绿盟 2015绿盟科技软件定义安全SDS白皮书

2015 绿盟科技软件定义安全 SDS 白皮书 2015 NSFOCUS Software Defined Security Whitepaper h t i g b u m o c . 5 导读 Challenge 业界对云计算的研究及实践由来已久，但随之来而的云安全问题，需要有一套云环境中的安全建设及运维的框架和方法，同时更需要用户、云计算厂商与安全厂商多方协作实践的经验。面对这样的挑战，多年来，绿盟科技与国际云安全联盟（CSA），与全球各大开源和商用的虚拟化平台，与 SDN 控制器项目和厂商进行了深入合作，积累了一定的经验。 Content 本文着重阐述如何使用新技术和新架构，实现下一代软件定义（SDS）安全防护体系。首先介绍目前业界现状和相关工作，接着给出 SDS 架构，然后分别介绍安全应用商店、安全控制平台和安全设备的重构，最后给出若干绿盟科技的实践案例。 Benefits 读者通过本文档可以了解软件定义安全（SDS）架构的构建及实践经验，为建立适合自己的云计算平台安全中长期的方案规划、设计和管理，获取理论支撑。如果读者欲了解如何在私有云当前的体系实现安全防护，请关注绿盟科技《私有云安全技术解决方案》白皮书。目录 m o c . 5 图表 “软件定义”之百家论 3 最好的时代，也是最坏的时代 3 软件定义=银弹？ 4 软件定义安全体系概述 4 图 1.1 SDN 典型架构 ..................................................................................................................... 5 图 1.2 安全防护体系架构........................................................................................................... 5 图 1.3 APPStore 设计 ................................................................................................................. 7 b u 图 1.4 基于安全控制平台的软件定义安全架构 ........................................................ 7 图 1.5 安全控制平台的结构 ..................................................................................................... 8 图 1.6 多种形态的安全设备资源集成............................................................................... 9 ti h 图 1.7 面向安全控制平台的安全设备重构 ................................................................. 10 6 软件定义安全体系的设计整体方案 APPStore 安全控制平台安全设备资源池化安全设备重构软件定义的云安全实践 g 图 1.9 使用 SDN 技术的安全设备部署图.................................................................. 12 6 图 1.10 使用 SDN 技术实现流量牵引的原理图 .................................................... 12 6 图 1.11 使用 SDN 技术实现服务链 ................................................................................. 13 7 图 1.12 支持服务链的硬件交付模式 ............................................................................... 15 9 图 1.13 使用安全控制平台实现 DDoS 检测和清洗 ........................................... 16 9 图 1.14 处理延迟的累计概率函数 .................................................................................... 16 10 部署模式 10 安全设备的交付形态 14 DDoS 检测清洗 15 APT 攻击检测和防护 17 Web 安全应用 18 软件定义安全 SDS 图 1.8 安全设备部署图 ............................................................................................................. 11 21 图 1.15 软件定义的 APT 防护流程 ................................................................................. 17 图 1.16 流检测和数据载荷检测的协同 ......................................................................... 18 图 1.17 在线的 Web 防护界面 ........................................................................................... 18 图 1.18 在线的 Web 防护流程........................................................................................... 19 图 1.19 多设备协同的 Web 安全应用 .......................................................................... 19 图 1.20 Web 应用脆弱性评估 ............................................................................................ 20 图 1.21 Web 应用脆弱性评估报表 .................................................................................. 20 图 1.22 扫描网站出现漏洞后可启用防护................................................................... 20 图 1.23 Web 安全应用协同原理 ...................................................................................... 21 作者和贡献者 22 Note: 本文展现了绿盟科技在云安全方面的探索，本文涉及的概念、关注软件定义安全 SDS 22 架构和相关实践工作，并不代表已有相应可销售的产品。前言随着网络安全已成为国家层面的对抗，国内政府、企业和各大机构对自身的信息安全日益重视。2014 年中国已成立了习近平总书记领导的中央网络安全和信息化领导小组，负责制定实施国家网络安全和信息化发展战略。各大企业也纷纷组建自己的安全团队和安全应急响应中心，通过专业化的安全运维提升自身的安全防护能力。然而网络攻击数量逐年增加，安全形势不容乐观，很多传统的安全防护手段在新型的攻击下低效甚至失效。根据绿盟科技统计，在云计算信息系统方面，VMware 虚拟化系统共出现过 222 个漏洞，其中高危 52 个，过去一年内中披露了 11 个漏洞；全球最大的开源 IaaS 系统 Openstack 共披露了 68 个漏洞，过去一年就有 14 个漏洞，其中高危 1 个。这些漏洞无疑为外部或内部攻击者提供了极其便利的攻击手段。在 Verizon 的最新的《2015 Data Breach Investigations Report》报告中提到，一次定向攻击从开始到数据窃取平均只需数小时，而防守方从攻击开始到检测完成则需数月。可见安全界亟需改造自身的安全防护体系，以快速响应应对漏洞利用攻击，以威胁情报分析应对隐秘威胁。不仅如此，新的技术出现也在考验原有的网络安全防护体系。云计算等技术的迅猛发展，已在深刻改变传统的 IT 基础设施、应用、数据以及 IT 运营管理。特别对于安全管理来说，一些新技术，如软件定义网络（SDN，Software Defined-Networking）、网络功能虚拟化（NFV，Network Function Virtualization），既是挑战，也是机遇。 m o c . 5 首先，作为新技术，云计算引入了新的威胁和风险，进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管理体系，如网络与信息系统的安全边界的划分和防护、安全控制措施选择和部署、安全评估和审计、安全监测和安全运维等许多方面。其次，云计算的资源弹性、按需调配、高可靠性及资源集中化等都间接增强或有利于安全防护，同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了信息机遇，也推进了安全服务内容、实现机制和交付方式的创新和发展。 b u 软件定义的理念正在改变 IT 基础设施的方方面面，如计算、存储和网络，最终成为软件定义一切（Software Defined Everything）。这“一切”必然包含安全，软件定义的安全体系将是今后安全防护的一个重要前进方向。 h t i g “软件定义”之百家论最好的时代，也是最坏的时代在近五年，互联网已发生巨大的变化，无论是基础设施，还是终端设备，无一不在重构我们的生活。这是一个最好的时代，云计