2014 年8月14日至15日，第七届移动互联网国际研讨会在北京国际会议中心隆重举行，本次大会以“4G移动互联网时代的创新与变革”为主题，围绕4G网络技术及未来发展、虚拟运营商、移动互联网应用、信息安全、物联网、融合通信等产业热点展开。以下为绿盟科技有限公司刘文懋博士在“面向移动互联网的开放API及应用安全”分论坛发表演讲。

　　以下为演讲速记：

大家好，我是来自绿盟科技的刘文懋，今天我给大家带来的这个主题演讲主要是在SDN环境下一些新型的安全架构和实践。这个标题应该叫做软件定义安全，软件定义这个词非常火，包括软件定义网络，软件定义数据中心，软件定义存储等等，好像还有叫软件定义一切。那我们今天谈的这个软件定义安全是指在一个新型网络中，整个使用一种可以编程的方式，开放的接口的方式把安全解决方案适用于新型的数据中心也好，运营商也好，这些新型的网络。

我的演讲包括两方面，一个就是新型网络现在遇到的一些安全的挑战。然后，面向这种挑战，我们会提出什么样的一些安全解决方案。谈到新型网络，什么是新型网络，刚才何博士谈到新型网络，李总也谈到网络虚拟化，应该也算是新型网络，他们都是对网络当前30年，基本上半个世纪的计算机网络做的一些形态上，或者转化层面的一些改变，这些东西叫新型网络。而且我们在运营商层面，都会谈到网络虚拟化，或者功能虚拟化，还有SDN，这两个技术可能都会一起用解决问题，这两个东西一般是正交的关系，网络虚拟化，实际上就是用软件的形式管理硬件的或者软件的资源，能够把它作为一个虚拟的网络的池，我可以很快构建一套虚拟网络，把虚拟网络，虚拟交换机，虚拟网卡都准备好，再把这些存储设备很方便的连接到虚拟网络上，能够快速的搭建一个虚拟计算系统。

那么，什么是SDN?假定我们实现了虚拟化之后，我们可以在若干个数据中心，甚至可跨物理环境的数据中心，比如上海和北京，两个数据中心多台虚拟机，怎么样将一个虚拟机的数据包转化到另外一个虚拟机中，我们可以可编程的把这些虚拟机连接的交换机，或者集中设备进行控制，这样我们能更方便星火的控制我们的策略，当然也可以加入我们一些安全的控制策略。所以说，这两个方面非常容易结合在一起解决我们当前的一些问题。关于SDN Openflow，只要支持SDN和Openflow，两方面控制一些数据转发。大概这就是我们谈的新型的网络的雏形。

在我们绿盟也做了一些安全曲线，这个时间场景中是虚拟化的开源的解决方案，SDN使用，看开源的应用，这两者要相结合，这个大概就是在一个IaaS环境中，上面这个节点是三层转发的一个物理服务器，另外的节点主要负责虚拟机的管理，以及数据报的发送，其实这两个可以不在一个数据，甚至跨物理的环境都没有问题。比如我们要对这两台机器的数据包做一个检测，我们通过SDN控制器，和GRE的交换机。所以说，我们可以很方便的控制网络流量，也可以很方便的做这些网络控制，我们可以在SDN控制器上做应用，也可以做一些检测，因为在虚拟化的环境中，不同租户的机器也可能发生恶意攻击，你在虚拟环境中如何检测这种攻击，我们通过SDN的方式很否一的融入到这种管理中。当然，如果你安的设备是管理化，那更好，你可以部署在很多地方进行保护。大概就是这么一个场景，这种场景会遇到什么问题呢?我们先看一下有什么可能遇到的问题，然后分析这些安全问题的根源在哪儿，为什么有这些问题，然后再提出解决办法。

第一、SDN是集中控制的架构，控制器和应用容易受到攻击，造成底层网络设备的流控制不一致。所以，这就是在上层可能会遇到的一些问题，这些问题就是SDN现在的挑战，就是你增加一些控制器，SDN应用，这些必然要成为你保护的优先对象。解决办法就是你涉及到面向控制器和应用的机制，如果控制器受到攻击了，要在空置平面增长一些服务的设备，如果APP受到一些攻击，你可能要部署一些防火墙等等。

