安全視角看虛擬網(wǎng)絡(luò)和SDNPPT通用課件

1、安全視角看虛擬網(wǎng)絡(luò)和SDN1潘柱廷、葉潤(rùn)國(guó)啟明星辰公司未來(lái)網(wǎng)絡(luò)虛擬片層的安全安全視角看虛擬網(wǎng)絡(luò)和SDN等云安全摘要虛擬化是云計(jì)算等新興計(jì)算技術(shù)實(shí)現(xiàn)的關(guān)鍵之一，包括服務(wù)器虛擬化、存儲(chǔ)虛擬化、虛擬客戶端、應(yīng)用虛擬化、網(wǎng)絡(luò)虛擬化等等。其中服務(wù)器、存儲(chǔ)、客戶端的虛擬化都可以被理解為空間節(jié)點(diǎn)的虛擬化，而常被提到的虛擬交換機(jī)技術(shù)還只是局部網(wǎng)絡(luò)空間的虛擬化。而在軟件定義網(wǎng)絡(luò)SDN等技術(shù)所代表的發(fā)展趨勢(shì)看，真正覆蓋較大范圍的虛擬化網(wǎng)絡(luò)必將出現(xiàn)。本演講試圖探討網(wǎng)絡(luò)空間的根本性變化所帶來(lái)網(wǎng)絡(luò)安全理論、方法和技術(shù)的變化。幾個(gè)不得不搞清楚的概念安全的本質(zhì)安全服務(wù)網(wǎng)絡(luò)的本質(zhì)傳統(tǒng)網(wǎng)絡(luò)（非虛擬網(wǎng)絡(luò)）的本質(zhì)體現(xiàn)虛擬網(wǎng)絡(luò)的本質(zhì)

2、體現(xiàn)4安全、網(wǎng)絡(luò)、虛擬5安全、網(wǎng)絡(luò)、虛擬首先我們先簡(jiǎn)單回顧一下那些不變的安全本質(zhì)。6安全的方方面面加密強(qiáng)認(rèn)證防火墻入侵檢測(cè)國(guó)家戰(zhàn)略攻擊檢測(cè)滲透測(cè)試組織體系制度/規(guī)則多功能網(wǎng)關(guān)UTM工作流審計(jì)管理平臺(tái)風(fēng)險(xiǎn)評(píng)估等級(jí)保護(hù)體系結(jié)構(gòu)規(guī)劃/計(jì)劃云模式項(xiàng)目管理監(jiān)控/預(yù)警冗余/備份應(yīng)急響應(yīng)合規(guī)性要求首席安全官安全專(zhuān)家三觀論宏觀/中觀/微觀量化/指標(biāo)化合作/外包管理理念涉密系統(tǒng)安全病毒/蠕蟲(chóng)分布式拒絕服務(wù)攻擊辦公安全網(wǎng)上銀行骨干網(wǎng)網(wǎng)站安全ERP服務(wù)器安全火災(zāi)/水災(zāi)設(shè)備故障內(nèi)部人員作案網(wǎng)絡(luò)滲透網(wǎng)絡(luò)嗅探核心業(yè)務(wù)電磁泄漏終端安全文檔安全誤操作垃圾信息安全事件漏洞/脆弱性黑客業(yè)務(wù)邏輯衛(wèi)星通訊業(yè)務(wù)大集中數(shù)據(jù)中心線路中斷涉

3、密系統(tǒng)安全病毒/蠕蟲(chóng)分布式拒絕服務(wù)攻擊辦公安全網(wǎng)上銀行骨干網(wǎng)網(wǎng)站安全ERP服務(wù)器安全火災(zāi)/水災(zāi)設(shè)備故障內(nèi)部人員作案網(wǎng)絡(luò)滲透網(wǎng)絡(luò)嗅探核心業(yè)務(wù)電磁泄漏終端安全文檔安全誤操作垃圾信息安全事件漏洞/脆弱性黑客業(yè)務(wù)邏輯衛(wèi)星通訊業(yè)務(wù)大集中數(shù)據(jù)中心線路中斷梳理手上的牌加密強(qiáng)認(rèn)證防火墻入侵檢測(cè)國(guó)家戰(zhàn)略攻擊檢測(cè)滲透測(cè)試組織體系制度/規(guī)則多功能網(wǎng)關(guān)UTM工作流審計(jì)管理平臺(tái)風(fēng)險(xiǎn)評(píng)估等級(jí)保護(hù)體系結(jié)構(gòu)規(guī)劃/計(jì)劃云模式項(xiàng)目管理監(jiān)控/預(yù)警冗余/備份應(yīng)急響應(yīng)合規(guī)性要求首席安全官安全專(zhuān)家三觀論宏觀/中觀/微觀量化/指標(biāo)化合作/外包管理理念資產(chǎn)威脅措施 最精簡(jiǎn)的風(fēng)險(xiǎn)管理要素不變的三類(lèi)信息安全核心技術(shù)基于密碼技術(shù)的認(rèn)證加密等技術(shù)措

