軟件定義安全()

《軟件定義安全()》由會員分享，可在線閱讀，更多相關(guān)《軟件定義安全()（29頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、1 軟件軟件定義安全（定義安全（20162016）Software Defined-Security 2016綠盟科技2 軟件軟件定義安全架構(gòu)定義安全架構(gòu)SDS Architecturel背景介紹l軟件定義安全架構(gòu)l軟件定義安全！=云/SDN安全013 背景介紹l 網(wǎng)絡(luò)空間安全受到了空前的重視l 網(wǎng)絡(luò)安全已成為國家戰(zhàn)略l網(wǎng)絡(luò)安全法，網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法，l 安全廠商層層防護，但互聯(lián)網(wǎng)上的安全事件不減反增l修復漏洞平均花費兩周 ，而攻擊者從發(fā)動攻擊到竊取數(shù)據(jù)往往僅需數(shù)小時lMirai，烏克蘭電力門，Ransomeware，Swift系統(tǒng)$8100w盜竊，OpenSSL，Struct 2，l

2、 一個最好的時代，也是一個最壞的時代4 軟件定義安全理念連接協(xié)同有機結(jié)合多種安全機制，實現(xiàn)協(xié)同防護、檢測和響應(yīng)；敏捷處置在出現(xiàn)異常時進行智能化的判斷和決策，自動化地產(chǎn)生安全策略，并通過安全平臺快速分發(fā)到具有安全能力的防護主體；隨需而變當安全事件爆出后，攻擊者的攻擊方法更新很快，那么就要求防護者能緊跟甚至超過攻擊者，以快制快，在數(shù)據(jù)泄露的窗口期內(nèi)阻止攻擊者。軟件定義安全是將通過安全數(shù)據(jù)平面與控制平面分離，對物理及虛擬的網(wǎng)絡(luò)安全設(shè)備與其接入模式、部署方式、實現(xiàn)功能進行了解耦，底層抽象為安全資源池里的資源，頂層統(tǒng)一通過軟件編程的方式進行智能化、自動化的業(yè)務(wù)編排和管理，以完成相應(yīng)的安全功能，從而實現(xiàn)一

3、種靈活的安全防護。在2016年7月Gartner發(fā)布的2016年新興技術(shù)成熟度曲線報告中，軟件定義安全在成熟度曲線上已經(jīng)有明顯的移動，越過了成熟度曲線的最高點。對此，報告的評論是“安全供應(yīng)商繼續(xù)將更多策略管理從個別硬件元素移動到一個基于軟件的管理平面，以便保證指定安全策略的靈活性。因此，軟件定義安全為安全策略的執(zhí)行帶來速度和敏捷性”。 5 不再假設(shè)防護（Protection）能實現(xiàn)萬無一失的安全 更強調(diào)檢測（洞見）和響應(yīng)（敏捷）的能力更重要的是將這四個步驟有機的進行編排，實現(xiàn)針對不同攻擊的動態(tài)防御百家論 之 自適應(yīng)安全6 Phantom： RSAC 2016創(chuàng)新沙盒Winner，從應(yīng)用層入手，

4、構(gòu)建自動化、可編排的安全應(yīng)用體系，支持多種數(shù)據(jù)源和主流的SIEM平臺；同時，可以讓安全管理團隊編寫腳本Playbook，調(diào)用相應(yīng)的安全服務(wù)，實現(xiàn)安全運維自動化 Resilient System：被IBM收購，推出彈性的災難恢復服務(wù) 編排引擎可以軟件定義安全為支撐體系，利用北向應(yīng)用編排機制進行安全資源和策略的靈活調(diào)配，實現(xiàn)多種防護手段的協(xié)同運作百家論 之 應(yīng)用編排7 Google BeyondCorp徹底打破內(nèi)外網(wǎng)之別，通過統(tǒng)一的訪問控制引擎，管理不同用戶對不同資源的訪問，而不將用戶和資源的位置作為決策依據(jù)Skyport Systems基于TPM的虛擬化零信任訪問控制體系CSA SDP面向企業(yè)關(guān)

5、鍵基礎(chǔ)設(shè)施的集中訪問控制體系VMWare Micro-Segmentation虛擬化環(huán)境中的東西向內(nèi)部網(wǎng)絡(luò)訪問控制百家論 之零信任/微分段8 l 軟件定義安全！=云/SDN安全l軟件定義安全：安全數(shù)據(jù)控制分離的理念，實現(xiàn)安全運營自動化l云/SDN安全：防護云中（SDN網(wǎng)絡(luò)）的設(shè)施和業(yè)務(wù)安全l 軟件軟件定義安全的理念可能最早會定義安全的理念可能最早會在安全防護得到體現(xiàn)在安全防護得到體現(xiàn)l開放接口l敏捷彈性的資源池助力lSDN/NFV的支持l安全及服務(wù)滿足SMB客戶軟件定義安全與云/SDN安全9 軟件定義安全架構(gòu)與云/SDN安全控制平臺 IPS基礎(chǔ)設(shè)施管理平臺APP1APP2APPn服務(wù)編排服務(wù)編

