发布日期:2013-04-28 15:23 来源:中国电信网络安全实验室 标签: 安全 云服务 网络
 

安全云服务的网络化提供

云计算基于互联网络为用户提供各类云服务,为了使用户随时随地通过网络获取所需的云资源能力,云服务应根据不同的服务应用场景综合应用多种组网技术,应用场景的不同将衍生出多种云服务组网方案。就安全云服务来说,也同样如此,不同的安全云服务采用的组网技术和方案多种多样。

在上节所述的三类安全云服务中,第三类在线软件安全能力的网络化提供最为简单。由于此类服务以Web在线软件的方式提供,用户通过Web浏览器即可享受该服务,而服务提供商的Web服务器一般放置于可连接Internet的IDC机房,因此只需用户能接入Internet访问到服务提供商的Web服务器即可,服务的实现不涉及中间的组网过程。

第二类安全检测和分析类安全能力的网络化提供的实现比第一类较为复杂。由于其需要为客户提供远程的网络或应用安全性检测或特定的安全性分析,往往通过在客户端部署代理来收集特定的安全信息发送到统一的安全云中心进行分析处理,因此此类业务的网络化提供就是要解决采集到的安全信息如何安全发送到安全云中心的问题。在具体实现中可采用GRE隧道、MPLS VPN、专线等方式。

第一类流量检测和控制类安全能力的网络化提供实现难度相对最大。由于用户本身的网络流量必须流经安全云服务中心,并由安全云服务中心根据策略作出相应的控制和处理,而用户的网络流量在使用该类服务之前一般不会流经一个集中的出口,因此在组网过程中如何将用户流量牵引至安全云服务中心是需要解决的一个关键问题。同时,对于DDoS攻击防护类的业务来说,由于其在客户网络检测到DDoS攻击时才要求将特定流量牵引至云服务中心进行流量的检测和过滤,因此其流量牵引的过程较防火墙访问控制类业务更为复杂,同时由于其在对客户流量检测过滤后还需将流量发送回客户网络,因此其网络化提供实现中还涉及流量回送的问题。以下将着重对该类能力中的防火墙访问控制和DDoS攻击防护这两类典型的安全云服务的网络化提供方案进行探讨。

对于防火墙访问控制类安全云服务,其典型应用场景一般包括针对专线用户提供的访问控制服务,以及针对ADSL等拨号用户提供的访问控制服务。在专线用户的应用场景中,只需配置用户侧的接入路由器的下一跳或用户网络出口网关指向安全网关,并通过VLAN与防火墙互联。而对于拨号用户,则可采用L2TP隧道的方式将PPP会话转接到LNS(L2TP Network Server,L2TP网络服务器),由LNS负责IP地址分配,然后连到防火墙。其中L2TP(Layer 2 Tunneling Protocol,第二层隧道协议)是一种工业标准的Internet隧道协议,基于微软的点对点隧道协议(PPTP)和思科二层转发协议(L2F)之上,提供了对PPP链路层数据包的隧道传输支持,它允许二层链路端口和PPP会话点驻留在不同设备上,并采用包交换网络技术进行信息交互,从而扩展了PPP模型。

对于DDoS攻击防护类安全云服务,不仅需要将特定流量牵引至云服务中心进行流量的检测和过滤,还要在云服务中心处理完以后将清洁流量发送回客户网络,因此该类安全云服务的组网涉及流量的牵引和回注两类技术,以下分别进行介绍。

1.异常流量牵引技术

流量牵引主要指将去往被攻击目标的流量重路由到一个用于缓解攻击的流量清洗中心,以便在清洗中心处理、丢弃攻击流量。当发现了一个攻击时,流向攻击目标的流量需转移到一个清洗中心。有多种技术都可触发这种流量转移,触发可为集中或分布式,可手动或自动进行。

集中触发

在安全管理中心配置一个"触发器",所有的转移动作都从这个触发器触发。触发就是在路由器上增加一条静态路由,添加一个特殊标记,随后重发布到BGP中。当攻击结束以后,可以删除这条路由,停止牵引。

集中转移触发的主要优势在于,流量转移由网络中的单一点控制,管理和触发转移过程更方便,但是需要单独购置触发设备。

分布式触发

当清洗中心的清洗设备需要工作时,它们各自向网络中的路由器发送一个BGP更新,将到目标地址的下一跳设置为它们自身。

采用分布式触发的主要优势在于,能灵活地将清洗设备资源分配给遭受攻击的特定用户。根据攻击流量的规模,清洗中心1可分配给用户1,清洗中心2可分配给用户2。

2.流量回注技术

经过流量清洗后,正常流量被重新转发回网络,到达原来的目标地址。根据网络环境不同,目前主要有以下几种注入方式。

L2 injection:注入路由器和清洗设备在同一个二层子网。

PBR based injection:通过策略路由实现流量注入。

GRE Injection in an IP Core:注入通过一个GRE隧道实现。GRE隧道发起在清洗设备,终结在CPE设备。

VRF Injection in an MPLS core:流量通过一个独立的"inject"VRF进行注入。

其他的实现方式:基于mGRE、L2TPv3和VLAN等隧道技术。

注入方式一般有VRF方式、PBR方式和GRE方式,三种方式各有特点。

从性能效率上比较,PBR>VRF>GRE。

从灵活性上比较,VRF>GRE>PBR。

在DDoS攻击防御业务实际部署时可结合实际场景和需求分别选择上述流量牵引和流量回注技术。

相关评论

专题信息
    随着云计算技术的应用越来越广泛,云计算的可信性和安全性问题凸显。本书叙述了采用可信云安全技术解决云计算可信和安全问题的方法。可信云安全技术是在云计算环境中,针对云端互动的人进行可信计算和安全计算的技术。