两档网络安全云计算环境下的网络安全透视基于秩序的快档和基于知识的深档潘柱廷启明星辰首席战略官中国计算机学会常务理事2013.11.262提纲和逻辑云怎么改变网络安全?云怎么改变网络•什么是网络?关注网络的【流】云里的两档网络安全两档网络安全通用原则3云怎么改变了网络安全?以前业界的主流安全•系统安全类漏洞扫描、渗透测试杀毒、终端安全配置检查•网络边界安全类安全域梳理边界网关:FW、UTM、IPS边界检测:IDS、网络审计•加密类云环境下的困局•系统安全类对系统对象不够了解底层权限获取的差异•网络边界安全类安全域不再是树形关系边界模糊、动态边界位置部署模式变化•加密类4拆解边界困局5云怎么改变了网络?NIST云特性示意图云的哪些特性大大地影响了网络?•宽带网络接入•快速弹性•可测量服务•按需自服务•统一资源池•多租户6云怎么改变了网络?云的哪些特性大大地影响了网络?•宽带网络接入•快速弹性•可测量服务•按需自服务•统一资源池•多租户访问意图宽带服务资源高度灵活资源“集中”资源结构复杂7虚拟化怎么改变了网络?•服务器虚拟化•存储虚拟化•桌面虚拟化•应用虚拟化•网络虚拟化网络节点虚拟化五大虚拟化计算存储终端终端应用网络设备网络设备8SDN怎么改变了网络?节点虚拟化和网络结构虚拟化计算存储终端网络设备网络设备•服务器虚拟化•存储虚拟化•桌面虚拟化•应用虚拟化•网络虚拟化网络节点虚拟化•SDN软件定义网络9不得不问:“什么是网络?”•节点、连接、拓扑结构、域…网、静态结构•路径、流(SDN)、服务、路由…流、传输和访问•IP地址、DNS、Session结构…包、协议和标识•包解析、指令语义…内容和语义10什么在改变网络?•虚拟网络设备的生成、迁移…•服务器和终端节点的生成、迁移、消失…网、静态结构•SDN将静态结构隔离于流和应用•静态结构的变化导致流变化流、传输和访问•…包、协议和标识•希望对应用透明…内容和语义11区别处置“变”与“不变”•…网、静态结构•…流、传输和访问•…包、协议和标识•…内容和语义变相对不变12区别处置“变”与“不变”•…网、静态结构•…流、传输和访问•…包、协议和标识•…内容和语义变网关安全设备的部署包攻击特征解析病毒解析内容过滤用户认证基于N元组的过滤…………相对不变13引申两个层面的网络问题拆分两个层面的安全问题•…网、静态结构•…流、传输和访问•…包、协议和标识•…内容和语义流安全包安全14软件定义虚拟网络安全检测边界【流安全解决方案示例】15虚拟环境下的旁路检测问题•旁路检测要部署在边界•边界问题的根本是什么?边界是静态结构层面的问题•用流的视角来规避并解决复杂边界问题用相对清晰的流问题替换复杂而动态的边界问题16检测需要解决的问题①内在信道②虚拟机位置③网络边界消失④链路流量混杂⑤端口镜像负载过大虚拟化服务器2服务器1虚拟交换机1上行端口虚拟端口A虚拟端口B虚拟端口C虚拟网卡1服务器2虚拟网卡2服务器4虚拟网卡4服务器3虚拟交换机2上行端口虚拟端口A虚拟端口B虚拟端口C虚拟网卡3服务器5虚拟网卡5服务器6虚拟网卡6物理网卡1物理网卡2虚拟化服务器1物理交换机上行端口端口A端口B端口C端口D端口E端口F端口G…...1000Mb1000Mb安全设备NIDS1000Mb?上行端口端口A端口B端口C…...接入物理交换机服务器1网卡1服务器2网卡2服务器3网卡3上行端口端口A端口B端口C…...汇聚物理交换机1000Mb安全设备NIDS(监控业务子网1)1000Mb上行端口端口A端口B端口C…...