4、施基于攻防技術(shù)的檢測(cè)響應(yīng)技術(shù)措施基于風(fēng)險(xiǎn)管理思想的體系化方法和措施安全的原則和思路風(fēng)險(xiǎn)三要素需求驅(qū)動(dòng)力矩陣PPT結(jié)構(gòu)三大類(lèi)安全技術(shù)PDR及PDCERF通用檢測(cè)模型分層和分域，三觀論Zachman(nW1H, 虛實(shí)層)流和時(shí)空安全域+業(yè)務(wù)流基于時(shí)間和基于緩沖的安全結(jié)構(gòu)和解構(gòu)安全度量和安全可視化生命周期三大過(guò)程敏捷和瀑布模式君臣佐使的配伍思想可信與可控云模式、虛擬化大數(shù)據(jù)分析解決APT宏觀態(tài)勢(shì)感知安全、網(wǎng)絡(luò)、虛擬12形形色色的網(wǎng)絡(luò)交通運(yùn)輸網(wǎng)，郵政網(wǎng)，電話通信網(wǎng)，計(jì)算機(jī)網(wǎng)，互聯(lián)網(wǎng)，萬(wàn)維網(wǎng)社會(huì)關(guān)系網(wǎng)，產(chǎn)品供銷(xiāo)網(wǎng)，金融借貸網(wǎng)智能電網(wǎng)，無(wú)線網(wǎng)，傳感網(wǎng)，物聯(lián)網(wǎng)神經(jīng)網(wǎng)，生物代謝網(wǎng)，食物鏈（網(wǎng)）攻守同盟網(wǎng)，恐怖

5、主義網(wǎng)絡(luò)人人網(wǎng)，新浪微博網(wǎng)，QQ，團(tuán)購(gòu)網(wǎng)13當(dāng)我們想到“網(wǎng)絡(luò)”這個(gè)詞語(yǔ).節(jié)點(diǎn)：vertex,point邊：連接,鏈接,關(guān)系,聯(lián)系；edge,link聯(lián)系14網(wǎng)絡(luò)中的路徑以點(diǎn)的關(guān)系為主，不關(guān)注路徑社交網(wǎng)絡(luò)路徑不固定，會(huì)按需臨時(shí)建立無(wú)線網(wǎng)絡(luò)、物聯(lián)網(wǎng)、無(wú)線傳感網(wǎng)、DTN等路徑連接著點(diǎn)，數(shù)據(jù)在路徑上流動(dòng)互聯(lián)網(wǎng)、局域網(wǎng)更抽象更具體15安全、網(wǎng)絡(luò)、虛擬節(jié)點(diǎn)、連接結(jié)構(gòu)(路徑.)16安全、網(wǎng)絡(luò)、虛擬17業(yè)務(wù)流業(yè)務(wù)流網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)、虛擬20虛擬化常被提到的虛擬化服務(wù)器虛擬化存儲(chǔ)虛擬化桌面虛擬化應(yīng)用虛擬化網(wǎng)絡(luò)虛擬化虛擬服務(wù)器虛擬存儲(chǔ)虛擬桌面虛擬應(yīng)用虛擬網(wǎng)絡(luò)設(shè)備應(yīng)用片層系統(tǒng)片層網(wǎng)絡(luò)片層21網(wǎng)絡(luò)虛擬化的不同范圍包

