面向公安大数据中心的软件定义安全系统设计与实现

摘  要：针对公安大数据中心目前所面临的现实安全难题，结合云计算与SDN（软件定义网络）的技术优势，从“软件定义安全”的思路出发，部署面向公安大数据中心的软件定义安全系统，将传统的网络安全设备转化为虚拟安全资源，通过安全资源调度实现安全功能的灵活配置、动态扩容和按需部署。

关键词：公安大数据中心   云计算   软件定义网络   软件定义安全

引言

网络安全防护是公安大数据中心建设的基础保障和核心服务之一。公安大数据中心不仅承载的业务数量和类型快速膨胀，而且逐步实现了数据中心的虚拟化和云化，因此传统的安全防护方法和设备以及安全管理系统已无法适应公安大数据中心发展的需要。

当前，软件定义网络（SDN）和网络功能虚拟化（NFV）为公安大数据中心的安全防护提供了新的技术方向。SDN是实现网络虚拟化最重要的一种形式，其核心思想是网络设备的控制与转发分离，采用控制器实现网络集中控制，传统集成控制与转发功能的交换机、路由器等设备不再使用，网络设备的功能都简化为数据转发。NFV的本质是实现网络功能虚拟化和软件化，一般意义上来说，采用NFV技术的结果是实现了硬件通用化。SDN和NFV的共同点在于，两种技术都是将网络设备从封闭走向开放，从独享的硬件到共享的软件。

面向公安大数据中心的软件定义安全系统将SDN和NFV技术相结合，为公安大数据中心业务提供动态、灵活的安全防护和安全策略可定制化的安全管理，实现与现有业务管理的无缝集成，并对租户开放软件可定义的安全功能接口，实现数据中心安全功能的服务化。将SDN和NFV融合，为云数据中心的安全防护形成新的创新和价值，解决了云环境下安全防护的难题，增强部署性能并简化互操作性，减轻运营和维护流程负担的要求，为数据中心提供软件可定义的安全服务业务，促进公安大数据中心网络和应用的革新。

一、系统设计与实现

（一）总体架构

如图1所示，软件定义安全系统包括安全控制器、安全功能虚拟平台、IDC基础设施和安全应用。安全控制器实现对虚拟安全资源的弹性调度和安全管理，是系统的控制核心。安全功能虚拟平台对硬件设备进行抽象，支持多种安全功能虚拟化。软件定义安全系统基于公安大数据中心基础设施环境进行部署，安全应用层面向公安不同的业务场景，提供安全服务编排API接口，实现多种安全防护的软件定义需求。

（二）安全控制器

安全控制器在系统功能上包含如下几个核心功能模块：安全资源管理模块、虚拟设备适配器模块、动态流量牵引模块、安全应用解析模块、安全应用接口API和控制器自身保障模块。其功能结构如图2所示。

1. 安全资源管理模块

安全资源管理模块主要完成对安全功能虚拟平台中各种安全资源的初始化和启用，其中包括安全功能的实例化、安全功能配置、安全实例部署。安全功能的实例化主要按照性能要求为各个安全功能分配CPU个数、内存大小、存储空间以及带宽等资源，以使得安全功能具备相应的基础计算能力。安全功能配置是对不同种类安全防护设备的参数设置，比如防火墙ACL规则、Web攻击特征库等，以满足不同安全等级和安全策略需求。安全实例部署是将实例化和完成参数配置的安全功能启用，配置相关的网络路径等外围环境。

2. 虚拟设备适配器模块

对于非标准的安全虚拟设备，安全控制器在安全资源管理层设置了虚拟设备适配器进行兼容适配，通过接口转换和再封装，保证了安全控制器南向接口对上层解析层和应用层的可扩展性。

