2015 绿盟科技软件定义安全 SDS 白皮书 2015 NSFOCUS Software Defined Security Whitepaper h t i g b u m o c . 5 导读 Challenge 业界对云计算的研究及实践由来已久,但随之来而的云安全问题,需要有一套云环境中的安全建设及运维的框架和方法,同时更 需要用户、云计算厂商与安全厂商多方协作实践的经验。面对这样的挑战,多年来,绿盟科技与国际云安全联盟(CSA),与全 球各大开源和商用的虚拟化平台,与 SDN 控制器项目和厂商进行了深入合作,积累了一定的经验。 Content 本文着重阐述如何使用新技术和新架构,实现下一代软件定义(SDS)安全防护体系。首先介绍目前业界现状和相关工作,接着 给出 SDS 架构,然后分别介绍安全应用商店、安全控制平台和安全设备的重构,最后给出若干绿盟科技的实践案例。 Benefits 读者通过本文档可以了解软件定义安全(SDS)架构的构建及实践经验,为建立适合自己的云计算平台安全中长期的方案规划、 设计和管理,获取理论支撑。如果读者欲了解如何在私有云当前的体系实现安全防护,请关注绿盟科技《私有云安全技术解决方 案》白皮书。 目录 m o c . 5 图表 “软件定义”之百家论 3 最好的时代,也是最坏的时代 3 软件定义=银弹? 4 软件定义安全体系概述 4 图 1.1 SDN 典型架构 ..................................................................................................................... 5 图 1.2 安全防护体系架构........................................................................................................... 5 图 1.3 APPStore 设计 ................................................................................................................. 7 b u 图 1.4 基于安全控制平台的软件定义安全架构 ........................................................ 7 图 1.5 安全控制平台的结构 ..................................................................................................... 8 图 1.6 多种形态的安全设备资源集成............................................................................... 9 ti h 图 1.7 面向安全控制平台的安全设备重构 ................................................................. 10 6 软件定义安全体系的设计 整体方案 APPStore 安全控制平台 安全设备资源池化 安全设备重构 软件定义的云安全实践 g 图 1.9 使用 SDN 技术的安全设备部署图.................................................................. 12 6 图 1.10 使用 SDN 技术实现流量牵引的原理图 .................................................... 12 6 图 1.11 使用 SDN 技术实现服务链 ................................................................................. 13 7 图 1.12 支持服务链的硬件交付模式 ............................................................................... 15 9 图 1.13 使用安全控制平台实现 DDoS 检测和清洗 ........................................... 16 9 图 1.14 处理延迟的累计概率函数 .................................................................................... 16 10 部署模式 10 安全设备的交付形态 14 DDoS 检测清洗 15 APT 攻击检测和防护 17 Web 安全应用 18 软件定义安全 SDS 图 1.8 安全设备部署图 ............................................................................................................. 11 21 图 1.15 软件定义的 APT 防护流程 ................................................................................. 17 图 1.16 流检测和数据载荷检测的协同 ......................................................................... 18 图 1.17 在线的 Web 防护界面 ........................................................................................... 18 图 1.18 在线的 Web 防护流程........................................................................................... 19 图 1.19 多设备协同的 Web 安全应用 .......................................................................... 19 图 1.20 Web 应用脆弱性评估 ............................................................................................ 20 图 1.21 Web 应用脆弱性评估报表 .................................................................................. 20 图 1.22 扫描网站出现漏洞后可启用防护................................................................... 20 图 1.23 Web 安全应用协同原理 ...................................................................................... 21 作者和贡献者 22 Note: 本文展现了绿盟科技在云安全方面的探索,本文涉及的概念、 关注软件定义安全 SDS 22 架构和相关实践工作,并不代表已有相应可销售的产品。 前言 随着网络安全已成为国家层面的对抗,国内政府、企业和各大机构对自身的信息安全日益重视。2014 年中国已成立了习近 平总书记领导的中央网络安全和信息化领导小组,负责制定实施国家网络安全和信息化发展战略。各大企业也纷纷组建自己的安 全团队和安全应急响应中心,通过专业化的安全运维提升自身的安全防护能力。 然而网络攻击数量逐年增加,安全形势不容乐观,很多传统的安全防护手段在新型的攻击下低效甚至失效。根据绿盟科技统 计,在云计算信息系统方面,VMware 虚拟化系统共出现过 222 个漏洞,其中高危 52 个,过去一年内中披露了 11 个漏洞;全球 最大的开源 IaaS 系统 Openstack 共披露了 68 个漏洞,过去一年就有 14 个漏洞,其中高危 1 个。这些漏洞无疑为外部或内部攻 击者提供了极其便利的攻击手段。在 Verizon 的最新的《2015 Data Breach Investigations Report》报告中提到,一次定向攻击 从开始到数据窃取平均只需数小时,而防守方从攻击开始到检测完成则需数月。可见安全界亟需改造自身的安全防护体系,以快 速响应应对漏洞利用攻击,以威胁情报分析应对隐秘威胁。 不仅如此,新的技术出现也在考验原有的网络安全防护体系。云计算等技术的迅猛发展,已在深刻改变传统的 IT 基础设施、 应用、数据以及 IT 运营管理。特别对于安全管理来说,一些新技术,如软件定义网络(SDN,Software Defined-Networking)、 网络功能虚拟化(NFV,Network Function Virtualization),既是挑战,也是机遇。 m o c . 5 首先,作为新技术,云计算引入了新的威胁和风险,进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管 理体系,如网络与信息系统的安全边界的划分和防护、安全控制措施选择和部署、安全评估和审计、安全监测和安全运维等许多 方面。其次,云计算的资源弹性、按需调配、高可靠性及资源集中化等都间接增强或有利于安全防护,同时也给安全措施改进和 升级、安全应用设计和实现、安全运维和管理等带来了信息机遇,也推进了安全服务内容、实现机制和交付方式的创新和发展。 b u 软件定义的理念正在改变 IT 基础设施的方方面面,如计算、存储和网络,最终成为软件定义一切(Software Defined Everything)。这“一切”必然包含安全,软件定义的安全体系将是今后安全防护的一个重要前进方向。 h t i g “软件定义”之百家论 最好的时代,也是最坏的时代 在近五年,互联网已发生巨大的变化,无论是基础设施,还是终端设备,无一不在重构我们的生活。 这是一个最好的时代,云计
绿盟 2015绿盟科技软件定义安全SDS白皮书
文档预览
中文文档
23 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共23页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-07-17 01:16:44上传分享