6、節(jié)點(diǎn)域22網(wǎng)絡(luò)虛擬化的不同范圍包節(jié)點(diǎn)域23網(wǎng)絡(luò)虛擬化-虛擬交換機(jī)軟件模塊、VM數(shù)據(jù)交換；局限在物理服務(wù)器中與物理L2交換機(jī)兼容，可以構(gòu)建VLAN代表：Vmware vSwitch、Linux Bridge存在的問(wèn)題流量不可見(jiàn)問(wèn)題網(wǎng)絡(luò)隔離問(wèn)題管理復(fù)雜問(wèn)題策略一致性問(wèn)題網(wǎng)絡(luò)性能問(wèn)題應(yīng)用程序操作系統(tǒng)應(yīng)用程序操作系統(tǒng)應(yīng)用程序操作系統(tǒng)VMM虛擬化服務(wù)器VM3VM1VM2物理交換機(jī)虛擬交換機(jī)VM間流量不可見(jiàn)問(wèn)題解決方案軟件SPAN、RSPAN和netflow功能硬件交換機(jī)導(dǎo)流方案：VEPA和VN-TAG虛擬交換機(jī)環(huán)境下的安全產(chǎn)品部署部署串行網(wǎng)關(guān)部署旁路檢測(cè)操作系統(tǒng)應(yīng)用程序操作系統(tǒng)應(yīng)用程序操作系統(tǒng)應(yīng)用程序操

7、作系統(tǒng)應(yīng)用程序HypervisorvSwitch1vSwitch2vSwitch3Tenant ATenant B混雜端口混雜端口Public Network26網(wǎng)絡(luò)虛擬化的不同范圍包節(jié)點(diǎn)域27網(wǎng)絡(luò)虛擬化-分布式虛擬交換機(jī)可擴(kuò)展到多個(gè)物理服務(wù)器，集中管理平面，簡(jiǎn)化網(wǎng)絡(luò)管理典型代表：Vmware vDS、Cisco 1KV和Openvswitch存在的問(wèn)題大二層扁平網(wǎng)絡(luò)：廣播風(fēng)暴，VLAN局限性虛擬和物理網(wǎng)絡(luò)隔離問(wèn)題MAC表爆炸跨子網(wǎng)遷移問(wèn)題操作系統(tǒng)應(yīng)用程序操作系統(tǒng)應(yīng)用程序操作系統(tǒng)應(yīng)用程序操作系統(tǒng)應(yīng)用程序操作系統(tǒng)應(yīng)用程序操作系統(tǒng)應(yīng)用程序操作系統(tǒng)應(yīng)用程序操作系統(tǒng)應(yīng)用程序操作系統(tǒng)應(yīng)用程序分布式虛擬交

8、換機(jī)虛擬交換機(jī)虛擬交換機(jī)虛擬交換機(jī)分布式虛擬交換機(jī)管理中心管理平面數(shù)據(jù)平面分布式交換機(jī)環(huán)境下的安全部署vDS1vDS2APPOSAPPOSAPPOSTenant A (VLAN101)public networkESX1ESX2APPOSTenant B (VLAN102)旁路IDS串行網(wǎng)關(guān)旁路IDSSPAN/RSPANSPAN/RSPAN29網(wǎng)絡(luò)虛擬化的不同范圍包節(jié)點(diǎn)域30網(wǎng)絡(luò)虛擬化正在拖云計(jì)算后腿任意物理位置計(jì)算資源池存儲(chǔ)資源池計(jì)算和存儲(chǔ)虛擬化物理網(wǎng)絡(luò)虛擬機(jī)和客戶業(yè)務(wù)仍然被物理服務(wù)器和物理網(wǎng)絡(luò)拓?fù)涫`網(wǎng)絡(luò)設(shè)備虛擬化任意應(yīng)用 / 數(shù)據(jù)解耦合虛擬機(jī)無(wú)法跨網(wǎng)移動(dòng)，無(wú)法高度共享VLAN只能提供有限

9、的租戶隔離能力缺乏可編程的靈活網(wǎng)絡(luò)控制能力網(wǎng)絡(luò)局部虛擬化導(dǎo)致的問(wèn)題硬件依賴問(wèn)題（配置虛擬網(wǎng)絡(luò)需要配置硬件，私有API）網(wǎng)絡(luò)隔離問(wèn)題（MAC表爆炸/虛擬IP不重疊/VM跨網(wǎng)遷移）服務(wù)升級(jí)問(wèn)題（硬件服務(wù)依賴，升級(jí)周期長(zhǎng)，成本高）可擴(kuò)展性問(wèn)題（虛擬域和應(yīng)用隔離需求，VLAN數(shù)量有限）安服集成困難（實(shí)施點(diǎn)苛刻，串行網(wǎng)關(guān)，動(dòng)態(tài)虛擬邊界）云計(jì)算需要全網(wǎng)絡(luò)域的虛擬化任意物理位置計(jì)算資源池存儲(chǔ)資源池計(jì)算虛擬化/存儲(chǔ)虛擬化/網(wǎng)絡(luò)虛擬化物理網(wǎng)絡(luò)設(shè)備資源池虛擬網(wǎng)絡(luò)片層（Network Hypervisor）任意應(yīng)用 / 數(shù)據(jù)解耦合解耦合兩層獨(dú)立發(fā)展軟件定義網(wǎng)絡(luò)VM跨網(wǎng)遷移底層硬件維護(hù)高共享資源池虛擬網(wǎng)絡(luò)片層-適合云