3. 动态流量牵引模块

公安大数据中心临时性大容量数据传输和突发带宽需求频繁，因此对数据中心基础架构的灵活性和响应速度提出更高的要求。网络虚拟化后，公安大数据中心网络路径的物理边界消失，同时，同一租户的虚拟网络和虚拟主机在不同时间出现在不同物理位置的情况也成为常态应用。因此，静态管理网络流量在云数据中心场景中已经不可行。采用动态流量牵引方式，将安全控制器与公安大数据中心网络控制器进行对接，通过传递网络转发流表，对虚拟网络和虚拟主机进行动态识别，实现目标流量的动态牵引。

4. 安全应用解析模块

安全应用解析模块主要功能是对上层安全应用脚本的解析。安全应用脚本是抽象的安全需求，比如DDoS防护、Web攻击防护、租户网络隔离等。安全应用解析模块将根据这些安全需求以及业务信息，调度不同类型和不同数量的安全虚拟资源，并生成安全资源管理模块、动态流量牵引模块能够理解的接口指令，将组合的安全策略下发到各执行设备。

5. 安全应用北向接口API

公安业务模式的多样性，也需要公安大数据中心为不同租户和不同业务类型提供差异化的安全服务。安全控制器将控制指令进行抽象和封装，为公安大数据中心管理用户或租户提供安全服务编排等编程接口，实现可软件定义的安全需求和服务。

（三）安全功能虚拟平台

安全功能虚拟平台用于构建公安大数据中心网络安全设备资源池，包括物理设备资源和虚拟化设备资源两种形态。该平台位于一个数据中心内，包含安全虚拟机和安全流平台两个组成部分，如图3所示。

1. 安全虚拟机

以虚拟机形态运行于租户的虚拟网络中，负责租户虚拟机的东西向网络流量控制，如图4所示。该安全虚拟机是硬件UTM设备、IDS设备的虚拟化，具备其所有的防护特性，虚拟UTM（vUTM）支持桥模式、路由模式以及混合模式部署，虚拟IDS（vIDS）支持旁路模式部署。

2. 安全流平台

部署在公安大数据中心出口实体网络的安全资源池，接入了UTM、IPS、IDS、WAF等安全设备，负责租户网络的南北向网络流量控制，如图5所示。

安全功能虚拟平台构建的网络安全资源池接受安全控制器的调度与配置，实现安全设备在租户网络中的逻辑部署并完成安全防护，如图6所示。

二、关键技术及创新点

（一）虚拟网络深度防护技术

随着虚拟化在公安大数据中心的广泛应用，虚拟网络安全防护的重要性也在不断提高。传统物理环境具有清晰的网络边界，通过在网络边界部署各种安全设备即可对进出边界的流量进行有效管控。而在虚拟化环境下，同一虚拟计算平台上的虚拟机间的二层流量可以由虚拟交换机转发而不流经物理服务器外部的网络设备及安全设备，从而形成了安全管理的盲区，使得虚拟机完全暴露于破坏力更强的内网攻击之下。特别是随着虚拟化技术的发展，虚拟化平台提供的网络功能已经从最初的虚拟交换机（二层交换）演进到现在的虚拟路由器（租户子网间三层交换），更给传统网络安全防护技术的应用带来了诸多不便。

通过对虚拟网络流量类型的深入分析，提出虚拟网络深度防护技术。租户虚拟机的网络流量通常分为四种类型，如图7所示：租户同一子网内的流量①、租户不同子网间的流量②、租户访问外网的流量③、租户间的流量④。其中①、②是东西向流量，③、④是南北向流量，虚拟网络深度防护技术即实现四种流量的全面管控，租户可以根据实际业务需求灵活组合、部署。

（二）安全策略伴随虚拟机迁移技术

虚拟机热迁移技术能够将工作中的虚拟机从一个物理服务器上快速移动到另一个物理服务器上而保持虚拟机的运行不中断。该技术只解决了虚拟机自身状态的迁移问题，并不保证安全策略同步，一旦迁移后的目的平台无法感知到迁移来的虚拟机的安全策略，则虚拟机将会面临安全风险。

