这部分最清楚的是业务系统的运营方或服务提供商。从这个角度看,充分调度 / 利用服务商本身的理解,基于通用的 SDN 平台开发各种有针对性的 DDoS 防护插件,看上去是 DDoS 和 SDN 结合的较好的契合点。传统的 DDoS 设备或解决方案提供商,将现有的防护思路进行移植,基于开源的 SDN 控制器进行 DDoS 通用防护程序的开发;同时,业务系统服务提供商(比如网游 / 直播 / 互联网应用系统)基于同样的控制器平台进行自身业务系统防护插件或防护代理开发,两者相结合可以实现较好的防护效果。

当然,事情看上去好像比较美好,实际操作起来也会面临一些困难。一方面传统的 DDoS 设备或解决方案提供商是否有很大的兴趣和投入进行 SDN 框架的移植,另一方面 SDN 控制器的标准的选择和版本的及时跟进也是一个现实的困难,而且在安全即服务的模型下,基于 SDN 模型的 DDoS 服务 API 接口目前也缺乏统一的定义,从而给第三方的防御插件开发带来困难。可喜的是我们看到很多的 SDN 厂商已经在基于 OpenDaylight 平台进行诸多安全应用程序的开发,后续在新的市场机会的刺激下,相信会有更多的有实力的厂商参与到这个 DDoS 的 SDN 设计方案中来。

混合云的安全防护

关于这个话题讨论结果认为,首先混合云的安全一定要有网络隔离的手段,包括防火墙等等,但最终将走到 VPC 这条道路上来。那么在 VPC 里该如何做呢?这显然不是一个 VPC 所能解决的,因此需要多个 VPC。这时的问题是多个 VPC 之间的管理和控制逻辑。

混合云安全最好的切入点是新业务,尤其是对于业务模块众多的大厂商来说,这是一个难得的机会。对于业务模块数以千计、万计的互联网公司来说,新业务特别适合 VPC 这种模式。大体量固然有其转型的困难,“一旦他转过身来也就过去了”。如果大厂商不去实践、去应用、去观察,便很难再有谁去做这件事。另外,大厂商更容易把混合云的安全能力产品化,这也是中小厂商所不具备的优势。

网络可视化与安全

可视化不但是云安全的需求,也是诸如大数据之类技术的需求之一(如数据可视化)。在云环境中东西向的流量很大,传统的模式去镜像流量显然开销太大,性能也无法达不到要求。解决这个问题的关键是高效,专家的结论是基于 KVM 用 vSwitch 的方法可以解决 4 层以下的可视化问题。

这里主要采用了探针技术。借助该技术可以实现两个目标,第一个目标是全流的分析,只有全流量分析才能做到真正的内网可视化,第二个目标是解决内网非常复杂情况诊断问题,特别是针对异常流量的采样和分析。

新业务的安全困境

在一个比较复杂的网络上部署和运行的业务所面临的不仅仅是一个技术问题,很多时候也是一个管理问题。

  • 首先,当然是在管理规范上下功夫,要在安全标准和接入流程上实行严格的准则,这是最重要的。
  • 其次,对于一些未知的威胁、攻击方式,只能靠已知的立体防护策略,即主机层、网络层、应用层的一些防御手段来预测和降低它的发生概率。
  • 第三,即便如此,总还是有漏过的安全威胁,接下来就要靠监控和预警机制了。把前面漏过的威胁及时地通过一些有效的监控手段和预警手段发现和拦截。
  • 第四个手段是大数据,通过综合的数据分析,把一些更小概率的发生事件挖掘出来,这也是目前业界比较新的防护手段。大数据安全其实挑战蛮大,所以像腾讯、阿里等收购了很多做安全分析研究的团队。但是小公司又不敢把自己的数据拿给别人分析,因为那是核心的商业机密,因此不管是传统的网络安全厂商,还是一些专业的安全厂商可能都没有太好的办法。

SDS 的形态与发展

在讨论的最后,大家认为 SDS 的发展态势有以下几个趋势:

  • 传统安全厂商的重心可能是 VFW、VIDS 之类的产品研发。
  • 狭义的 SDS 厂商会不断有新公司诞生。
  • 云安全方面,基础设施的安全会不断完善。
  • 基于 SDN/NFV 技术的安全将在 API 的基础上定制化各种特殊业务的插件,同时结合大数据技术,进而提供 SaaS 化的安全服务。

架构师俱乐部介绍

『架构师俱乐部』是国际知名技术社区 InfoQ 发起和主办的,以资深架构师为主的不定期技术交流活动,旨在通过及时的分享和深入的交流,在资深技术人员之间搭建一个平台,让彼此之间的信息无障碍流通,同时增加彼此识朋交友的机会。

2016-08-15 17:072178
用户头像

发布了 64 篇内容, 共 24.9 次阅读, 收获喜欢 11 次。

关注

评论

发布
暂无评论
发现更多内容

Dubbo 框架学习笔记十七

风翱

dubbo 12月日更

面试官:方法重写时需要注意哪些问题?

王磊

How old are you | 尚硅谷大数据之Canal视频教程

编程江湖

大数据 canal

揭秘字节跳动基于Hudi的实时数据湖平台

字节跳动数据平台

大数据 实时数据湖

60 K8S之EFK日志管理系统

穿过生命散发芬芳

k8s 28天写作 12月日更

HDFS源码解析:教你用HDFS客户端写数据

华为云开发者联盟

hdfs block appendChunk

千万级日志回放引擎设计稿

FunTester

性能测试 测试框架 FunTester 流量回放 GOREPLAY

固定资产管理平台系统解决方案

低代码小观

企业管理 资产管理 CRM 企业管理系统 CRM系统

基于磁盘量身定制,十亿规模高效向量检索方案

Zilliz

向量检索 anns 向量计算

助车企升级,旺链科技与南方电网、联想等名企同斩获「创新案例奖」

旺链科技

区块链 产业区块链 供应链金融

带你认识三种kafka消息发送模式

华为云开发者联盟

kafka 时间 异步 消息发送 producer

在线JSON转PHP Array工具

入门小站

工具

尚硅谷大数据之Canal视频教程发布!

@零度

大数据

实现一键部署与高效集群管理,SphereEx-Boot 正式上线

SphereEx

开源 开源社区 SphereEx ShadingSphere 一键安装

一次完整的渗透测试&仅供学习研究

H

黑客 网络安全 渗透测试·

2021 优秀开源项目公布,Apache APISIX 位列其中!

API7.ai 技术团队

api 网关 Apache APISIX 优秀开源项目

☕【权限设计系列】「认证授权专题」微服务架构的登陆认证问题

码界西柚

微服务架构 12月日更 权限认证机制 授权设计

架构训练营模块三作业

zhongwy

架构实战营 「架构实战营」

QCon-oCPX多目标多场景联合建模在OPPO的实践

安第斯智能云

算法

技术“开源”对于金融业软件发展的影响

Speedoooo

安全 ios开发 APP开发 Andriod开发 小程序容器

使用亚马逊云科技DevOps 工具构建 InnerSource 生态系统

亚马逊云科技 (Amazon Web Services)

开源 InnerSource

Spring框架基础知识(03)

海拥(haiyong.site)

28天写作 12月日更

【转】大数据开发之Spark面试八股文

@零度

大数据 spark

梦想起航

向往

盘点2021

兄弟要盘吗?

为自己带盐

爬虫 dotnet 28天写作 12月日更

Linux之atime,ctime,mtime的区别

入门小站

Linux

前端React 开发中必须知道的5个技巧

@零度

前端开发 React

填问卷抽大奖,中奖绝缘体的跨年福利快来领取!

InfoQ写作社区官方

热门活动

通过一个实际例子理解Kubernetes里pod的自动scale - 水平自动伸缩

汪子熙

Kubernetes k8s 28天写作 docker build 12月日更

域名基本信息查询小技巧

喀拉峻

网络安全 安全 信息安全

大型集团企业云管平台建设参考架构

华为云开发者联盟

架构 运维 IT治理 分布式部署 ManageOne

架构师俱乐部:SDN与云网络安全_语言 & 开发_魏星_InfoQ精选文章