技术干货 | 企业信息安全建设实践之路（六）

2.3  网络安全SDSec落地之路

上一篇文章，我们聊过了 VMware NSX，这里我们就来聊聊信息安全建设方面的事情吧。

2.3.1. 企业安全建设需要参考国家标准

建议大家多了解“网络安全等级保护2.0标准”的相关要求。

1）标准的框架结构：《GB/T 22239-2019》、《GB/T 25070-2019》和《GB/T28448-2019》三个标准采取了统一的框架结构。

图1 安全通用要求框架结构

安全通用要求细分为技术要求和管理要求。其中技术要求包括“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”；管理要求包括“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。

具体内容我就不展开说了，建议同行们认真仔细的学习、实践。

2.3.2. 传统数据中心的安全防护困境

1）安全区域边界模糊；（租户之间、租户内）

2）传统安全防护设备无法观测到内部网络或应用的数据交互；

3）SDN自动化使得物理安全防护设备难以保障防护效果；

4）安全需要和网络结构解耦？！

2.3.4. GARTNER 关于 SDN 的安全趋势解读

Software-defined Network（软件定义网络）：为了加快企业IT服务，企业正在逐步将数据中心转变为一个可计算、可存储的联网资源库，这些资源可以灵活调配，这就叫做软件定义数据中心（SDDC）。SDDC的主要目标就是实现敏捷性，在不同网段、数据中心和脱离物理基础架构的云中，让IT服务运行、扩展地更快、更透明。

    第一阶段，保护软件定义数据中心（Software-defined DataCenter）

对企业来说，转变为SDDC的第一步就是开发软件定义网络（SDN）。SDN可以利用基于软件的新架构要素（例如虚拟网络控制器），以及新的网络协议（如VXLAN）；还能保护可编程基础架构的APIs（接口）免受攻击或被滥用。但由于SDN无法保证L3-L7的信息安全服务，如恶意软件检测、应用控制、应用防火墙。因此，企业必须保证下一代信息安全服务能够精确地集成、交互和理解SDN。

第二阶段，集成软件定义基础设施（Software-defined Infrastructure）

信息安全控制措施必须意识到周边基础设施的变化。这些基础设施的核心是：信息安全策略能定义链接属性——用户和群组应该可以链接到（或不能链接到）某种应用软件。否则，软件定义基础设施就不够完整。由于每个SDN组都有自己的逻辑网络，在L3用路由或防火墙进行分段的做法已经落伍，因为通道终端可以实现跨子网映射、制定数据包格式。这会影响安全控制措施的部署、威胁基础分段和传统安全厂商的控制服务。

  第三阶段，开发软件定义安全（Software-defined Security）

Gartner认为安全和数据中心基础架构一样，需要由软件定义。软件定义安全（SDSec）的首要目标是无论应用程序在本地还是公有云上运行，都能不断防御新型威胁、保证软件控制措施自动到位、快速支持不断变化的业务和合规要求。但同时，我们应该看到硬件在软件定义安全（SDSec）中仍然发挥着作用，如安全数据阶段（检测数据包和流量）仍然得益于硬件的处理能力。

2.3.5. SDN数据中心的安全防护破局思路——服务链

1）SDN 服务链的技术特点

服务链技术是指数据报文在网络中传递时，为了给用户提供安全、快速、稳定的网络服务，网络业务流量需要按照业务逻辑要求的既定次序穿过各种安全服务节点，从而根据租户的业务需求来定义安全访问路径。

SDN数据中心可以采用SDN Overlay 虚拟网络和NFV（网络功能虚拟化）技术，实现控制平台面与转发平面的分离、虚拟网络和物理网络分离，虚拟网络承载与物理网络之上，通过对虚拟化和逻辑抽象，基于SDN Overlay 虚拟网络的集中控制部件VCFC（虚拟应用超融合架构控制器，即SDN控制器），定义并控制网络安全服务链，将安全服务融入网络架构，调配引导转发流量自动穿过安全服务节点完成安全服务处理，实现拓扑无关、便捷高效、灵活扩展的SDN数据中心网络安全解决方案。