接入物理交换机服务器4网卡4服务器5网卡5服务器6网卡61000Mb虚拟化前的网络拓扑虚拟化后的网络拓扑业务子网1业务子网2镜像镜像镜像隐蔽信道:NIDS不可见流量服务器3虚拟网卡3immigration①②⑤④③③17边界1•物理网络边界•业务流边界接入交换机PC2PC1PC3NIDS1Audit1uplink汇聚交换机镜像镜像接入交换机PC5PC4PC6uplinkNIDS2Audit2镜像镜像安全域1安全域2防护安全域1防护安全域2安全域1边界流量汇聚点安全域2边界流量汇聚点物理流量汇聚管道(物理网络边界)网络1网络2接入交换机PC2PC1PC3uplink汇聚交换机接入交换机PC5PC4PC6uplink业务网络3业务网络1业务网络218边界2•虚拟化以后的网络物理边界•用业务流的视角去观察VM4VM5VM1VM3VM6VM2vSwitchpSwitchvSwitchESXi1ESXi2uplinkuplink边界?边界?边界?边界?业务网络1业务网络2PC1→VM1PC2→VM2PC3→VM3PC4→VM4PC5→VM5PC6→VM6VM2VM1VM3VM5VM4VM6业务网络319以业务流的视角重构边界•网络虚拟化后物理边界意义弱化、逻辑边界意义加强•虚拟化技术提供了软件定义一切的可能:软件定义的安全检测边界VM2VM1VM3VM5VM4VM6业务网络3NIDS1NIDS2NIDS3NIDS420安全检测边界的划分方法域1域2域3•域1、域2:包含•域2、域3:交叠安全检测边界→安全监控域21设计思想•保留深入虚拟化内部的网络流捕获探针•转移核心计算任务到外部硬件物理设备(分离流问题和包问题)•基于全局拓扑视角指导的分流汇聚•三层分离的解耦合架构–策略管配层–网络流操控层–数据分析层22核心设计思想——分流汇聚•流量操控:捕获→分流→汇聚还原安全域边界,重构边界链路23实现原理图虚拟化服务器VMVMVMvIDS包捕获引擎包检测引擎vIDS包捕获引擎包检测引擎vIDS包捕获引擎包检测引擎虚拟化服务器VMVMVMvIDS包捕获引擎包检测引擎vIDS包捕获引擎包检测引擎vIDS包捕获引擎包检测引擎IDSIDSIDS包捕获导流安全虚拟机包捕获导流安全虚拟机安全策略管配中心VMVMVMVM24实际部署场景图安全域策略管理中心vCenterVM4VM5VM1SecVM1VM3VM6VM2SecVM2RestAPIvSwitchL2SwitchvSwitchNIDS1Audit1NIDS2Audit2汇聚汇聚汇聚汇聚镜像镜像ESXi1ESXi2分流分流抓包(VMXNet3)导流(PCIPassthrough)防护安全域1防护安全域2安全域1边界流量汇聚点安全域2边界流量汇聚点25流安全的根本安全原则26软件定义安全集成边界【流安全解决方案示例】27大边界问题•边界上“流”的情况复杂•安全策略的复杂多样源和目的相关的、应用类型的、流量方面的•糖葫芦串问题•可靠性、单点故障问题•安全处置上功能与性能的矛盾•…28分割流问题、包问题分流设备防火墙普通IPSWEBAV反垃圾邮件安全管理邮件WAF审计流安全管理包安全管理流1流2流3流安全包安全29分割流问题、包问题分流设备防火墙普通IPSWEBAV反垃圾邮件安全管理邮件WAF审计流安全管理包安全管理流1流2流3流安全包安全深度知识原则•对于特定流量,按需进行深度分析•避免不需要的检测•慢速的深度检测不影响其他流的检测良好秩序原则•降低串行风险,提高可靠性•方便集群部署•流量细分,方便安全设备组合使用•便于集中部署安全设备,实现协同防护30【两档网络安全】快速流安全+深度包安全分流设备防火墙普通IPSWEBAV反垃圾邮件安全管理邮件WAF审计流安全管理包安全管理流1流2流3快安全深安全31两档网络安全快速流安全深度包安全对象流流属性和简单包特征包深度包特征和内容速度快相对慢详细程度相对浅深软件定义虚拟网络安全检测边界导流、聚合(及其管理中心)检测资源池(外部高性能硬件检测)软件定义安全集成边界流分拣(SDN和快速头包识别)深度流内包分析其他示例:抗DDoS导流分流(路由设备配合)流量清洗(高速硬件)32思索中…微博@潘柱廷.微刊《信息安全美学》