中国银联研究院 周雍恺:面向金融的软件定义网络安全探索

  1. 云栖社区>
  2. 博客>
  3. 正文

中国银联研究院 周雍恺:面向金融的软件定义网络安全探索

行者武松 2017-09-02 14:15:00 浏览1457
展开阅读全文

2016年6月2日,“2016全球SDNFV技术大会”进入了第二天。作为连续举办三届的SDN/NFV技术与产业盛会,本届大会着眼于SDN /NFV的实践应用与部署,从SDN/NFV在运营商网络、企业网、云数据中心、测试解决方案等多个场景的应用出发,深入解析产业部署现状及面临的挑战与发展趋势。

面向金融的软件定义网络安全探索

中国银联研究院博士后 周雍恺

网络安全一直就是不容忽视的一点,在SDN在网络安全方面也有应用落地。不同于传统网络安全,软件定义形式下的网络安全可以实现多租户虚拟化的隔离,并且虚拟化安全网元可以按需进行灵活创建与调度,此外基于安全组的高层次网络实体抽象、更细粒度的网络规则定义,网络策略也可根据预置模版自动进行规则推导,保证了策略的一致性。

中国银联研究院博士后周雍恺在大会上,就金融行业角度,发表了题为“面向金融的软件定义网络安全探索”的主题演讲,周雍恺介绍到,目前中国银联研究院在面向金融的软件定义网络安全领域的研究思路有两条,一是利用SDN技术增强金融云网络的安全与可靠性;二是SDN架构的安全风险评估及防控方法研究。另外,他想与会嘉宾介绍了银联云平台与云网络建设的情况,以及近期的研究实践具体内容。下面我们就一起来听听他是怎么说的吧。

以下为演讲实录:(以下内容根据现场速记整理,未经发言嘉宾确认,仅供参考,谢绝转载。)

周雍恺:谢谢大家,感谢主办方提供这样子交流学习的机会,我来自中国银联电子商务,今天主要作为一个面向金融云的网络安全的分享,早上平安的专家已经对金融云做了一个非常精采的报告。然后我今天的报告着重在网络安全方面,首先我们这个应该是一个云数据中心的专场,所以我会首先介绍一下银联云平台与云网络建设情况,其次看我们SDN安全的研究思路,之后对几个研究点做一下报告。

首先看一下,银联的一个云,银联其实很早就开始做云,在2011年的时候当时基于(英)一个比较古老的版本,E版本做了定制化的应用和开发,首先进行了一个试点化的应用,之后在2014年的时候进入了大规模的应用,目前除了最核心的应用的话,其他外围的应用都已经上云,而且这个已经交给了生产部门。目前我们研究院现在,目前维护了一朵小云,这朵小云主要是做一些金融创新方面的服务。包括我们这里看到的金融大数据,以及区块链,目前非常火的一些业务,提供这样子一个快速部署的这样的支撑。同时也会做一些云平台,下一代云平台架构的验证。这是一个平台的基本规模。

然后讲一下我们云网络的增强需求,其实我们当时做的非常早,做的早不总是好事情,因为当时E版本的时候,连流程组建都没有,当时网络方面采用稍微简单的方法,也就是直接把交换机的一个窗口打开,直接形成了一个平整的网络,因为应用之间还需要漂移。现在由于我们的网络业务现在越来越复杂,我们越来越觉得当前这个平台很难适应当前的要求,我们看一下金融行业业务转移趋势,第一个首先面向互联网化的业务会越来越多,像我们银联这里看到的一个银联钱包。这上面经常会有一些秒杀的活动,6块2抢电话充值卡,另外还有一个云闪付,就是把我们的银行卡模拟到手机之中,今后我们在消费的时候直接刷手机就可以了,其实这是一个很大的体系,包括我们现在的阿里配,以及安卓上面的SCE都是在这个体系下面的。

第二大特点今天早上平安的专家已经讲到了面向外部机构提供一个金融服务。其次呢,像平安这种比较大的机构,他可能下面还会有平安证券,平安银行,平安保险混业经营的需求不可能为他们每个都制定一个数据中心。

最后一点组网技术要求自主可控,这个是国家目前对电力大的行业的要求。基于这一点,我们形成了以下5点需求。首先是网络资源的集约化利用,要按需组网,第二支持未来行业云的应用场景,第三要求组网能够节高效,第四SDN能够支持金融异地灾备和高可用的场景,第五,统一编排多种方案。为此我们进行了一个云网络多SDN的方案的测试,我们部署了很多deepstack。回到我们SDN安全这个主题。这个是SDN的概述,我想不再赘述了,唯一需要强调的一点,很多人在问,SDN它跟传统的网络自动化到底有点什么区别?我们认为,SDN可能更多的还是一个全网的视角,一个操作,他是面向全网的操作。另外SDN应该读取全网络的状态,如果出现异常的话,这些网络之间,他是能够把异常情况进行自动的回馈和反馈的。因此我们认为SDN它本质上是一个网络架构上的创新,能够使得网络的能力得到最大的程度的挖掘与灵活应用。

