View
6
Download
0
Category
Preview:
Citation preview
10 ■ 財金資訊季刊 / No.88 / 2017.03
本期企劃〡使用程式化網路 提升企業私有雲資訊安全
使用程式化網路提升企業私有雲資訊安全
黃福欽 / 財金資訊公司系統部網路組副組長
一、 前言
由於虛擬化等新技術發展,帶給 IT基礎
架構眾多優勢,包括:應用靈活性、擴展性、
快速交付等,但同時對網路應用產生巨大挑
戰,例如:須提供網路直接支援應用服務的環
境,網路組態須因應應用服務變化予以調整,
網路服務模式須自傳統的轉接服務轉變為可配
合應用服務之網路交付,也因此,網路安全須
符合更高的要求。傳統的安全部署模式因為設
備策略配置為分散管理、安全規則複雜須以手
動配置、安全能力無法動態複製使用,以及實
體安全設備容易成為壅塞點與性能瓶頸、無法
掌握虛擬機器相互間流量、大都屬封閉式致無
法動態伸縮等等,以至於部署初期資源浪費,
後期網路拓展困難、實體安全設備無法隨應用
需求變化而快速調整等,種種因素導致管理
性、伸縮性、業務快速升級等方面逐漸顯現對
應用服務支援能力的不足,也已成為企業私有
雲亟須面對的安全挑戰。
二、 程式化網路優勢
為落實虛擬化優點於網路架構,程式化網
路 ( Software-defined networking )概念將網
路設備之控制面及資料面獨立分開,並由「控
制器 ( Controllers )」集中管理所有的網路設
備及控制封包轉送需求。如此,可由控制器界
定不同的網路行為模式,讓所控管的網路設
備扮演正確的角色,透過該方式,即無須逐一
設定網路設備,在建置各種不同的網路環境
時,能更有效率且快速。此外,可程式化的
(Programmable)管理模式改善以往可觀的環
境部署時間,同時,集中化特性更能即時監控
網路設備狀態,適時調度配置資源,使得維護
資源成本降低,達到網路虛擬化目的。
由於程式化網路架構具備集中控管特性,
故可將設定作業配置在任何控管範圍內的網路
設備,其運行模式則是依循 Open Flow協定
在網路設備中設置一個或多個路由表,路由表
內記錄預先建立之規則及處理動作,並提供配
對過濾機制,如此,交換器即具備封包過濾能
力,達到一般防火牆功能。當網路封包進入交
換器時,交換器先行辨別封包專屬標頭,若屬
於控制封包,即直接送至控制器處理;若屬於
資料封包,則先比對路由表,如符合路由表內
所列規則,則據以執行預先設定的動作,若不
符合則經由加密通道送往控制器處理。
路由表內每筆控制資訊,係由比對欄位、
狀態計數欄位、與處理動作欄位等三個主要元
www.fisc.com.tw ■ 11
使用程式化網路 提升企業私有雲資訊安全〡本期企劃
素構成。比對欄位中,備有多種參數供設置規
則,例如:來源地址、目的位址、來源通訊埠、
目的通訊埠、通訊協定等基本參數;狀態計數
欄位供記錄該封包狀態,包括所收流量等;處
理動作欄位則供設置處理封包之動作,分為基
本動作與選擇性實作動作,基本動作包含丟棄
及轉發兩種,丟棄為預設動作,轉發則可預設
轉發之目的地,例如轉發至控制器、至一個或
多個交換器實體埠等。為實現程式化網路防火
牆功效,企業須依自單位需求,使用前揭元素
相互搭配,設立多種規則,達到最適用之防火
牆功能。
圖 1 傳統式網路架構及程式化網路架構之管控方式比較示意圖
三、 程式化網路安全架構
