《計算機網(wǎng)絡安全原理》第15章 網(wǎng)絡安全新技術(shù)

本PPT是電子工業(yè)出版社出版的教材《計算機網(wǎng)絡安全原理》配套教學PPT（部分內(nèi)容的深度和廣度在教材的基礎(chǔ)上有所擴展），作者：吳禮發(fā)本PPT可能直接或間接采用了網(wǎng)上資源、公開學術(shù)報告中的部分PPT頁面、圖片、文字，引用時我們力求在該PPT的備注欄或標題欄中注明出處，如果有疏漏之處，敬請諒解。同時對被引用資源或報告的作者表示誠摯的謝意！本PPT可免費使用、修改，使用時請保留此頁。聲明第十五章網(wǎng)絡安全新技術(shù)內(nèi)容提綱零信任安全2移動目標防御3網(wǎng)絡空間擬態(tài)防御4SDN安全1問題分析現(xiàn)有網(wǎng)絡存在的問題：互聯(lián)網(wǎng)流量急劇上升，對電信運營商提出了巨大挑戰(zhàn)。為滿足不斷增長變化的用戶需求，虛擬化與大數(shù)據(jù)等新型應用技術(shù)在網(wǎng)絡服務器上進行越來越多的網(wǎng)絡配置和數(shù)據(jù)傳輸?shù)炔僮?，傳統(tǒng)網(wǎng)絡的層次結(jié)構(gòu)和封閉的網(wǎng)絡設(shè)備已經(jīng)不能夠滿足其日益增長的高可靠性、靈活性和擴展性方面的需求SDN的提出斯坦福大學的CleanSlate研究組于2006年提出了“軟件定義網(wǎng)絡（Software-DefinedNetwork,SDN）”這一新型網(wǎng)絡創(chuàng)新架構(gòu)核心思想：將傳統(tǒng)網(wǎng)絡中的網(wǎng)絡管理控制從網(wǎng)絡數(shù)據(jù)轉(zhuǎn)發(fā)層中分離出來，即將控制平面和數(shù)據(jù)平面分離，用集中統(tǒng)一的軟件管理底層硬件，讓網(wǎng)絡交換設(shè)備成為單一的數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備，控制則由邏輯上的集中控制器完成，實現(xiàn)網(wǎng)絡管理控制的邏輯中心化和可編程化。軟件定義網(wǎng)絡SDN架構(gòu)包含應用層、控制層和數(shù)據(jù)層三個層次SDN體系結(jié)構(gòu)業(yè)務應用SDN控制軟件/網(wǎng)絡服務網(wǎng)絡設(shè)備應用層控制層數(shù)據(jù)層北向接口（應用程序編程接口）南向接口（控制數(shù)據(jù)平面接口）網(wǎng)絡設(shè)備網(wǎng)絡設(shè)備ONFSDN架構(gòu)NFV體系結(jié)構(gòu)虛擬網(wǎng)絡功能1虛擬網(wǎng)絡功能2虛擬網(wǎng)絡功能n…虛擬網(wǎng)絡功能（VNF）虛擬計算虛擬存儲虛擬網(wǎng)絡NFV基礎(chǔ)設(shè)施（NFVI）計算硬件存儲硬件網(wǎng)絡硬件虛擬化層編排工具虛擬網(wǎng)絡功能管理虛擬基礎(chǔ)設(shè)施管理NFV管理與編排OpenFlow作為ONF推出的SDN南向接口上控制器與數(shù)據(jù)層中的交換機之間的通信協(xié)議，已成為事實上的標準OpenFlowOpenFlow交換機進行數(shù)據(jù)轉(zhuǎn)發(fā)的依據(jù)是流表（FlowTable）每個流表項都由3部分組成：用于數(shù)據(jù)包匹配的包頭域（HeaderFields），用于統(tǒng)計匹配數(shù)據(jù)包個數(shù)的計數(shù)器（Counters），用于展示匹配的數(shù)據(jù)包如何處理的操作（Actions）