SDN在网络安全中有哪些应用呢?以前做网络隔离的话,我们可能直接用物理隔离比较简单粗暴的方法,现在的话,虚拟化隔离。从前,我们会使用很多的专用的硬件的安全设备,现在的话,是虚拟化的安全网源,这个其实是NFV的话题。当然某些安全网源如果是一些比较简单的功能的,防火墙或者负载均衡也是可以通过SDN的方法实现的。

网攻控制,在SDN化的网络安全中,我们其实可以定义一个更高层次的抽象,基于一些安全组,可以做更细的网络规则的定义,最后是网络的变更,从前做一次网络变更非常费时,而且需要论证,在网络定义形式下的网络安全,网络策略根据最早都已经做好的,他SDN可以自己根据规则来进行探讨,这样子就可以保证策略前后的一致性。

因此我们觉得SDN技术,他能够提升网络安全的运维能力,实现精细化的网络管控,保证网络变更前后场景的策略一致性。其次讲一下我们软件定义网络安全的研究思路。其实最主要的就是两大类研究问题,第一类SDN技术,是否用于增强线网的安全性,第二个SDN会否引入新的安全风险,因此我们这个课题其实分为两部分,第一个利用SDN的技术,增强云网络的安全与可靠性,第二点就是SDN架构安全风险评估及防控方法研究,接下来我会讲几个针对上述两个问题的几个研究点,第一个针对数据中心内部的组网优化,地个针对数据中心虚拟两地三中心。第三个是自身的增强。

首先看一下数据中心内部组网优化,因此这里的安全其实是基于安全区域的一种组网方式,每个区域长的模样都差不多,之后是硬件的防火墙,再上联到整个数据中心的交换核心,然后他们之间的链路也都是全是冗余互备的。最开始这样的组网方法他的优点就是结构化,模块化非常好,要打造一个区域的话,就按照相同的方式来打造,但是现在在云化场景上有很多的局限性,首先就是,他每个区域打造其实都是很贵的,这些会聚交换机以及硬件的防火墙,他的成本都非常高,但是我们实际应用下来发现每个区域资源利用效率非常低的。所以很容易形成一个资源陷井。
第二个问题,因为现在的业务上线的非常频繁,这种基于区域级的隔离力度目前显得比较粗,区域内部其实很少有安全方面的控制,因此我们针对这个数据中心的内部组网提出了大区模式的优化,什么是大区模式呢?我们认为,从理论上来说,今后数据中心之间的组网,他应该可以只分为两个区一个面向外部连接的DMC大区,第二面向后台内部应用的APP大区, 这两个大区之间通过硬件防火墙来进行一个隔离。这是为了满足监管要求。这样子一个模式,对我们提出了两个问题,也就是说,第一个首先我们这些区域之间的虚拟隔离如何做到,这些虚拟如何做到软件化的隔离。第二个就是APP大区和DMC大区之间虽然是隔离的,但是他的互通性怎么做到。

首先看虚拟隔离可以支持多租户的组网,而且地址还是可以在全网中进行漂移。这样子的话,如何做到安全的隔离呢?其实他是一个很自然的过程,因为我们为每个应用分配一个VXlan网络,力度可以精细到应用化的级别。第二问题如何做到原来的链路高可用,用SDN的方式,用SDN控制器来定时的检测链路的状态,一旦链路状态出现异常,通过软件化的方式进行定义的,链路异常的判定规则由运维人员定义的,这样可以防止假死的现象,我们生产上专门碰到时断时续的现象,基于硬件的方式,只有当网络完全断了之后他才会进行切换,我们认为这种方式可以有效的避免这类的问题,从这两点看起来,他的整个用虚拟组网的方式,他的安全性,相对硬隔离的方式,反而不降反增了,一开始是很意外的结果,其实细想下来也是很简单,我们通过openflow的方式把软件做网化,这样子就会变得非常简单,openflow网络最大的难点在于性能的调优还有高可用方面,我们今天讨论安全的问题,其他的问题暂时先不考虑了。

第二个问题,就是之前说到的两个硬件大区,硬隔离的大区之间如何做到网络互通,这个其实带出来另外一个问题,这两个大区我们肯定采用不同的SDN方案,如何把这两套SDN的隔离的区域来进行互通,并且进行一个统一的管理。我们采用的方法就是把这两个大区的交换举证部署到同一个openstak当中,这样子就剩下来一个问题,这两个大区之间如何进行联通。我们想出来两个方案,方案一比较直观,直接通过一个浮动IP的方式,APP大区我们直接影射一个地址,暴露一个外网地址出来。但是这个方法讲给运维人员听,他们表示很难接受,因为这样子的话就多出来一套地址空间,于是就有了第二套方法,就是一个overlay的方法,他们所在的物理机上面打通一条VXlan隧道,这样子的好处就是对用户来说透明了。但是也出现了另外一个问题,硬隔离的流量发生了变化。这样子防火墙就形同虚设,可能需要更换一个硬件的防火墙,更换成能够支持VXlan解析的防火墙,总而言之这两种方案各有千秋吧。