10、的網(wǎng)絡(luò)虛擬化上層虛擬網(wǎng)絡(luò)和底層網(wǎng)絡(luò)硬件分離，硬件維護(hù)簡(jiǎn)單，網(wǎng)絡(luò)資源共享虛擬網(wǎng)絡(luò)具有物理L2網(wǎng)絡(luò)全部功能，無(wú)縫遷移虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)地址空間隔離虛擬網(wǎng)絡(luò)具有完整生命周期：創(chuàng)建、調(diào)整、刪除SDN/Openflow：虛擬網(wǎng)絡(luò)片層實(shí)現(xiàn)核心技術(shù)Specialized Packet Forwarding HardwareAppAppAppSpecialized Packet Forwarding HardwareAppAppAppSpecialized Packet Forwarding HardwareAppAppAppSpecialized Packet Forwarding HardwareAppA

11、ppAppSpecialized Packet Forwarding HardwareOperatingSystemOperatingSystemOperatingSystemOperatingSystemOperatingSystemAppAppAppAppAppApp應(yīng)用層Network Operating System控制層數(shù)據(jù)層SDN解耦了數(shù)據(jù)、控制及應(yīng)用平面，創(chuàng)造了一個(gè)可編程的網(wǎng)絡(luò)。SDN/Openflow：虛擬網(wǎng)絡(luò)片層實(shí)現(xiàn)核心技術(shù)36ControllerOpenFlow SwitchPC虛擬網(wǎng)絡(luò)片層：傳統(tǒng)SDN/openflow網(wǎng)絡(luò)OpenFlow SwitchOpenFlow S

12、witchOpenFlowProtocolControllerOpenFlow vSwitchPC虛擬網(wǎng)絡(luò)片層：演進(jìn)的虛擬覆蓋網(wǎng)絡(luò)OpenFlow vSwitchOpenFlowProtocolHost1VM2VM4Host2VM1VM3標(biāo)準(zhǔn)物理交換機(jī)L2OverL3 TunnelVXLANNVGRE虛擬網(wǎng)絡(luò)孤島1虛擬網(wǎng)絡(luò)孤島2nicira的NVPN1KV-VXLAN虛擬片層帶來(lái)的獨(dú)特安全問(wèn)題和機(jī)會(huì)獨(dú)特安全問(wèn)題集中控制節(jié)點(diǎn)問(wèn)題，網(wǎng)絡(luò)大腦，確保controller安全，提升controller可用性App安全問(wèn)題，惡意App，app可信，白名單通信安全問(wèn)題，偽造controller，數(shù)據(jù)交換安全

13、規(guī)則沖突問(wèn)題，安全APP和其它App之間規(guī)則沖突，安全策略失效，需要可靠的安全策略實(shí)施框架安全機(jī)會(huì)數(shù)據(jù)平面和控制平面分離模式，集中控制平面易實(shí)現(xiàn)PDP+PEP模式的動(dòng)態(tài)安全策略39虛擬片層環(huán)境下的安全服務(wù)部署安全服務(wù)實(shí)現(xiàn)模式與傳統(tǒng)網(wǎng)絡(luò)有些不同兩種安全服務(wù)部署模式Proactive（靜態(tài)openflow規(guī)則）Reactive （動(dòng)態(tài)openflow規(guī)則）40Reactive模式安全服務(wù)SwitchHost BHost ASwitchSwitchSwitchOpenflow Security Apps全局網(wǎng)絡(luò)視野一致安全策略在線安全決策策略分散執(zhí)行流過(guò)濾防火墻蠕蟲(chóng)掃描檢測(cè)惡意流量牽引網(wǎng)絡(luò)探測(cè)欺騙41流過(guò)濾防火墻實(shí)例VM1()VM2VM3 WebServerAppServerDBServerHTTP, 80HTTP, 8080TDS, 443業(yè)務(wù)拓?fù)銩llow any to access WebServer at Port 80 with HTTPAllow WebServer to access AppServer at 8080 with HTTPAllow AppServer to access DBServer at 443 w