操作：必備：轉(zhuǎn)發(fā)（forward）、丟棄（drop），可選：排隊（enqueue）、修改域（modifyfield）OpenFlow控制器與交換機之間建立TLS連接的基本工作過程，OpenFlow1.3將TLS設(shè)置為可選擇項，增加了SDN的安全風險OpenFlow應用層安全威脅來自于兩個方面：惡意應用造成的威脅，普通應用相互干擾或是運行出錯等原因造成的威脅包括：各類SDN應用程序的惡意代碼威脅；SDN應用程序自身漏洞（BUG）及配置缺陷威脅；SDN應用程序受到外部惡意攻擊威脅；SDN應用程序角色認證及訪問權(quán)限威脅等SDN安全-應用層安全SDN惡意應用程序攻擊場景示例SDN安全-應用層安全SDN應用程序配置沖突示例SDN安全-應用層安全北向接口安全問題與應用層安全問題具有一定相似性，主要集中在非法訪問權(quán)限、身份授權(quán)認證、數(shù)據(jù)泄露、數(shù)據(jù)篡改及程序漏洞等SDN安全-北向接口安全控制器是核心，安全非常重要控制器面臨的安全威脅主要包括拒絕服務攻擊和非法接入等SDN安全-控制層安全OpenFlow協(xié)議中可能涉及的安全問題包括：控制器與交換機之間缺少數(shù)據(jù)加密措施控制器與交換機通信缺乏認證機制主要原因：考慮到性能，沒有啟用TLSSDN安全-南向接口安全數(shù)據(jù)層安全威脅，主要存在于數(shù)據(jù)層交換設(shè)備上。與傳統(tǒng)設(shè)備類似，數(shù)據(jù)層交換設(shè)備的安全問題并非SDN特有，主要的安全威脅有拒絕服務攻擊、非法設(shè)備接入和病毒感染傳播SDN安全-數(shù)據(jù)層安全SDN安全研究表中A、N、C、S、D分別表示應用層、北向接口、控制層、南向接口和數(shù)據(jù)層SDN安全研究內(nèi)容提綱零信任安全2移動目標防御3網(wǎng)絡空間擬態(tài)防御4SDN安全1邊界防護邊界防護邊界防護問題：邊界防護建立在“網(wǎng)絡內(nèi)部的系統(tǒng)和網(wǎng)絡流量是可信的”這一假設(shè)上，缺乏網(wǎng)絡內(nèi)部的流量檢查。新的網(wǎng)絡應用和計算模式，如云計算、移動設(shè)備、物聯(lián)網(wǎng)，已無法滿足“網(wǎng)絡有明確的邊界”這一條件，使得傳統(tǒng)的、基于網(wǎng)絡邊界的安全防護模式逐漸失去了防護能力。分區(qū)部署使得主機部署缺乏物理及邏輯上的靈活性。邊界防護設(shè)備一旦被突破，整個網(wǎng)絡處于危險之中。邊界防護突破邊界不可避免在KillChain攻擊框架發(fā)布近10年后，ATT&CK框架進一步豐富了攻擊分析和場景，包含了黑客滲透過程中利用具體的各種技術(shù)。在這些攻擊技術(shù)和手段面前，傳統(tǒng)的安全設(shè)備堆疊已經(jīng)失守，如各種Webshell的混淆、加密流量、社會工程對于終端的滲透，基本都可以穿透所有的傳統(tǒng)安全產(chǎn)品下堆疊出的安全架構(gòu)和系統(tǒng)邊界防護突破邊界不可避免，且難以發(fā)現(xiàn)FireEye的M-Trends2020Reports中，發(fā)現(xiàn)攻擊者隱藏或者駐留時間的中位數(shù)為56天。近幾年的威脅檢測時間都在不斷縮短，主要是由于對于內(nèi)部威脅發(fā)現(xiàn)較早，極大減少了中位數(shù)，但外部威脅的駐留時間還有141天，近5個月之久邊界防護邊界防護“零信任（ZeroTrust）”這一術(shù)語是指一種不斷發(fā)展的網(wǎng)絡安全范式（paradigm），它將防御從靜態(tài)的、基于網(wǎng)絡邊界的防護轉(zhuǎn)移到關(guān)注用戶、資產(chǎn)和資源。