傳統上,經由防火牆設備或路由器,將網
路層、應用程式層及資料庫層的流量予以分割
隔離,以維網路安全。然定義該等政策前,須
耗費許多時間,針對應用服務內容深入研議
並制定網路安全規劃,惟實際部署時,卻極易
因實體環境限制或設定複雜度、人為疏失等因
素,導致網路安全漏洞產生。在虛擬網路環境
中,易將不同主機中同類型服務納入同一台虛
擬交換器,透過虛擬交換器易實現分割隔離網
路之需求,同時減少實體網路配置上的障礙點
或瓶頸點,以及安全性配置的人為疏失。管理
者僅須利用管理程式,就用戶該如何連接應用
程式、應用程式又該如何抓取資料內容,以及
此類過程中必須具備的安全性原則予以定義即
12 ■ 財金資訊季刊 / No.88 / 2017.03
本期企劃〡使用程式化網路 提升企業私有雲資訊安全
可,而該等設定皆以虛擬機為基準,可隨虛擬
機遷移而移動,大幅減低配置的複雜度及人為
疏失的可能性。
至於安全性功能,傳統的防火牆是任何環
境中眾所周知的效能瓶頸點,程式化網路本身
即具備基本防火牆功能,可於其上自訂存取原
則,在每一個分散式虛擬路由器上分散並行處
理,同時可將安全性原則統一部署於虛擬化環
境中,解決防火牆效能瓶頸的難題。
程式化網路以控制與轉發分離思想為基
礎,實現網路靈活適配應用,利用虛擬化技
術,運行防火牆、入侵防禦系統、負載平衡等
網路安全業務,並形成資源池,使企業私有雲
的安全架構可彈性擴展、快速交付、統一部
署,並解決傳統安全部署時設備間交互依賴的
問題。
程式化網路可歸納以下五點特性:
圖 2 在網路安全層面所提出之新式作法 (資料來源:思科公司 ACI解決方案 )
(一 ) 靈活定義的安全控制
程式化網路透過控制與轉發分離,將控制層
面自轉發設備上予以分離,具備靈活定義網路的
能力基礎。網路管理員可方便定義網路流量的安
全控制策略,並讓這些安全性原則應用至各種網
路設備中,進而實現整體網路通訊的安全控制。
網路管理員可靜態配置或動態產生引流規則,將
網路封包牽引至不同的安全設備上進行處理,提
升安全服務的防護效率與準確性。
舉例言之,用以應變阻斷式攻擊之旁路過
濾系統,在傳統網路上偵測器須先由交換器或
路由器收集足夠資訊,判斷系統遭受攻擊後,
再以人工修改邊界路由器的路由表,將入向
流量導至流量過濾系統濾掉攻擊封包後,再導
向至伺服器,應變時程可能數十分鐘甚至數小
時。然以程式化網路而言,交換器自動回報網
www.fisc.com.tw ■ 13
使用程式化網路 提升企業私有雲資訊安全〡本期企劃
路狀態,使控制器能即時偵測出阻斷式網路攻
擊,隨後並可立即改變交換器路由表,將入向
流量導入流量過濾系統,與傳統網路相同的應
變措施幾秒內即可啟動完成。
(二 ) 統一的全域安全性原則
將原先離散的、異構的設備形成統一的邏
輯安全資源池,如此即可以全域視野,對所有
安全資源進行統一調度,實現流量檢測路徑規
劃提供全域安全性原則,因此,可實現分散式
安全設備的協同工作。例如在入侵防禦系統檢
測點發現阻斷式攻擊,可立刻通知控制器自動
產生一組動態黑名單或防火牆策略,將特定攻
擊封包丟棄,從而使惡意流量來源端即時被遏
制,提升安全防護效率。
全域安全資源池可實現安全資源的動態
重複套用及彈性擴展,因此,在網路部署初
期無須為未來擴展預留不必要的安全設備,
減少安全設備之數量與投入成本。當安全設
備性能不足時,可於資源池中新增相應的邏
輯安全資源,控制器根據引流規則,將不同
