软件定义安全(2016)

1软件定义安全（2016）SoftwareDefined-Security2016绿盟科技2软件定义安全架构SDSArchitecture背景介绍软件定义安全架构软件定义安全！=云/SDN安全013背景介绍网络空间安全受到了空前的重视网络安全已成为国家战略网络安全法，《网络产品和服务安全审查办法》，…安全厂商层层防护，但互联网上的安全事件不减反增修复漏洞平均花费两周，而攻击者从发动攻击到窃取数据往往仅需数小时Mirai，乌克兰电力门，Ransomeware，Swift系统$8100w盗窃，OpenSSL，Struct2，……一个最好的时代，也是一个最坏的时代4软件定义安全理念•连接协同•有机结合多种安全机制，实现协同防护、检测和响应；•敏捷处置•在出现异常时进行智能化的判断和决策，自动化地产生安全策略，并通过安全平台快速分发到具有安全能力的防护主体；•随需而变•当安全事件爆出后，攻击者的攻击方法更新很快，那么就要求防护者能紧跟甚至超过攻击者，以快制快，在数据泄露的窗口期内阻止攻击者。软件定义安全是将通过安全数据平面与控制平面分离，对物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行了解耦，底层抽象为安全资源池里的资源，顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理，以完成相应的安全功能，从而实现一种灵活的安全防护。在2016年7月Gartner发布的《2016年新兴技术成熟度曲线》报告中，软件定义安全在成熟度曲线上已经有明显的移动，越过了成熟度曲线的最高点。对此，报告的评论是“安全供应商继续将更多策略管理从个别硬件元素移动到一个基于软件的管理平面，以便保证指定安全策略的灵活性。因此，软件定义安全为安全策略的执行带来速度和敏捷性”。5•不再假设防护（Protection）能实现万无一失的安全•更强调检测（洞见）和响应（敏捷）的能力•更重要的是将这四个步骤有机的进行编排，实现针对不同攻击的动态防御百家论之自适应安全6•Phantom：RSAC2016创新沙盒Winner，从应用层入手，构建自动化、可编排的安全应用体系，支持多种数据源和主流的SIEM平台；同时，可以让安全管理团队编写脚本Playbook，调用相应的安全服务，实现安全运维自动化•ResilientSystem：被IBM收购，推出弹性的灾难恢复服务•编排引擎可以软件定义安全为支撑体系，利用北向应用编排机制进行安全资源和策略的灵活调配，实现多种防护手段的协同运作百家论之应用编排7•GoogleBeyondCorp•彻底打破内外网之别，通过统一的访问控制引擎，管理不同用户对不同资源的访问，而不将用户和资源的位置作为决策依据•SkyportSystems•基于TPM的虚拟化零信任访问控制体系•CSASDP•面向企业关键基础设施的集中访问控制体系•VMWareMicro-Segmentation•虚拟化环境中的东西向内部网络访问控制百家论之零信任/微分段8软件定义安全！=云/SDN安全软件定义安全：安全数据控制分离的理念，实现安全运营自动化…云/SDN安全：防护云中（SDN网络）的设施和业务安全软件定义安全的理念可能最早会在安全防护得到体现开放接口敏捷弹性的资源池助力SDN/NFV的支持安全及服务满足SMB客户软件定义安全与云/SDN安全9软件定义安全架构与云/SDN安全控制平台IPS基础设施管理平台APP1APP2APPn…服务编排设备资源池库对接运营平台APPiAPP1应用商店客户环境IPSIPSWAWAFWAFFWFWFWInternet安全资源池SDN控制器对接10安全编排：一切防护皆软件定义应用编排在线商店0211应用编排：软件定义安全的灵魂软件化、自动化和敏捷性都是通过面向不同场景的安全应用所体现的多应用协同进行编排可实现复杂的安全功能例如，用户行为画像应用由以下应用组合而成网络流量分析应用，对收集到的流量进行格式化、建模，建立正常访问基线；资产分析应用评估出企业的重要资产，结合企业已有的ERP和CRM系统的API获得员工身份信息；安全审计应用获得安全设备上传的实时日志；UEBA（UserandEntityBehaviorAnalytics）应用将上述多维度的信息和访问记录还原成可理解的用户和个体行为，从而找到如离职员工访问内网的数据库等异常事件。12•改变了安全应用的交付模式•加快了安全应急响应的速度安全应用商店查找应用购买应用下载应用部署应用运行应用寻找销售确定售前方案下单订购等待生产出厂运输到货安装设备工程调试运行10分钟20分钟5分钟10天-1月1周-2月1天-1月应用商店模式的上线时间分析传统安全产品的上线时间分析13应用商店首页14应用商店查看应用15应用商店部署应用16资源池：按需而变的安全能力软件定义安全的落地难题安全资源池架构基于资源池的云环境安全防护0317软件定义安全应用在云环境的落地困境难点：安全产品的虚拟化及适配云平台Hypervisor较为困难安全设备的证书体系在云平台中不能直接适用。安全方案无法控制云平台的内部流量。