6、排設(shè)備資源池設(shè)備資源池庫庫對接運營平臺APPiAPP1應(yīng)用商店客戶環(huán)境 IPSIPSWAWAFWAFFWFWFWInternet安全資源池SDN控制器對接10 安全編排：一切防護皆軟件定義l應(yīng)用編排l在線商店0211 應(yīng)用編排：軟件定義安全的靈魂l 軟件化、自動化和敏捷性都是通過面向不同場景的安全應(yīng)用所體現(xiàn)的l 多應(yīng)用協(xié)同進行編排可實現(xiàn)復雜的安全功能l 例如，用戶行為畫像應(yīng)用由以下應(yīng)用組合而成l網(wǎng)絡(luò)流量分析應(yīng)用，對收集到的流量進行格式化、建模，建立正常訪問基線；l資產(chǎn)分析應(yīng)用評估出企業(yè)的重要資產(chǎn)，結(jié)合企業(yè)已有的ERP和CRM系統(tǒng)的API獲得員工身份信息；l安全審計應(yīng)用獲得安全設(shè)備上傳的實時日志

7、；lUEBA（User and Entity Behavior Analytics）應(yīng)用將上述多維度的信息和訪問記錄還原成可理解的用戶和個體行為，從而找到如離職員工訪問內(nèi)網(wǎng)的數(shù)據(jù)庫等異常事件。12 改變了安全應(yīng)用的交付模式加快了安全應(yīng)急響應(yīng)的速度安全應(yīng)用商店查找應(yīng)用購買應(yīng)用下載應(yīng)用部署應(yīng)用運行應(yīng)用尋找銷售確定售前方案下單訂購等待生產(chǎn)出廠運輸?shù)截洶惭b設(shè)備工程調(diào)試運行10分鐘20分鐘5分鐘10天-1月1周-2月1天-1月應(yīng)用商店模式的上線時間分析傳統(tǒng)安全產(chǎn)品的上線時間分析13 應(yīng)用商店首頁14 應(yīng)用商店查看應(yīng)用15 應(yīng)用商店部署應(yīng)用16 資源池：按需而變的安全能力l軟件定義安全的落地難題l安全資源

8、池架構(gòu)l基于資源池的云環(huán)境安全防護0317 軟件定義安全應(yīng)用在云環(huán)境的落地困境l 難點：l 安全產(chǎn)品的虛擬化及適配云平臺Hypervisor較為困難 l 安全設(shè)備的證書體系在云平臺中不能直接適用。 l 安全方案無法控制云平臺的內(nèi)部流量。 l 資源池（見圖）：打通最后一環(huán)Internet安全控制平臺對接運營平臺抗APT APP訪問控制APP綠盟云M SS/SaaS/APPSt ore服服務(wù)務(wù)編編排排支支持持設(shè)設(shè)備備資資源源池池化化知知識識庫庫網(wǎng)網(wǎng)絡(luò)絡(luò)控控制制策策略略推推送送資資產(chǎn)產(chǎn)管管理理日日志志分分析析適配應(yīng)用vIPSIPSIPSWAvWAFWAFF WvFWFWoverlay設(shè)施Switch

9、SwitchSwitchvSwitchvSwitchVMVMVMVMVMVM控制SDN控制器TE APPSec APP資源池云管理平臺安安全全資資源源池池18 1種邏輯結(jié)構(gòu)=n種物理形態(tài) 資源池化Security Agent VFWVIPS FWvsys Engine Security Agent VFWVWAFFWOverlay NetworkPhysical NetworkFWvsys安全控制平臺HighAvailabilityFailure RecoveryScalabilityService ChainLoad BalanceAPPAPPAPP19 資源池架構(gòu)硬件防火墻硬件防火墻硬件清

10、洗設(shè)備虛擬防火墻虛擬I PS虛擬防火墻虛擬W AF虛擬防火墻虛擬防火墻虛擬I PS虛擬防火墻虛擬W AF安全控制平臺安全資源池網(wǎng)絡(luò)控制器業(yè)務(wù)系統(tǒng)通用服務(wù)器硬件agentagentagentagentagent通用服務(wù)器硬件通用服務(wù)器硬件通用服務(wù)器硬件計算節(jié)點VMVMVMVM安全資源池虛擬I PSagent計算節(jié)點VMVMVMVM虛擬I PSagent計算節(jié)點VMVMVMVMl 多種形態(tài)的安全設(shè)備通過池化形成一個個安全資源池l 資源池按需提供安全能力l 安全資源池與其他基礎(chǔ)設(shè)施一起構(gòu)建SDx20 云環(huán)境中基于安全資源池實現(xiàn)南北向服務(wù)鏈SDN控制器安全節(jié)點安全控制平臺Openflow指令vswit