的流量分攤到不同的安全資源上處理,實現
資源的彈性擴展。
(三 ) 自動化快速部署、彈性擴展
因應企業業務多樣化及快速變化之特點,
對資訊安全也提出靈活性要求,傳統安全設備
之內置業務及其流程相對固定,無法依隨應用
需求異動而變化,而程式化網路技術卻可實現
資訊安全之靈活定義、快速部署、彈性擴展。
企業可利用程式化網路技術統一管理資源
池、安全設備、網路設備上的業務,並依據應
用需求、業務流量特點定義不同的業務鏈,實
現不同業務流經過不同安全單元進行差異化
處理,並藉由範本化方式快速部署各項複雜業
務。在企業私有雲環境中,由於網路流量的轉
發交換可不經過外部的實體交換機,即可對同
一實體伺服器內部眾多虛擬機流量提供有效的
安全防護,此為傳統網路安全設備方案難以滿
足者;此外,尚可對虛擬機流量進行安全性原
則與狀態之檢查。虛擬環境中,虛擬機之遷移
頻率極高,因此安全防護策略須隨虛擬機遷移
進行自動防護;當虛擬機遷移後,虛擬機之引
流策略及相關安全性原則須自動遷移至新實體
伺服器,確保虛擬機安全防護策略不因遷移而
發生變化。基於程式化網路安全架構,通過控
制器部署的網路資源、安全業務自動關聯至應
用服務所對應之網路流量,實現應用服務鏈之
自動部署。
(四 ) 開放融合的架構
程式化網路屬開放性技術設計,所提供之
網路安全解決方案亦屬開放性架構,易於形成
集百家之長、開放融合的架構。程式化網路之
安全架構元件秉承標準、開放、端到端的理
念,提供全面豐富、靈活的 API介面。藉由開
放融合的架構可與其他平台進行對接,同時透
過標準 API介面相容於網路及安全設備,確保
安全架構更為靈活、更為全面。
(五 ) 靈活的安全監控與防禦
傳統依交換機實體埠分流捕捉封包的安全
14 ■ 財金資訊季刊 / No.88 / 2017.03
本期企劃〡使用程式化網路 提升企業私有雲資訊安全
圖 3 採用擬定的策略定義將網路進行區隔及管控(資料來源:思科公司 ACI解決方案 )
監測方法,成本太高致難以實施;程式化網路
則可執行精細的控制,管理者可設定政策分層
過濾,只針對「有意義」的網路連線進行捕捉
監測。隨著內部網路資料量爆炸式增長,當利
用流量日誌分析安全威脅時,存在日誌中之高
風險異常現象或趨勢易被巨量資料淹沒。程式
化網路可透過資源池採集網路流量、日誌、告
警、狀態、異常資料綜合分析資訊後,輸出至
儀表板,例如瞬間巨量網路流量、網路封包丟
失率、以 IP位址或應用之連接數、過去之小
時、天甚至月統計等資訊,讓管理人員對網路
資料瞭若指掌,主動感知網路安全態勢,動態
即時更新安全性原則及修復網路,進而提供病
毒碼與特徵庫升級以及緊急風險策略同步,有
效防禦0-day攻擊,提供智慧靈活的安全服務。
四、 結語
隨著企業大量應用私有雲,雲環境的安全
問題也日益凸顯。值此企業私有雲時代,每天
新增資料量頗鉅,必須處理的資料以倍數遽
增,各應用亦相應千變萬化,維持營運不中斷
之關鍵安全事項更不可怠忽。因此,建立自動
化、虛擬化、可動態彈性伸縮的雲安全防護架
構乃大勢所趨,同時伴隨程式化網路技術不斷
演進,企業引入程式化網路架構時,必須先制
定可確保資訊安全之新策略;此外,於早期設
計階段即將確保系統安全議題納入考量,切忌
遲至結尾階段始思考安全問題之解決,以確保
企業維運更健康、有序地發展。
※參考文獻 /資料來源:CISCO公司。
Recommended