由JonKindervag在Forrester的一次報告中提出零信任假定不存在僅僅基于物理或網(wǎng)絡位置（即局域網(wǎng)與互聯(lián)網(wǎng)）就授予資產(chǎn)或用戶賬戶的隱含信任（ImplicitTrust）。零信任零信任的理解“零信任”不是“不信任”，也不是“默認不信任”，更接近的說法是“從零開始建立信任”?！傲阈湃巍敝械摹傲恪笔恰氨M可能小”的意思，而非“無或沒有”之類的絕對概念。不是“先驗證，然后信任”，而是“永遠不要信任，永遠要驗證”零信任零信任的理解零信任零信任的理解NIST在2019年9月發(fā)布的“零信任架構(gòu)（ZeroTrustArchitecture,ZTA）”標準草案中，將“零信任”解釋為“零隱含信任（ZeroImpliedTrust）”零信任零信任2020年NIST.SP.800-207-draft2零信任安全有5個基本假定：網(wǎng)絡無時無刻不處于危險的環(huán)境中。網(wǎng)絡中自始至終存在外部或內(nèi)部威脅。網(wǎng)絡的位置不足以決定網(wǎng)絡的可信程度。“可信”內(nèi)網(wǎng)中的主機面臨的安全威脅與互聯(lián)網(wǎng)上的主機別無二致。所有設(shè)備、用戶和網(wǎng)絡流量都應當經(jīng)過認證和授權(quán)。安全策略必須是動態(tài)的，并基于盡可能多的數(shù)據(jù)源計算而來。零信任零信任架構(gòu)美國國家標準和技術(shù)研究所（NIST）在2019年9月發(fā)布了“零信任架構(gòu)（ZeroTrustArchitecture）”標準草案（NIST.SP.800-207-draft），并于2020年2月發(fā)布了修訂版NIST.SP.800-207-draft2美軍方是重要推手：美國國防信息系統(tǒng)局（DISA）和國防部（DoD）公布的“BlackCore（黑核）”項目背景討論NIST零信任架構(gòu)基本原則或宗旨（tenets）所有數(shù)據(jù)源和計算服務都被視為資源無論網(wǎng)絡位置如何，所有通信都應是安全的對單個企業(yè)資源的訪問是基于每個連接進行授權(quán)的對資源的訪問由策略決定，包括客戶身份、應用和請求資產(chǎn)的可觀察狀態(tài)，也可能包括其他行為屬性NIST零信任架構(gòu)基本原則或宗旨（tenets）企業(yè)確保所有自己擁有的和相關(guān)聯(lián)的系統(tǒng)處于盡可能最安全的狀態(tài)，并監(jiān)視系統(tǒng)以確保它們保持盡可能最安全的狀態(tài)在允許訪問之前，所有資源的身份認證和授權(quán)都是動態(tài)的，并且必須嚴格地實施企業(yè)盡可能收集有關(guān)網(wǎng)絡基礎(chǔ)架構(gòu)和通信的狀態(tài)信息，并利用這些信息改善其安全形勢（posture）NIST零信任架構(gòu)ZTA（零信任架構(gòu)）高層級架構(gòu)NIST零信任架構(gòu)ZTA架構(gòu)中的核心邏輯組件NIST零信任架構(gòu)ZTA邏輯組件使用單獨的控制平面進行通信，而應用數(shù)據(jù)在數(shù)據(jù)平面上進行通信NIST零信任架構(gòu)策略判定點（PDP）被分解為兩個邏輯組件：策略引擎（PE）和策略管理器（PA）。PE負責最終決定是否授予訪問主體對資源（客體）的訪問權(quán)限PA負責建立或關(guān)閉主體與資源之間的連接（是邏輯連接，而非物理連接）核心部件策略執(zhí)行點（PEP）負責啟用、監(jiān)視并最終終止主體和企業(yè)資源之間的連接。