11、ch輸入網(wǎng)卡輸出網(wǎng)卡IPSWAFFWvswitch輸入網(wǎng)卡輸出網(wǎng)卡IPSWAFIPSvswitch輸入網(wǎng)卡輸出網(wǎng)卡IPSWAFFW安全節(jié)點Security Fabric數(shù)據(jù)中心入口云系統(tǒng)入口Overlay Networkagentagentagent21 安全控制平臺SDN控制器云計算控制節(jié)點計算節(jié)點hypervisorVM1VM2VM3vswitch網(wǎng)卡安全節(jié)點hypervisorvswitch輸出網(wǎng)卡輸入網(wǎng)卡Rack交換機IPSFWWAFOpenflow指令云系統(tǒng)流量調(diào)度指令SDN控制器資源池內(nèi)部流量調(diào)度指令 云環(huán)境中基于安全資源池實現(xiàn)東西向服務(wù)鏈22 軟件定義安全實踐l面向混合云和移動辦

12、公的自適應(yīng)訪問控制l使用服務(wù)鏈+微分段技術(shù)的云計算Web安全服務(wù)l可編排的應(yīng)急響應(yīng)/彈性服務(wù)0423 GW/FW11 GW/FW2 租戶A租戶B子網(wǎng)1子網(wǎng)2子網(wǎng)1子網(wǎng)2管理網(wǎng)絡(luò)vRouter/FWaaS2vRouter/FWaaS1微分段1微分段2微分段3微分段4VMVMVMVMVMVMVMVMVMVMVPN隧道用戶網(wǎng)絡(luò)1公共無線網(wǎng)絡(luò)租戶A企業(yè)網(wǎng)絡(luò)互聯(lián)網(wǎng)云物理網(wǎng)絡(luò)虛擬網(wǎng)絡(luò)l 問題：企業(yè)網(wǎng)絡(luò)環(huán)境日益復雜，防護難度不斷提高l 引入BYODl 部署私有云l 連接公有云l 遠程接入l 需求：統(tǒng)一的訪問控制機制l 方案：集中訪問控制應(yīng)用+流控制+服務(wù)鏈+vDPI面向混合云和移動辦公的自適應(yīng)訪問控制 24

13、 Garnter: Adaptive Access Control一些先進的訪問控制模型和方案CSA:SDP(Perimeter)Checkpoint：SDP(Protection)25 SDN交換機Tunnel10.201.0.1VswitchVswitch外部網(wǎng)關(guān)30.0.0.1192.168.19.1互聯(lián)網(wǎng)傳統(tǒng)交換機30.0.0.30虛擬內(nèi)網(wǎng)WAFIDSFW軟件定義的邊界租戶虛擬路由器企業(yè)網(wǎng)絡(luò)認證服務(wù)BYOD網(wǎng)絡(luò)微分段微分段l SDN控制無線和有線網(wǎng)絡(luò)準入l FWaaS控制云中訪問控制l NFV安全設(shè)備組成服務(wù)鏈進行深度安全檢測l 集中訪問控制應(yīng)用實現(xiàn)多網(wǎng)絡(luò)環(huán)境的統(tǒng)一訪問控制l 機器學習

14、實現(xiàn)訪問基線建立和基于上下文的訪問控制訪問控制系統(tǒng)示意圖26 HR WebHR DBERP WebERP DB管理管理管理域HR維護租戶ERP維護租戶官網(wǎng)Web官網(wǎng)DB官網(wǎng)維護租戶使用服務(wù)鏈+微分段技術(shù)的云計算Web安全服務(wù)27 可編排的應(yīng)急響應(yīng)/彈性服務(wù)發(fā)布安全事件告知客戶全周期推送該事件進展安全資訊組件MSS & SaaS組件應(yīng)急響應(yīng)組件數(shù)據(jù)分析平臺賬戶體系支付體系安全服務(wù)7x24安全運營專家/應(yīng)急響應(yīng)團隊編輯/營銷/資訊源消息/插件推送架構(gòu)研發(fā)云端應(yīng)急響應(yīng)系統(tǒng)支持第三方賬戶關(guān)聯(lián)，在線支付安全插件支持即插即用消息推送支持電話、短信、手機消息推送等友好高效的服務(wù)查詢和管理運營授權(quán)/運營情況查

15、詢，支持多種與專家的溝通途徑ERP訂單管理基礎(chǔ)設(shè)施人力團隊銷售/客戶關(guān)系安全教程，品牌營銷判斷用戶的代維服務(wù)器是否存在安全漏洞，如有則實時推送，并通過MSS進行快速響應(yīng)授權(quán)云端處置安全廠商應(yīng)該提供彈性服務(wù)（Resilient Service），為企業(yè)提供預測、防護、檢測和響應(yīng)服務(wù)，通過模板提供自動化的處置流程，應(yīng)對各種類型的安全事件，縮短整體處理時間。 28 To sum up and some deductions l 軟件定義安全不等于SDN安全，但兩者有千絲萬縷的關(guān)系l 軟件定義安全可以重構(gòu)整個安全防護體系，特別是與大數(shù)據(jù)分析、機器學習等技術(shù)結(jié)合后，可做到對安全威脅的快速防護、快速檢測、快速響應(yīng)l 安全資源池不僅僅適用于云環(huán)境，還可以部署在傳統(tǒng)IT環(huán)境，其彈性、敏捷的特性可能會誕生出新的安全防護手段l 軟件定義安全是理念，最后可能融合到NG-SOC/SIEM、自適應(yīng)安全、彈性服務(wù)等產(chǎn)品中29