通过分析虚拟机热迁移机制对虚拟机安全策略的影响范畴，明确了受迁移机制影响的虚拟机安全策略，针对这部分安全策略设计一种动态引流的方法，让交换机对虚拟机的迁移进行自主学习，实现安全策略伴随虚拟机迁移。

（三）基于SDN的安全资源调度技术

传统网络安全防护，一般会在不同网络的边界部署网络防护硬件设备和软件系统，并采用静态配置的防御策略。但不同网络中各安全设备的功能分布并不均匀，防护体系脆弱，存在很多薄弱环节。因此这种固化的网络安全防护模式已无法适应公安业务快速变化的网络结构。

在公安大数据中心安全管理中，采用基于SDN的安全防护系统基础架构，实现用户无感知、高度可扩展的弹性安全防护。在数据中心网络区域边界部署虚拟化的安全防护节点，在SDN安全节点集成各种安全防护功能模块，实施内容安全防护功能。由SDN安全控制器管理安全节点，并为上层网络控制中心提供接口。在网络管理控制中心系统中集成SDN安全应用。安全控制器结合网络控制器分发流表来控制交换机与路由器的转发规则调度网络流量，实现安全功能的按需调度；通过集中管控安全功能扩展和安全策略，实现安全节点的动态按需安全功能扩展和安全策略加载。

动态网络防御系统还将基于业务安全需求对安全控制器下发安全功能扩展和安全防护策略，为公安大数据中心的云服务创新应用提供支撑。

三、试用情况

某市公安局将基于自主研发的“公安大数据云平台”为本系统提供10台x86服务器、5台存储服务器、3台数据库服务器的部署验证环境，通过与本项目研发成果的集成，实现面向IDC的软件定义安全系统与公安云平台的控制对接，进行系统验证和示范应用。图8为系统部署拓扑图。

安全流平台上应用了软件定义安全系统、虚拟化安全资源池等产品，构建了一个针对东西向流量进行防护、可扩展的动态安全防护体系。

（一）应用流程

1. 系统授权配置

在系统Web管理页面，进入授权管理页面，进入系统授权页签。

2. 创建虚拟机

在系统“安全市场”下载需要的映像产品，供创建虚拟机使用。

3. 定义虚拟交换机

通过编程让网络自动化扩展，支持自定义网络流量转发规则，同时支持标准的管理接口和协议，如图11。

4. 系统日志分析（如图12）

（二）实施效果

实现了对东西向流量的导出，导出的流量可交付给物理或虚拟的安全产品。通过对接IDS实现了对已知威胁的检测；通过对接安全审计，实现了对数据库操作行为、虚拟网络的审计；通过对接流量分析设备，实现了虚拟网络流量的可视化。云内流量与安全产品的对接，实现了对虚拟化网络内流量的感知。

在系统运行过程中，编排的流量和安全资源池内的虚拟安全产品可随时被调整，以动态适应安全态势的变化。通过应用软件定义安全系统、虚拟化资源池等系统，形成了对东西向流量进行全面检测分析的动态防护体系。另外，由于本次应用的虚拟安全产品均为旁路部署，只需通过镜像导出流量，对业务系统运行无影响。

四、结语

面向公安大数据中心的软件定义安全系统以SDN、NFV技术为基础，实现了公安大数据中心安全资源调度与安全服务编排功能，解决了传统安全防护措施防护不足的问题，可以为公安大数据中心提供安全功能灵活部署、个性化定制的一体化解决方案，对公安信息化建设具有长远意义，确保了公安信息的安全。 

参考文献：

[1] 曹阳. 信息安全问题云计算[J]. 科技信息, 2010(03).

[2] Roger Halbheer, Doug Cavit. 关于云计算安全的思考[J]. 信息技术与标准化,2010(09).

[3] 李伟,李成坤. 透过“云安全”看公安信息网安全管理[J]. 硅谷,2009(03).

[4] SUN云计算架构介绍白皮书.

[5] 云安全联盟标准组织.Http://www.cloudsecurityalliance.org/.