资源池（见图）：打通最后一环Internet安全控制平台对接运营平台抗APTAPP访问控制APP绿盟云MSS/SaaS/APPStore服务编排支持设备资源池化知识库网络控制策略推送资产管理日志分析适配应用vIPSIPSIPSWAvWAFWAFFWvFWFWoverlay设施SwitchSwitchSwitchvSwitchvSwitchVMVMVMVMVMVM控制SDN控制器TEAPPSecAPP资源池云管理平台安全资源池181种逻辑结构=n种物理形态→资源池化SecurityAgentVFWVIPSFWvsysEngineSecurityAgentVFWVWAFFWOverlayNetworkPhysicalNetworkFWvsys安全控制平台HighAvailabilityFailureRecoveryScalabilityServiceChainLoadBalanceAPPAPPAPP19资源池架构硬件防火墙硬件防火墙硬件清洗设备虚拟防火墙虚拟IPS虚拟防火墙虚拟WAF虚拟防火墙虚拟防火墙虚拟IPS虚拟防火墙虚拟WAF安全控制平台安全资源池网络控制器业务系统通用服务器硬件agentagentagentagentagent通用服务器硬件通用服务器硬件通用服务器硬件计算节点VMVMVMVM安全资源池虚拟IPSagent计算节点VMVMVMVM虚拟IPSagent计算节点VMVMVMVM多种形态的安全设备通过池化形成一个个安全资源池资源池按需提供安全能力安全资源池与其他基础设施一起构建SDx20云环境中基于安全资源池实现南北向服务链SDN控制器安全节点安全控制平台Openflow指令vswitch输入网卡输出网卡IPSWAFFWvswitch输入网卡输出网卡IPSWAFIPSvswitch输入网卡输出网卡IPSWAFFW安全节点SecurityFabric数据中心入口云系统入口OverlayNetworkagentagentagent21安全控制平台SDN控制器云计算控制节点计算节点hypervisorVM1VM2VM3vswitch网卡安全节点hypervisorvswitch输出网卡输入网卡Rack交换机IPSFWWAFOpenflow指令云系统流量调度指令SDN控制器资源池内部流量调度指令云环境中基于安全资源池实现东西向服务链22软件定义安全实践面向混合云和移动办公的自适应访问控制使用服务链+微分段技术的云计算Web安全服务可编排的应急响应/弹性服务0423GW/FW11GW/FW2租户A租户B子网1子网2子网1子网2管理网络vRouter/FWaaS2vRouter/FWaaS1微分段1微分段2微分段3微分段4VMVMVMVMVMVMVMVMVMVMVPN隧道用户网络1公共无线网络租户A企业网络互联网云物理网络虚拟网络问题：企业网络环境日益复杂，防护难度不断提高引入BYOD部署私有云连接公有云远程接入需求：统一的访问控制机制方案：集中访问控制应用+流控制+服务链+vDPI面向混合云和移动办公的自适应访问控制24•Garnter:AdaptiveAccessControl一些先进的访问控制模型和方案•CSA:SDP(Perimeter)•Checkpoint：SDP(Protection)25SDN交换机Tunnel10.201.0.1VswitchVswitch外部网关30.0.0.1192.168.19.1互联网传统交换机30.0.0.30虚拟内网WAFIDSFW软件定义的边界租户虚拟路由器企业网络认证服务BYOD网络微分段微分段SDN控制无线和有线网络准入FWaaS控制云中访问控制NFV安全设备组成服务链进行深度安全检测集中访问控制应用实现多网络环境的统一访问控制机器学习实现访问基线建立和基于上下文的访问控制访问控制系统示意图26HRWebHRDBERPWebERPDB管理管理管理域HR维护租户ERP维护租户官网Web官网DB官网维护租户使用服务链+微分段技术的云计算Web安全服务27可编排的应急响应/弹性服务发布安全事件告知客户全周期推送该事件进展安全资讯组件MSS&SaaS组件应急响应组件数据分析平台账户体系支付体系安全服务7x24安全运营专家/应急响应团队编辑/营销/资讯源消息/插件推送架构研发云端应急响应系统支持第三方账户关联，在线支付安全插件支持即插即用消息推送支持电话、短信、手机消息推送等友好高效的服务查询和管理运营授权/运营情况查询，支持多种与专家的沟通途径ERP订单管理基础设施人力团队销售/客户关系安全教程，品牌营销判断用户的代维服务器是否存在安全漏洞，如有则实时推送，并通过MSS进行快速响应授权云端处置安全厂商应该提供弹性服务（ResilientService），为企业提供预测、防护、检测和响应服务，通过模板提供自动化的处置流程，应对各种类型的安全事件，缩短整体处理时间。28Tosumupandsomedeductions…软件定义安全不等于SDN安全，但两者有千丝万缕的关系软件定义安全可以重构整个安全防护体系，特别是与大数据分析、机器学习等技术结合后，可做到对安全威胁的快速防护、快速检测、快速响应安全资源池不仅仅适用于云环境，还可以部署在传统IT环境，其弹性、敏捷的特性可能会诞生出新的安全防护手段软件定义安全是理念，最后可能融合到NG-SOC/SIEM、自适应安全、弹性服务等产品中29