• / 13
  • 下载费用:5 金币  

38基于SDN和NFV的云安全体系.ppt

关 键 词:
38 基于 SDN NFV 云安 体系
资源描述:
基于SDN和NFV的云安全体系——云安全防护体系建设与特点,2015141013 徐志阳2015141088 杨子傲,1、云计算面临的安全挑战,1.1 背景介绍,云计算、虚拟化等新技术的发展,带来了新一轮的IT技术变革,但同时也给网络与业务带来巨大的挑战,比如需要网络能够支持面向应用的二层环境,策略能够根据应用变化而调整,网络服务模式需要从传统的连接服务转向面向应用的网络交付等,对网络安全提出了更高的要求。传统的安全部署模式在管理性、伸缩性、业务快速升级等方面逐渐表现出对业务支撑能力的不足:基于拓扑的局部安全部署,串联设备性能差异巨大,木桶效应明显;分散的设备策略配置管理,对管理员安全技能高;安全规则复杂,手工配置和维护困难;安全能力无法动态复用,资源浪费明显;物理安全设备容易成为“拥塞点”和性能瓶颈;物理安全设备对虚拟机东西向流量不可见,无法实施有效安全策略管理;物理安全设备特性开发部署周期长,不能随着应用需求的变化而快速调整;物理安全设备大都是封闭、固化的,不能动态伸缩,部署初期资源浪费,后期网络拓展困难。,2、SDN&NFV云安全体系架构,2.1 SDN&NFV云安全体系架构介绍,针对云计算所带来的安全挑战,SDN和NFV作为新一代网络技术,两者可以紧密结合,满足不同角度的业务需求,实现网络灵活调度、动态扩展、按需快速交付,最大程度地满足用户对业务部署的要求。 融合SDN和NFV技术的云安全体系如左图所示,基础硬件层和物理抽象层不仅包括运行NFV的物理服务器,还同时包括物理安全设备、嵌入安全的vSwitch物理服务器、支持虚拟化的安全物理设备等设施,对应SDN架构中的数据转发层面;NFV操作系统、设备的操作系统与上层应用组成业务控制层面。,2.2 SDN&NFV云安全体系架构区域划分,云计算接入安全:通过H3C首创的嵌入式安全vSwitch,形成基于状态的安全防护体系。云计算出口安全:支持虚拟化的高性能安全物理设备、灵活的NFV技术等最大化满足公有云的安全防护及网络安全业务需求。云计算互访安全:面对虚拟化、复杂的云计算东西向流量和南北向流量,云安全资源池可实现对不同租户计算、相同租户下不同计算互访的安全需求,例如防火墙、IPS、负载均衡、DPI等业务。通过SDN控制器集群实现安全业务的按需动态部署及自动化弹性伸缩,达到云计算安全业务的自动化交付、简化管理。云计算VCFC控制器集群:作为云安全体系的控制大脑,VCFC控制器集群不仅负责基于SDN Fabric部署Overlay虚拟化网络创建、流量转发与维护等的管理,还要负责完成对云计算安全业务的动态部署、NFV生命周期管理等,并提供丰富的北向API,完成和云管理平台的无缝对接。,三、云安全体系特点及价值,3.1、可定义、自适应的安全,网络管理员、安全管理员,在控制器集群上完成策略模板的创建和配置;用户通过云平台自定义安全服务;控制器集群向云操作系统OpenStack呈现统一的安全策略服务目录;云/数据中心用户通过云操作系统OpenStack定制资源,选择相应的安全服务,控制器集群完成策略下发(包括流量牵引、安全服务组件的创建);云的租户只关注业务需要匹配的安全模板,无需关注安全策略如何实现。,3.2、安全策略统一全局可管理性,SDN控制器集群通过对各种物理安全设备和NFV网元进行抽象,将原先离散的、异构的设备形成统一的逻辑安全资源池。这样,控制器集群可以用全局视野,对所有安全资源进行统一调度,并通过“安全服务链”实现流量检测路径规划,提供与拓扑无关的全局安全策略。SDN控制器集群具备全局视野,掌握整个管理域范围内的流信息,因此,可以实现分布式安全设备的协同工作。比如在IPS检测点发现DDOS攻击,可以立刻通知控制器集群在接入侧(如嵌入式安全vSwitch)生成一条动态黑名单或者防火墙策略,将特定攻击报文丢弃,从而使恶意流量在源端即被遏制,提升安全防护效率。全局安全资源池可以实现安全资源的动态复用和弹性扩展。当安全设备性能不足时,可以在资源池中新增相应的逻辑安全资源,SDN控制器集群根据HASH引流规则,将不同的流量分担到不同的安全资源上处理,实现资源的弹性扩展。,3.3、安全自动化快速部署、弹性扩展,云计算业务的多样化以及快速变化的特点,对安全业务也提出了灵活性要求,传统安全设备内置的业务及业务流程相对固定,无法随着应用需求的变化而变化,而基于SDN和NFV技术的结合可完美地实现安全业务的灵活定义、按需快速部署、弹性扩展。NFV技术通过将设备的硬件和软件解耦,可将传统设备提供的安全业务功能分解成一个个VNF单元,通过云平台或SDN VCFC控制器集群对NFV资源池、安全设备、网络设备及vSwitch上的业务进行统一管理,根据应用需求、业务流量特点定义不同的业务链,实现不同业务流经过不同安全单元进行差异化处理,并通过模板化方式实现各种复杂的业务快速部署。,3.4、南北向API的全面、兼容性,SDN和NFV的技术设计是开放的,决定云安全体系也是一个开放的体系,易于形成集百家之长、开放融合的体系。SDN&NFV云安全体系各组件秉承标准、开放、端到端的理念,提供全面丰富、灵活的南向接口及北向接口通过开放融合的体系,基于SDN和NFV构建的云安全体系能够融入更多的第三方SDN APP和NFV,北向通过Restful API可与独立第三方云平台进行对接,南向通过OpenFlow/OVSDB/NetConf等标准API兼容包括第三方的网络及安全设备、NFV产品,确保云安全体系更为灵活、更为全面。,四、结束语,云计算模式当前已得到业界普遍认同,成为信息技术领域新的发展方向。随着云计算的大量应用,云环境的安全问题也日益突出。在云计算时代,每天新增的数据量非常巨大,需要处理的数据成倍增加,各应用也相应的在千变万化,因此,建立自动化、虚拟化、可动态弹性伸缩的云安全防护体系已经是大势所趋,同时伴随SDN和NFV技术的不断演进,SDN及NFV技术也将不断完善云安全的防护体系,最终促使云计算得以更加健康、有序的发展。,
展开阅读全文
1
  金牌文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:38基于SDN和NFV的云安全体系.ppt
链接地址:http://www.gold-doc.com/p-257074.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们
copyright@ 2014-2018 金牌文库网站版权所有
经营许可证编号:浙ICP备15046084号-3
收起
展开