多种类型的服务节点统一资源池化，可实现安全服务资源无缝扩展和多业务共享。服务链的各服务节点可位于相同或不同的安全资源池，VCFC可动态地添加或删除服务链上的服务节点，解耦网络设备间的关联，突破物理拓扑限制，为每个租户提供个性化的安全防护选择，通过编排面向租户应用的服务链，自动下发引流策略，实现租户业务的灵活编排和修改，且不影响物理拓扑和其它租户。数据报文只需在初次接入的流分类节点分类一次，业务转发和安全监测过程便捷高效。

2）数据报文中服务链特征的标识和封装

基于SDN Overlay 虚拟网络的服务链，需要用相应字段来标识数据报文中服务链的特征，每条服务链都应该具有自己的标识，数据报文需要携带数据报文应该走哪一条服务链、服务链有几跳等特征。有两种方式识别和封装数据报文中的这些特征：1、扩展VXLAN报文头中保留字段：SDN服务链缺省使用这种方式，前提是网络设备支持VXLAN。SDN服务链对VXLAN报文进行扩展时是从VXLAN报文头保留字段中，取出3字节作为 Service Path ID，记录服务链编号，用于唯一地确定一个服务链；取出1字节作为Order Counter，用于记录一个服务链是第几次进入一个主机的服务节点。2、NSH扩展封装：NSH（网络服务头）是服务链专用的封装格式，NSH可以承载于VXLAN、GRE（通用路由协议封装）等多种Overlay封装中。NSH对VXLAN报文进行扩展，能携带多个业务的上下文信息，完成更复杂的业务处理；支持携带Protocol Type 字段，能灵活承载二层用户报文和三层用户报文。

 3）SDN服务链中角色及其对数据报文的处理

基于网络的核心控制部件VCFC部署SDN服务链时，VCFC会根据租户需求，定义、创建服务链，并部署服务链上每个节点的业务逻辑。VCFC将需要进入服务链处理的数据报文特征下发到接入VTEP（VXLAN隧道端点），VTEP会根据相应的报文特征将数据报文引入服务链。

A 流分类节点：是原始数据报文的接入节点，原始报文通过流分类节点接入VXLAN网络，按照定义的流分类规则匹配数据报文，并进行流分类以确定报文是否需要进入服务链。若需要进入服务链，则为报文进行VXLAN封装和服务链Overlay封装，并转发到服务链首节点进行处理。

流分类节点类型有：1）支持服务链的vSwitch：vSwitch（虚拟交换机）收到VM（虚拟机）报文后，直接做流分类，在vSwitch上进行服务链Overlay封装；2）物理交换机接入普通vSwich：VM通过普通vSwitch接入， vSwitch仅作为二层交换使用，报文上送物理交换机后由物理交换机进行流分类及服务链Overlay封装；3）物理交换机接入物理设备：物理交换机直接接入物理设备，对物理设备发送的报文做流分类，进行服务链Overlay封装；4）物理交换机接入普通VXLAN报文：普通VXLAN报文上送到物理交换机，由物理交换机进行流分类，进行服务链Overlay封装。

B 服务节点：通过VCFC对服务链的定义和引流串联，可完成物理位置分散的服务节点作为安全资源的定义和分配使用。服务节点可以是 FW（防火墙）、LB（负载均衡）、IPS（入侵防御）、WAF（Web应用防火墙）等资源。

