軟件定義安全課件

1、軟件定義安全()軟件定義安全架構SDS Architecture背景介紹軟件定義安全架構軟件定義安全！=云/SDN安全01背景介紹網絡空間安全受到了空前的重視網絡安全已成為國家戰(zhàn)略網絡安全法，網絡產品和服務安全審查辦法，安全廠商層層防護，但互聯(lián)網上的安全事件不減反增修復漏洞平均花費兩周 ，而攻擊者從發(fā)動攻擊到竊取數(shù)據(jù)往往僅需數(shù)小時Mirai，烏克蘭電力門，Ransomeware，Swift系統(tǒng)$8100w盜竊，OpenSSL，Struct 2，一個最好的時代，也是一個最壞的時代軟件定義安全理念連接協(xié)同有機結合多種安全機制，實現(xiàn)協(xié)同防護、檢測和響應；敏捷處置在出現(xiàn)異常時進行智能化的判斷和決策，自

2、動化地產生安全策略，并通過安全平臺快速分發(fā)到具有安全能力的防護主體；隨需而變當安全事件爆出后，攻擊者的攻擊方法更新很快，那么就要求防護者能緊跟甚至超過攻擊者，以快制快，在數(shù)據(jù)泄露的窗口期內阻止攻擊者。軟件定義安全是將通過安全數(shù)據(jù)平面與控制平面分離，對物理及虛擬的網絡安全設備與其接入模式、部署方式、實現(xiàn)功能進行了解耦，底層抽象為安全資源池里的資源，頂層統(tǒng)一通過軟件編程的方式進行智能化、自動化的業(yè)務編排和管理，以完成相應的安全功能，從而實現(xiàn)一種靈活的安全防護。在2016年7月Gartner發(fā)布的2016年新興技術成熟度曲線報告中，軟件定義安全在成熟度曲線上已經有明顯的移動，越過了成熟度曲線的最高點

3、。對此，報告的評論是“安全供應商繼續(xù)將更多策略管理從個別硬件元素移動到一個基于軟件的管理平面，以便保證指定安全策略的靈活性。因此，軟件定義安全為安全策略的執(zhí)行帶來速度和敏捷性”。 不再假設防護（Protection）能實現(xiàn)萬無一失的安全 更強調檢測（洞見）和響應（敏捷）的能力更重要的是將這四個步驟有機的進行編排，實現(xiàn)針對不同攻擊的動態(tài)防御百家論 之 自適應安全Phantom： RSAC 2016創(chuàng)新沙盒Winner，從應用層入手，構建自動化、可編排的安全應用體系，支持多種數(shù)據(jù)源和主流的SIEM平臺；同時，可以讓安全管理團隊編寫腳本Playbook，調用相應的安全服務，實現(xiàn)安全運維自動化 Res

4、ilient System：被IBM收購，推出彈性的災難恢復服務 編排引擎可以軟件定義安全為支撐體系，利用北向應用編排機制進行安全資源和策略的靈活調配，實現(xiàn)多種防護手段的協(xié)同運作百家論 之 應用編排Google BeyondCorp徹底打破內外網之別，通過統(tǒng)一的訪問控制引擎，管理不同用戶對不同資源的訪問，而不將用戶和資源的位置作為決策依據(jù)Skyport Systems基于TPM的虛擬化零信任訪問控制體系CSA SDP面向企業(yè)關鍵基礎設施的集中訪問控制體系VMWare Micro-Segmentation虛擬化環(huán)境中的東西向內部網絡訪問控制百家論 之零信任/微分段軟件定義安全！=云/SDN安全軟

5、件定義安全：安全數(shù)據(jù)控制分離的理念，實現(xiàn)安全運營自動化云/SDN安全：防護云中（SDN網絡）的設施和業(yè)務安全軟件定義安全的理念可能最早會在安全防護得到體現(xiàn)開放接口敏捷彈性的資源池助力SDN/NFV的支持安全及服務滿足SMB客戶軟件定義安全與云/SDN安全軟件定義安全架構與云/SDN安全控制平臺IPS基礎設施管理平臺APP1APP2APPn服務編排設備資源池庫對接運營平臺APPiAPP1應用商店客戶環(huán)境IPSIPSWAWAFWAFFWFWFWInternet安全資源池SDN控制器對接安全編排：一切防護皆軟件定義應用編排在線商店02應用編排：軟件定義安全的靈魂軟件化、自動化和敏捷性都是通過面向不同

6、場景的安全應用所體現(xiàn)的多應用協(xié)同進行編排可實現(xiàn)復雜的安全功能例如，用戶行為畫像應用由以下應用組合而成網絡流量分析應用，對收集到的流量進行格式化、建模，建立正常訪問基線；資產分析應用評估出企業(yè)的重要資產，結合企業(yè)已有的ERP和CRM系統(tǒng)的API獲得員工身份信息；安全審計應用獲得安全設備上傳的實時日志；UEBA（User and Entity Behavior Analytics）應用將上述多維度的信息和訪問記錄還原成可理解的用戶和個體行為，從而找到如離職員工訪問內網的數(shù)據(jù)庫等異常事件。改變了安全應用的交付模式加快了安全應急響應的速度安全應用商店查找應用購買應用下載應用部署應用運行應用尋找銷售確定