第二个研究点是数据中心间的一个互联往来。然后对于金融数据中心而言,它数据中心之间的网络,总典型的就是两地三中心的物理架构,就是同城要双核,异地要灾备这样的一个高可用的模式,外部机构通过专线进行接入的。未来的话,我们要打造面向行业云的一个两地三中心的一个服务。然后还是依托于我们现有的物理设施,只不过对于未来的租户而言,他们也能看到非常完整的两地三中心的方案。

这也就是我们这里虚拟化两地三中心的一个设想。对于租户而言,他确实可以把应用布在两个地方,比如布在上海和布在北京,这两个是可以双核的,出了问题可以切换的,我们认为今后的行业云应该是这样子的一种模式。当然其中所涉及的安全问题,也有一些,但是不多,主要是如何进行异地的高可用切换,如何防止内部的dos攻击等等。这是一个我们设想的组网的架构,数据平面还是通过原有的专线来进行互联,控制平面上的话,是通过APPGP,来联合将租户之间的控制信息进行同步,之后还有广域网区,这样子可以提高可靠性和资源的利用效率。

最后一个讲一下SDN自身的一个安全性的问题。首先我们看一下SDN架构,它其实,相对于传统网络最大的变化,就是引入了一个中心化的SDN控制器,由此形成了一个北向和南向的两条链路,因此对SDN自身的安全,主要是对几个新引入的部分进行增强,其中控制器应该是最核心的部分,它当中涉及的问题比较多,包括控制器的高可用设计,然后控制器的代码是否安全,还有控制器自访问控制,对于南向链路而言,SDN交换机和控制器之间我们认为应该有一个双向的认证,同时根据他们的要求看是否需要加密。最后网源的安全性,这其实是NFV方面的事情,今天由于时间限制,有很多问题,还有安全监控方面的问题,可能不一定有时间分享了。还是转到对于SDN它自身增强的一个话题。我们采取的方法主要是两步,首先是金融行业,因为目前有自主可控的要求,所以将来会大规模采用开源软件,像SDN当中,他的涉及的开源软件非常多,我们对开源软件初步形成了比较可用的他的评估的一套方法论,设计了11类的评估条件,其中我们可以看到,安全性和可靠性也是非常重要的一个指标。

其次对于它的一个安全增强,我们还是采用金融行业比较传统的一种信息安全工程管理的方法,主要是一开始先制定一个风控模型,以及列出现有的可能的一些防控手段,再制定出安全的指标,随后通过测试评估形成防护方案,他们之间迭代,来形成,经过迭代来看是否能够达到我们要求。主要通过这样的架构来进行。

做一下简单的小结,主要讲了三个研究点,其一是数据中心内部的组网,我们主要的结论就是说可以把原来基于区域级的安全细化到一个应用级的安全,力度可以更加细化。第二个大区之间组网的户点技术带出来另外一个问题,就是解决了我们比较头疼的厂商绑定的问题,他可以统一编排多种SDN的方案。

第二个讲一下数据中心之间的组网,我们认为将来的组网模式可能是虚拟化的两地三中心,目前厂商推介的一些SDN的方案,主要还是集中在单数据中心的虚拟化,今后在这方面,我觉得要继续研究增强。

第三个就是SDN自身安全的一个增强,我们主要是通过开源软件,能力传输度的评估,还有安全工程的方法,来对新引入的安全风险点进行防护和加固。总而言之,最后,我觉得网络安全性和可用性,他们之间的关系,通常是比较复杂的,以前可能认为他们之间是矛盾的。因为要么不用是最安全的,要么就是把权限全部放开,就可以实现虚拟机之间的漂移了,但是SDN出来之后,SDN最大的效果,就是增强了网络的可管理性。因此我们认为,它也能够强化这些原有的安全运维,可以把安全运维做到新细致,因此我们认为它是一个相辅相成的关系。

当然啦所有的这一切,都需要建立在SDN架构它自身的安全性之上,因此SDN自身的安全性也是整体安全的重要的基础。最后,做一个简单的小广告,今天正好是6月2号,大家可以发现我们手上的银联卡,一般都是以62开头的,所以银联一般在6月2号左右搞大型的活动,今年主要推闪付卡和手机云闪付,可以优惠达到62折,晚上购物或者吃饭的时候记得刷银联卡,谢谢大家!


原文发布时间为:2016年06月02日

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。

网友评论

登录后评论
0/500
评论
行者武松
+ 关注