服务节点类型有：1）NFV服务节点：支持VXLAN和服务链，可直接进行VXLAN封装/解封装处理及业务处理；2）传统物理服务节点：第三方传统防火墙、负载均衡等无法支持服务链的安全服务节点，通过服务链代理节点外挂；3）服务链首节点：服务链中对数据报文进行处理的首个服务节点，首节点对报文进行服务处理后，将报文继续做服务链封装并转发给服务链的下一个服务节点；4）服务链尾节点：服务链中对数据报文进行处理的最后一个服务节点，尾节点对报文进行服务处理后，解除其服务链封装，并将报文做普通VXLAN封装后转发给目的VTEP。如果尾节点不能根据用户报文进行寻址，则需要将用户报文送到网关（指定的VTEP ），由网关查询目的VTEP后进行转发。

C 代理节点：对于不支持服务链封装的服务节点，需通过代理节点解除服务链封装，再转交给该服务节点处理。

D VCFC：即SDN控制器，负责管理服务链域内的设备并创建服务链，通过控制、抽象和编排虚拟网络，定义服务链特征，并将VTEP和服务节点的配置定义和转发策略下发到相关节点。

4）SDN服务链组网模式

A VSR做VXLAN网关的服务链：VSR（虚拟路由器）做VXALN 网关（VXLAN IP GW），提供 Overlay 网关功能，vSwitch 软件做L2 VTEP（二层VXLAN隧道端点），将VM接入到VXLAN网络中，vSwitch软件可运行在ESXI、KVM、CAS等虚拟化平台上。安全服务节点包括VSR、vFW（虚拟防火墙）、vLB（虚拟负载均衡）、vIPS（虚拟入侵防御）、vWAF（虚拟Web应用防火墙）等设备，通过VCFC的集中控制和编排，实现东西向和南北向服务链功能；

B 物理交换机做VXLAN网关的服务链：物理交换机做VXALN 网关（VXLAN IP GW），提供 Overlay 网关功能，vSwitch 软件、VXLAN二层网关做L2 VTEP，将VM或物理服务器接入到VXLAN网络中，vSwitch 软件可运行在ESXI、KVM、CAS等虚拟化平台上。安全服务节点包括VSR、vFW、vLB、vIPS、vWAF、物理防火墙/负载均衡/安全设备等；

C 第三方安全设备服务链代理：鉴于传统的安全设备不支持VXLAN和服务链，通过VXLAN二层网关做服务链服务代理节点，承载SDN服务链的报文特征识别和解析，可将传统的或第三方安全设备引入SDN服务链，从而共享SDN服务链技术，实现网络中东西向流量的安全防护。传统安全设备与VXLAN二层网关进行二层连接并通过VXLAN二层网关接入SDN VXLAN网络，VCFC只需识别业务所在VXLAN二层网关的接口，并负责导流到该接口。

5）SDN服务链部署模式

SDN数据中心通常存在南北向和东西向两类流量，南北流量是指外部网络与数据中心网络间流量，东西流量属于租户内部流量，又分为数据中心内部不同子网间流量和数据中心同一子网内终端间流量，通过部署SDN服务链可实现两类流量的安全防护。

A 南北流量SDN服务链

部署南北流量的SDN服务链可采用两种模式。

模式1部署简便，在控制器上仅管理一类设备，在设备上增加或删除配置即可实现差异化的安全服务。采用一体化的NGFW（下一代防火墙）设备作为VXALN IP GW（VXALN 网关）终结租户的VXLAN流量，并转换为VLAN流量转发到外网，实现安全设备与物理拓扑解耦和多业务安全防护。NGFW同时支持NAT、安全域、IPS、LB、WF等多种功能，可创建不同的vFW对应不同的租户，通过VCFC下发的引流策略，多台VXLAN网关可实现负载均衡。

模式2 业务处理节点清晰，不同节点仅实现单一功能，可做到更高的性能。通过采用不同的安全设备实现不同的安全服务资源池，并灵活第部署防护租户业务的安全服务链。采用单独的设备实现FW、LB、IPS和WAF功能，VCFC可以控制业务流量只经过FW和LB或只经过FW和IPS，在最外层采用防火墙设备作为VXLAN网关实现VXLAN和VLAN间互通。（软件定义安全的思想）

2.3.6. 我推荐的方案