PEP是ZTA中的單個邏輯組件，但也可能分為兩個不同的組件：客戶端（例如，用戶便攜式電腦上的代理）和資源端（例如，在資源之前控制訪問的網(wǎng)關(guān)組件）或充當連接門衛(wèi)（gatekeeper）的單個門戶組件。在PEP之外是前面介紹的托管企業(yè)資源的隱含信任區(qū)域核心部件持續(xù)診斷和緩解（CDM）系統(tǒng)收集企業(yè)資產(chǎn)（assets）的狀態(tài)信息，并負責對配置和軟件組件進行更新或升級行業(yè)合規(guī)系統(tǒng)（ICS）確保企業(yè)遵守與其相關(guān)的任何監(jiān)管制度（如FISMA，健康或財經(jīng)行業(yè)信息安全要求等）其它組件威脅情報源（TIF）提供內(nèi)部或外部來源的安全情報，幫助策略引擎做出訪問決策數(shù)據(jù)訪問策略（DAP）一組有關(guān)訪問企業(yè)資源的屬性、規(guī)則和策略。這組規(guī)則可以在策略引擎中編碼，也可以由PE動態(tài)生成）其它組件企業(yè)公鑰基礎(chǔ)設(shè)施（PKI）企業(yè)PKI負責生成由企業(yè)頒發(fā)給資源、參與者和應用程序的證書，并將其記錄在案身份管理系統(tǒng)（IDMS）負責創(chuàng)建、存儲和管理企業(yè)用戶賬戶和身份記錄，包含必要的用戶信息。該系統(tǒng)通常利用其他系統(tǒng)（如PKI）來處理與用戶賬戶相關(guān)聯(lián)的工件其它組件網(wǎng)絡和系統(tǒng)活動日志（NSAL）系統(tǒng)聚合了資產(chǎn)日志、網(wǎng)絡流量、資源訪問操作和其他事件。這些事件提供關(guān)于企業(yè)信息系統(tǒng)安全態(tài)勢的實時（或接近實時）反饋安全信息和事件管理（SIEM）系統(tǒng)收集以安全為中心的信息以供后續(xù)分析。分析結(jié)果將用于完善安全策略，并預警對企業(yè)資產(chǎn)發(fā)起的可能攻擊其它組件基于設(shè)備代理/網(wǎng)關(guān)的部署模型NIST零信任架構(gòu)飛地部署模型NIST零信任架構(gòu)基于資源門戶的部署模型NIST零信任架構(gòu)設(shè)備應用沙箱模型NIST零信任架構(gòu)動態(tài)評估信任等級ZTA中，不再給網(wǎng)絡參與者定義和分配基于二元決策的策略，而是持續(xù)監(jiān)視參與者的網(wǎng)絡活動，并據(jù)此持續(xù)更新其信任評分，然后使用這個評分作為授權(quán)策略判定的依據(jù)之一?？蛻舳艘圆豢尚诺姆绞介_始訪問會話請求，并在訪問過程中通過各種機制不斷積累信任，直到積累的信任足夠獲得系統(tǒng)的訪問權(quán)限。信任算法基于屬性的動態(tài)權(quán)限控制信任算法從繼承和演進的角度看，零信任的核心之意是精細化和動態(tài)化。即將過去的相對粗顆粒度的、靜態(tài)的防御機制，從最早的網(wǎng)絡級，到后來的子網(wǎng)級或業(yè)務網(wǎng)絡級，然后再到應用級，再到應用中的操作級，再往后到達數(shù)據(jù)級。這個發(fā)展的過程，就是一個越來越細粒度、越來越動態(tài)的過程，而且要以信任體系為支撐零信任-進一步討論現(xiàn)代企業(yè)環(huán)境正在不可避免地向云環(huán)境遷移，而零信任的特性非常適合云環(huán)境部署。零信任關(guān)于網(wǎng)絡不可信、不受控的假設(shè)，特別適合云基礎(chǔ)設(shè)施。