第二、在虚拟化环境中，你的防火墙放在那儿，其实这个不是很好做。因为虚拟的二层网络可能部署在各个地方，这个不好做，如果在一个虚拟网络中，物理设备根本接收不到这种包，即使你收到包也是第三方的，你在多租户的环境中，能不能理解多租户的隔离问题，这都对我们现有设备带来一定的挑战。这应该说是虚拟化带来的挑战，解决办法也很简单，既然是虚拟化带来的挑战，我们同样用虚拟化的方式，用SDN的方式，使你的流量可以控制到。当我们用虚拟化的设备，用各种办法解决了问题，我们会发现客户使用虚拟化方式，可以从计算、存储、和网络秒级可能就部署完了，但是我们能不能很快的检测攻击，我们能不能通过各种各样的方式分析这种攻击，至少现在很难，现在这种规则从发现到上房可能长达数个月，这种周期非常长，我们能不能通过一种办法去解决呢?这个其实在原来不是问题，网络可能前面变化很慢，现在网络变化很快乐，这个业务可能上线了，你安全了，很难那么快就上线。所以，这个其实是SDN自动化对安全带来的挑战。

我们应该怎么解决?我们应该设计一套软件定义安全的技术。我们先分析，因为SDN这个控制器，就第一点，这个解决本身其实挺多，但是主要这块是业务相关的，是SDN控制器业务相关的，而且这块SDN在快速发展，所以我们主要还是在上面两个部分，第一个就是用SDN和虚拟化解决当前的一些问题，我们必须保证安全设备，能够理解这些虚拟环境中的流。

这是我们做的一个案例，这两个虚拟机的流量都会被融入到IPS的入口，然后有一个出口，这个时候控制器会集成虚拟机的流量，所以我们可以通过SDN+虚拟的技术很容易的部署安全设备，免得把这个流量牵引出来，免得把它扔回去，在二层环境中，不需要使用一些传统的比较麻烦的技术。解决这个问题之后，我们还需要设计一个自动化的软件定义安全，第一要分离安全数据和控制平面，提供开放、可扩展的应用接口，实现自动化的安全运维。第二控制器能够组建全局的流视图，能够做到快速的防护。根据这种思想，我们也是借鉴了SDN的想法，既然你有控制器，我们也作为一个安全的控制器，上面是设备，然后和你做一个开放接口的一些交互。那么，在SDN网络方面，网络控制器来看，其实就是它上面的安全应用。但是，在安全来看，又是分布式的，分层的一套安全解决方案，而且我们可以和IaaS进行交互。其实这个安全控制器和网络控制器一样是一个非常重要的措施系统，上面提供不同的API层，底层有管理这个安全设备，安全智慧池一个池化的管理系统，左边会与SDN控制器进行交流，右边是虚拟化平台，会做一个交互，会了解虚拟网络，虚拟路由等等这些信息，放在它的资产库中，这样实现了我们整个非常大的松偶合，而且分布式的一个安全解决方案。

我们这边给出一个案例，就是抗DDoS的攻击，在我们系统中，安全应用和安全设备都会向这个控制器去注册。它对这个流感兴趣，说明这些流可能符合DDoS的一些特征，这个信息收到之后，这个监控模块会去匹配，一旦有了，它会向安全应用提交这些流，安全应用会对这些数据进行分析，比如结合虚拟化环境中的租户、用户、虚拟机等等这些级别的信息展示策略，它会最后解析成一条，应该将虚拟机1已虚拟机2等等这些虚拟机的流量先引入到一个设备上去。这条命令，我们会通过流推送模块，把这个流命令推送，我们会通过代理去解析，这个虚拟机到虚拟设备，计算的路径，比如通过Openflow这个协议，向网络的交换机发指令。

这个整个流程来说有什么好处呢?第一我们使用流级别的检测，而且可以获取全局的交换机的信息，更全一些。而且我们发送这个指令是通过Openflow，比以前更快一些，秒级就可以把路径搭建起来。完成这个之后，我们基本上进入了一个自动化的过程。但是，我们就想，如果做到这个之后，我们的安全设备是不是要做一些额外的配置，因为你的控制器能够和业务很紧密的结合起来，但是你这个设备，能不能驱动起来，这是我们提出的一个问题，我们希望设备具备一个全面开放的标准化的接口。所以，我们想提出这个疑问，也是因为我们遇到了和网络，网络设备相似的一个问题，就是你前面网络设备都是封闭的，都是开放的，我们也希望做一个开放的设备，也能做到多家厂商，也能够协同去做这个事情。所以，我们做一个安全设备，能够把安全逻辑简化，然后提供一些比较开放的，比如安全接口，供控制器去调用。

我们再举两个例子，一个是APT，就是实时使用流监测，端点分析等方式，事后做各种各样的数据分析，然后通过流量分析找到一些异常的流，然后再放到IDS上，它可以做一个文件级别的检测，基本上它如果能提出报警，这可能是恶意行为。那么，我们再把它恶意行为所感染到的机器做一个扫描，然后哪些被感染了，再做一个修复，这是从检测，到防护，再到修复，再到智能化。

另外，软件定义的访问控制，我们想做的就是软件定义的，我们使用不同的交换机，SDN交换机可以通过流量认证，然后把你所对应的数据流经过若干设备进行调整，这些我们都是在做已经有了一定的成绩。谢谢大家!