运营商的商业转型引发了其网络架构的转型,安全也必须随之进行SDN/NFV转型,才能适应运营商网络的新架构,支撑其商业诉求的达成。
运营商云化转型的安全诉求
近年来,传统电信业务增长放缓,促使运营商建设全新的云化(NFV和SDN)基础设施,以支撑其业务驱动的转型,满足其降低TCO(Total Cost of Ownership)和TTM(Time To Market)、资源弹性化以及运维自动化的商业诉求。
运营商的新商业诉求,相应对安全也提出了新的要求:
业务敏捷,加速业务上线,缩减TTM:安全自动的业务发放是电信云化和IT云化场景的共性需求,是加速业务上线、缩减TTM背后的基础竞争力之一。
降低OPEX(Operating Expense),解放管理员,去手工:安全自动运维和简化管理是SDN/NFV和云安全实现的基石,也是客户的痛点,同时还是解放传统安全运维操作复杂和手工依赖的出路。
增值服务PAYG(Pay-As-You-Grow),满足业务弹性:创新业务收入是运营商向SDN/NFV演进的重要驱动力,提供丰富的租户增值安全业务、弹性扩缩和按需编排是关键支撑能力。而传统的安全解决方案越来越难以满足运营商云化场景下的安全诉求:
静态安全软硬件失效:静态的传统安全设备和软件部署在网络边界和主机等位置,在云化场景下,对于VM之间的东西向流量无法感知并保障安全。
安全管理复杂化:在大型云数据中心中云安全策略繁多,传统的手工申请、审核和配置需要耗费巨大的安全运维人力全天候处理策略的更新、审批和维护。
运营商网络的总体架构包括接入网(无线接入+固定接入)、核心网(NFV Cloud)、骨干传输网(Backbone)和云数据中心(IT Cloud),接入网和骨干传输网仍以传统架构为主,NFV和SDN安全特性主要在核心网和云数据中心应用。
在运营商新的网络架构中,不同位置有着不同的安全需求:(1)vEPC的安全需求是信令安全,安全设施需要提供3GPP IPSec加密等功能;(2)vMSE的安全需求包括高性能NAT和URL过滤,以及Anti-DDoS等;(3)vCPE的安全需求包括提供给企业边界防护的端到端VPN加密、端到端QoS、IPS和防病毒等;(4)IT Cloud作为运营商提供增值电信业务(例如视频等)的重要设施,其核心安全需求是租户级的边界安全。
在上述4个场景中,虚拟化和云化的基础设施都要求安全业务NFV化;在场景(3)和(4)中,由于涉及到企业安全边界的防护(vCPE)和租户的防护(IT Cloud),需 要对网络设备(包括硬件盒子和虚拟化设备vSwitch)进行引流调度,所以安全还须融入到SDN网络,适配整网架构。
综上所述,运营商的商业转型引发了其网络架构转型,安全也必须随之进行SDN/NFV转型,才能适应运营商网络的新架构,支撑其商业诉求的达成。
安全NFV化
安全“NFV化”是一个统称,具体还分为安全设施形态软件化、安全业务微服务化,以及在云架构中的大容量集群和弹性伸缩。
安全设施形态软件化
安全NFV化,首先是安全设施的形态可硬可软、可大可小。硬件NGFW(Next Generation Firewall)采用传统方式部署在云数据中心网络的各个边界,而软件NGFW则部署在每个VM(Virtual Machine)中,VM启动的时候需要同时启动软件防火墙,或者启动安全业务的Agent。硬件和软件NGFW都需要能实现一虚多和多虚一,其中一虚多是指根据NFV业务的需要,将一套NGFW软硬件虚拟成多套,被不同的主机或者业务调用;而多虚一则是指多套NGFW软硬件池化,根据业务的需要灵活调用其中的一部分安全资源。在一虚多和多虚一的场景中,软硬件NGFW的灵活性和易用性都非常重要,能使一虚多和多虚一的管理更加简洁方便。
安全业务微服务化
安全NFV化,其次是业务微服务化,调度方式可分可合。vNGFW(Virtual Next Generation Firewall)包含10多种安全业务,包括应用识别、NAT、VPN、IPS和URL过滤等等。具体实现时,这些安全业务可以All in One集中部署在一个vNGFW中,优点是部署简单;也可以分布式部署,每个虚拟安全网元(可以是一台VM)体现为一个VNF,在使用时通过服务链(Service Chain)调用相应的安全业务来实现,优点是灵活性高。
大容量集群,弹性伸缩