特別是在使用商業(yè)云時，如果云基礎(chǔ)設(shè)施本身受到威脅，則零信任架構(gòu)可提供保護，避免敵手在我們的虛擬網(wǎng)絡中扎根零信任-進一步討論為配合NIST之前發(fā)布的《零信任架構(gòu)》標準草案，NIST下屬單位NCCoE于2020年3月發(fā)布了《實現(xiàn)零信任架構(gòu)》（草案）項目說明書，征求公開評論。該項目說明書瞄準的是零信任架構(gòu)的落地實踐，期望實現(xiàn)安全性與用戶體驗的兼得。零信任-進一步討論奇安信零信任架構(gòu)奇安信零信任架構(gòu)核心架構(gòu)組件奇安信零信任架構(gòu)產(chǎn)品解決方案奇安信零信任架構(gòu)解決方案與參考架構(gòu)的關(guān)系美軍聯(lián)合信息環(huán)境（JIE）架構(gòu)美國國防信息系統(tǒng)局技術(shù)路線圖身份和訪問管理（IdAM）IdAM的目標狀態(tài)是實現(xiàn)動態(tài)訪問控制美DoD的安全配置管理SCM零信任與VPN應用場景場景1：員工訪問公司資源。員工希望從任何工作地點輕松、安全地訪問公司資源。此場景將演示一種特定的用戶體驗，其中員工嘗試使用企業(yè)管理的設(shè)備訪問企業(yè)服務，如企業(yè)內(nèi)部網(wǎng)、考勤系統(tǒng)和其他人力資源系統(tǒng)。該資源的相關(guān)訪問請求將由本項目中實現(xiàn)的ZTA解決方案動態(tài)和實時地提供零信任實踐應用場景場景2：員工訪問互聯(lián)網(wǎng)資源。員工正在嘗試訪問公共internet以完成某些任務。此場景將演示一種特定的用戶體驗，其中員工嘗試使用企業(yè)管理的設(shè)備在internet上訪問基于web的服務。雖然基于web的服務不是由企業(yè)擁有和管理的，但是該項目中實現(xiàn)的ZTA解決方案仍然會動態(tài)和實時地提供對該資源的相關(guān)訪問請求。該解決方案將允許員工在任何位置訪問，也就是說，員工可以使用企業(yè)管理設(shè)備在企業(yè)內(nèi)部網(wǎng)、分支辦公室或公共互聯(lián)網(wǎng)內(nèi)連接時訪問互聯(lián)網(wǎng)零信任實踐應用場景場景3：承包商訪問公司和互聯(lián)網(wǎng)資源。承包商試圖訪問某些公司資源和互聯(lián)網(wǎng)。此場景將演示一個特定的用戶體驗，其中受雇提供特定服務的承包商，試圖訪問某些公司資源和internet以執(zhí)行組織的計劃服務。公司資源可以是本地或云中的，承包商將能夠在本地或從公共互聯(lián)網(wǎng)訪問公司資源。承包商試圖訪問的資源的相關(guān)網(wǎng)絡訪問請求，將由本項目中實施的ZTA解決方案動態(tài)和實時地提供。零信任實踐應用場景場景4：企業(yè)內(nèi)的服務器間通信。企業(yè)服務通常有不同的服務器相互通信。例如，web服務器與應用服務器通信。應用服務器與數(shù)據(jù)庫通信以將數(shù)據(jù)檢索回web服務器。此場景將演示企業(yè)內(nèi)服務器間交互的示例，其中包括場內(nèi)、云中或在本地和云中服務器之間的服務器。本項目中實施的ZTA解決方案，將動態(tài)和實時地提供相互交互的指定服務器之間的關(guān)聯(lián)網(wǎng)絡通信。零信任實踐應用場景場景5：與業(yè)務伙伴的跨企業(yè)協(xié)作。兩個企業(yè)可以在資源共享的項目上協(xié)作。在這種情況下，本項目中實現(xiàn)的ZTA解決方案將使一個企業(yè)的用戶能夠安全地訪問另一個企業(yè)的特定資源，反之亦然。