7、售前方案下單訂購等待生產出廠運輸?shù)截洶惭b設備工程調試運行10分鐘20分鐘5分鐘10天-1月1周-2月1天-1月應用商店模式的上線時間分析傳統(tǒng)安全產品的上線時間分析應用商店首頁應用商店查看應用應用商店部署應用資源池：按需而變的安全能力軟件定義安全的落地難題安全資源池架構基于資源池的云環(huán)境安全防護03軟件定義安全應用在云環(huán)境的落地困境難點：安全產品的虛擬化及適配云平臺Hypervisor較為困難 安全設備的證書體系在云平臺中不能直接適用。 安全方案無法控制云平臺的內部流量。 資源池（見圖）：打通最后一環(huán)1種邏輯結構=n種物理形態(tài) 資源池化Security AgentVFWVIPSFWvsysEng

8、ineSecurity AgentVFWVWAFFWOverlay NetworkPhysical NetworkFWvsys安全控制平臺HighAvailabilityFailure RecoveryScalabilityService ChainLoad BalanceAPPAPPAPP資源池架構多種形態(tài)的安全設備通過池化形成一個個安全資源池資源池按需提供安全能力安全資源池與其他基礎設施一起構建SDx云環(huán)境中基于安全資源池實現(xiàn)南北向服務鏈SDN控制器安全節(jié)點安全控制平臺Openflow指令vswitchIPSWAFFWvswitchIPSWAFIPSvswitchIPSWAFFW安全節(jié)點S

9、ecurity Fabric數(shù)據(jù)中心入口云系統(tǒng)入口Overlay Networkagentagentagent安全控制平臺SDN控制器云計算控制節(jié)點計算節(jié)點hypervisorVM1VM2VM3vswitch安全節(jié)點hypervisorvswitchRack交換機IPSFWWAFOpenflow指令云系統(tǒng)流量調度指令SDN控制器資源池內部流量調度指令 云環(huán)境中基于安全資源池實現(xiàn)東西向服務鏈軟件定義安全實踐面向混合云和移動辦公的自適應訪問控制使用服務鏈+微分段技術的云計算Web安全服務可編排的應急響應/彈性服務04GW/FW11GW/FW2租戶A租戶B子網1子網2子網1子網2管理網絡vRoute

10、r/FWaaS2vRouter/FWaaS1微分段1微分段2微分段3微分段4VMVMVMVMVMVMVMVMVMVMVPN隧道用戶網絡1公共無線網絡租戶A企業(yè)網絡互聯(lián)網云物理網絡虛擬網絡問題：企業(yè)網絡環(huán)境日益復雜，防護難度不斷提高引入BYOD部署私有云連接公有云遠程接入需求：統(tǒng)一的訪問控制機制方案：集中訪問控制應用+流控制+服務鏈+vDPI面向混合云和移動辦公的自適應訪問控制 Garnter: Adaptive Access Control一些先進的訪問控制模型和方案CSA:SDP(Perimeter)Checkpoint：SDP(Protection)SDN交換機Tunnel10.201.0

11、.1VswitchVswitch外部網關30.0.0.1192.168.19.1互聯(lián)網傳統(tǒng)交換機30.0.0.30虛擬內網WAFIDSFW軟件定義的邊界租戶虛擬路由器企業(yè)網絡認證服務BYOD網絡微分段微分段SDN控制無線和有線網絡準入FWaaS控制云中訪問控制NFV安全設備組成服務鏈進行深度安全檢測集中訪問控制應用實現(xiàn)多網絡環(huán)境的統(tǒng)一訪問控制機器學習實現(xiàn)訪問基線建立和基于上下文的訪問控制訪問控制系統(tǒng)示意圖HR WebHR DBERP WebERP DB管理管理管理域HR維護租戶ERP維護租戶官網Web官網DB官網維護租戶使用服務鏈+微分段技術的云計算Web安全服務可編排的應急響應/彈性服務發(fā)布

12、安全事件告知客戶全周期推送該事件進展安全資訊組件MSS & SaaS組件應急響應組件數(shù)據(jù)分析平臺賬戶體系支付體系安全服務7x24安全運營專家/應急響應團隊編輯/營銷/資訊源消息/插件推送架構研發(fā)云端應急響應系統(tǒng)支持第三方賬戶關聯(lián)，在線支付安全插件支持即插即用消息推送支持電話、短信、手機消息推送等友好高效的服務查詢和管理運營授權/運營情況查詢，支持多種與專家的溝通途徑ERP訂單管理基礎設施人力團隊銷售/客戶關系安全教程，品牌營銷判斷用戶的代維服務器是否存在安全漏洞，如有則實時推送，并通過MSS進行快速響應授權云端處置安全廠商應該提供彈性服務（Resilient Service），為企業(yè)提供預測、防護、檢測和響應服務，通過模板提供自動化的處置流程，應對各種類型的安全事件，縮短整體處理時間。 To sum up and some deducti