安全NFV化,第三是要能够实现大容量集群,更好地支持大流量运营商管道业务。具体的实现方式有两种:其一是分布式架构,一个vNGFW的不同模块(例如URL过滤、VPN和IPS)部署在不同的VM上,多个VM共同组成一个vNGFW,实现大容量集群;其二是每个vNGFW部署在一个VM上,但通过绑定多个VM实现集群。vNGFW实现大容量集群后,能够根据业务的需要组合成不同规模的安全网关,从而保证云数据中心内部各类规模流量和业务的安全防护。
安全融入SDN网络
与安全“NFV化”类似,安全融入SDN网络也是一个统称,在具体实现时,安全设施需要开放北向接口被SDN控制器调度,同时还要支持微分段,好还能支持不同的控制器生态,从而能够在多厂商混合网络中发挥作用。
开放北向,被控制器调度
安全融入SDN网络,首先需要安全网元能够被控制器平台自动化部署,基于业务链发放业务,按需调度威胁防护,实现分钟级业务发放(Plug &Play)、自定义服务(自动开通、扩展和回收)以及灵活引流。
在SDN网络中,安全网元的具体业务流程如下:(1)外部用户或VM发起一条流的首包,经过vSwitch后vPath基于策略进行解析;(2)vSwitch识别出是一条新的流,需要被指定vFW(Virtual Firewall)检测,将流送到对应的vFW;(3)vFW实施ACL策略,并缓存ACL策略到vSwitch;(4)如果策略允许,报文被送到目的VM,否则被丢弃。
由此可见,安全网元在控制器的调度之下,需要与vSwitch等云的网络设施紧密协同,真正在虚拟化网络中承担安全防护的职责。
微分段
传统数据中心用的是边界安全技术,包括NGFW和IPS等设施都是通过对流入流量进行浸入式分析来辅助确认威胁,并应用安全策略(阻断和通过等),允许授权用户或业务流访问数据中心相应资源。这些安全设施通常只能对南北向流量(进出数据中心的流量)进行分析。
但是在云数据中心中东西向流量成为主流,由于云数据中心的网元从传统的单一硬件主机形态发展成了VM形态,接入云数据中心的用户也从传统的固定网络用户发展到了动态租户和移动与IoT用户,因此再使用传统的基于IP来划分安全区域的方式,已经不能满足云数据中心的安全防范需要。
微分段技术改变了传统的通过IP来划分区域的方式,可以通过更多的参数(例如OS、设备名、安全Tag、VLAN和MAC地址等)来划分安全组,特别适用于云数据中心的动态(动态的虚拟网元、动态的租户和动态的远程接入用户)安全分组。因此,云数据中心内的安全网元需要能够支持微分段,对于任何流量都能基于流量的参数和标签识别其安全组,并上报给控制器,同时接受控制器的安全策略下发并执行。
控制器生态圈
不同的运营商在建设云数据中心时会根据自身的需求和存量选择不同厂商的控制器和网络设备,这是运营商降低CAPEX(Capital Expenditure)和OPEX的必然诉求。因此,作为云数据中心SDN网络的组件,安全设施能够支持被多种云平台和控制器管理编排,以及能够支持多种Hypervisor成为必备能力,直接决定了安全设施在云数据中心网络中能否广泛使用。
在云数据中心里,通常有3种安全管理方式——云平台(含第三方云平台)、控制器和传统网管。安全网元支持被云平台管理,若是开源云平台(例如OpenStack),则安全网元需要把自身的管理Plugin发布到开源社区并认证;若是第三方云平台,则安全网元需要主动和第三方厂商进行对接和适配。安全网元支持被SDN控制器管理,需要开放北向接口(通常是Restful),主动对接相应厂商的控制器。独立网管在未来很长一段时间内还需要采用,因此安全网元北向SNMP和CLI接口仍需继续开放。
在云数据中心内,VM之间的东西向流量没有经过实体防火墙,虚拟化流量的引流和调度掌握在Hypervisor以及vSwitch手里,因此安全厂商的虚拟防火墙往往不能独立发挥作用,安全网元需要同时适配主流Hypervisor及其vSwitch,否则无法进行有效的安全管控。
支撑运营商云化转型成功
在运营商的云化转型过程中,安全适配新的云架构是面向未来的必由之路。当前,主流的网络安全厂商,例如华为等均已发布了成熟的NFV化安全设施,并且充分支持SDN网络。结合多年积累的适用于大流量管道的高性能安全能力,华为将会持续助力运营商简化运维、缩减TTM、弹性调度并高效利用资源,最终支撑全球的运营商客户实现商业成功。