例如，企業(yè)A用戶將能夠從企業(yè)B訪問特定的應用程序，而企業(yè)B用戶將能夠從企業(yè)A訪問特定的數(shù)據(jù)庫。零信任實踐應用場景場景6：利用公司資源建立信心水平。企業(yè)有監(jiān)控系統(tǒng)、安全信息和事件管理（SIEM）系統(tǒng)以及其他資源，這些資源可以向策略引擎提供數(shù)據(jù)，從而為訪問企業(yè)資源創(chuàng)建更細粒度的信任級別，并促進基于信任級別的嚴格訪問。在這種情況下，ZTA解決方案將這些監(jiān)控和SIEM系統(tǒng)與策略引擎集成，以生成更精確的置信水平計算。零信任實踐零信任實踐五個步驟零信任實踐五個步驟零信任實踐五個步驟零信任實踐典型場景零信任實踐零信任廠商Forrester2019年四季度市場報告零信任廠商2020奇安信-Gartner零信任白皮書零信任廠商經(jīng)過近十年的內(nèi)部實踐，2020年4月Google的BeyondCorp終于正式對外開放使用短期來看，企業(yè)部署零信任架構(gòu)面臨的困難依然較多，特別是在已有的網(wǎng)絡中實現(xiàn)零信任建立8種數(shù)據(jù)源并非易事對企業(yè)業(yè)務的深度了解管理成本和建設(shè)成本較高零信任架構(gòu)部署小結(jié)內(nèi)容提綱零信任安全2移動目標防御3網(wǎng)絡空間擬態(tài)防御4SDN安全1網(wǎng)絡系統(tǒng)的靜態(tài)性、確定性和同構(gòu)性，使得在網(wǎng)絡攻防博弈中攻擊者往往是優(yōu)勢的一方，網(wǎng)絡安全存在“易攻難守”的局面問題分析這種被動劣勢無法依靠現(xiàn)有防御方法來彌補，主要表現(xiàn)在以下4個方面：由于人的認知有限性，常用的代碼檢查機制或漏洞挖掘方法難以保證發(fā)現(xiàn)、排除所有的漏洞或者后門補丁下發(fā)通常明顯滯后于攻擊者對安全漏洞的利用，這一時間差為網(wǎng)絡攻擊提供了生存空間攻擊特征不斷地在快速變化未知攻擊檢測還沒有有效解決方案問題分析移動目標防御（MovingTargetDefense,MTD）2010年5月，美國網(wǎng)絡與信息技術(shù)研發(fā)計劃（NITRD）發(fā)布了《網(wǎng)絡安全游戲規(guī)則的研究與發(fā)展建議》，2011年12月美國國家科學技術(shù)委員會（NSTC）發(fā)布了《可信網(wǎng)絡空間：聯(lián)邦網(wǎng)絡空間安全研發(fā)戰(zhàn)略規(guī)劃》含義：移動目標是可在多個維度上移動降低攻擊優(yōu)勢并增加彈性的系統(tǒng)MTD移動目標防御（MovingTargetDefense,MTD）移動目標防御則是指防御者從多個系統(tǒng)維度持續(xù)地變換系統(tǒng)中的各種屬性，從而增加攻擊者的不確定性、復雜性和不可預測性，減小攻擊者的機會窗口，并增加攻擊者探測和攻擊的成本MTD移動目標防御（MovingTargetDefense,MTD）除了移動目標和移動目標防御外，MTD還涉及另外兩個重要概念：攻擊面（AttackSurface,AS）和攻擊面變換（AttackSurfaceShifting,ASS）MTD攻擊面攻擊面變換MTD攻擊面Lincoln實驗室MTD關(guān)鍵技術(shù)蔡桂林等人MTD關(guān)鍵技術(shù)CCS2014MTDWorkshop基于SDN的MTD基于SDN的MTD基于SDN的MTD內(nèi)容提綱零信任安全2移動目標防御3網(wǎng)絡空間擬態(tài)防御4SDN安全1網(wǎng)絡空間擬態(tài)防御（CyberMimicDef