軟件定義安全(2016).ppt

1、軟件定義安全（2016）,Software Defined-Security 2016,綠盟科技,軟件定義安全架構(gòu),SDS Architecture,背景介紹 軟件定義安全架構(gòu) 軟件定義安全！=云/SDN安全,01,背景介紹,網(wǎng)絡(luò)空間安全受到了空前的重視 網(wǎng)絡(luò)安全已成為國(guó)家戰(zhàn)略 網(wǎng)絡(luò)安全法，網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法， 安全廠商層層防護(hù)，但互聯(lián)網(wǎng)上的安全事件不減反增 修復(fù)漏洞平均花費(fèi)兩周 ，而攻擊者從發(fā)動(dòng)攻擊到竊取數(shù)據(jù)往往僅需數(shù)小時(shí) Mirai，烏克蘭電力門，Ransomeware，Swift系統(tǒng)$8100w盜竊，OpenSSL，Struct 2， 一個(gè)最好的時(shí)代，也是一個(gè)最壞的時(shí)代,軟件定義

2、安全理念,連接協(xié)同 有機(jī)結(jié)合多種安全機(jī)制，實(shí)現(xiàn)協(xié)同防護(hù)、檢測(cè)和響應(yīng)； 敏捷處置 在出現(xiàn)異常時(shí)進(jìn)行智能化的判斷和決策，自動(dòng)化地產(chǎn)生安全策略，并通過(guò)安全平臺(tái)快速分發(fā)到具有安全能力的防護(hù)主體； 隨需而變 當(dāng)安全事件爆出后，攻擊者的攻擊方法更新很快，那么就要求防護(hù)者能緊跟甚至超過(guò)攻擊者，以快制快，在數(shù)據(jù)泄露的窗口期內(nèi)阻止攻擊者。,軟件定義安全是將通過(guò)安全數(shù)據(jù)平面與控制平面分離，對(duì)物理及虛擬的網(wǎng)絡(luò)安全設(shè)備與其接入模式、部署方式、實(shí)現(xiàn)功能進(jìn)行了解耦，底層抽象為安全資源池里的資源，頂層統(tǒng)一通過(guò)軟件編程的方式進(jìn)行智能化、自動(dòng)化的業(yè)務(wù)編排和管理，以完成相應(yīng)的安全功能，從而實(shí)現(xiàn)一種靈活的安全防護(hù)。 在2016年7

3、月Gartner發(fā)布的2016年新興技術(shù)成熟度曲線報(bào)告中，軟件定義安全在成熟度曲線上已經(jīng)有明顯的移動(dòng)，越過(guò)了成熟度曲線的最高點(diǎn)。對(duì)此，報(bào)告的評(píng)論是“安全供應(yīng)商繼續(xù)將更多策略管理從個(gè)別硬件元素移動(dòng)到一個(gè)基于軟件的管理平面，以便保證指定安全策略的靈活性。因此，軟件定義安全為安全策略的執(zhí)行帶來(lái)速度和敏捷性”。,不再假設(shè)防護(hù)（Protection）能實(shí)現(xiàn)萬(wàn)無(wú)一失的安全 更強(qiáng)調(diào)檢測(cè)（洞見(jiàn)）和響應(yīng)（敏捷）的能力 更重要的是將這四個(gè)步驟有機(jī)的進(jìn)行編排，實(shí)現(xiàn)針對(duì)不同攻擊的動(dòng)態(tài)防御,百家論 之 自適應(yīng)安全,Phantom： RSAC 2016創(chuàng)新沙盒Winner，從應(yīng)用層入手，構(gòu)建自動(dòng)化、可編排的安全應(yīng)用體系，

4、支持多種數(shù)據(jù)源和主流的SIEM平臺(tái)；同時(shí)，可以讓安全管理團(tuán)隊(duì)編寫腳本Playbook，調(diào)用相應(yīng)的安全服務(wù)，實(shí)現(xiàn)安全運(yùn)維自動(dòng)化 Resilient System：被IBM收購(gòu)，推出彈性的災(zāi)難恢復(fù)服務(wù) 編排引擎可以軟件定義安全為支撐體系，利用北向應(yīng)用編排機(jī)制進(jìn)行安全資源和策略的靈活調(diào)配，實(shí)現(xiàn)多種防護(hù)手段的協(xié)同運(yùn)作,百家論 之 應(yīng)用編排,Google BeyondCorp 徹底打破內(nèi)外網(wǎng)之別，通過(guò)統(tǒng)一的訪問(wèn)控制引擎，管理不同用戶對(duì)不同資源的訪問(wèn)，而不將用戶和資源的位置作為決策依據(jù) Skyport Systems 基于TPM的虛擬化零信任訪問(wèn)控制體系 CSA SDP 面向企業(yè)關(guān)鍵基礎(chǔ)設(shè)施的集中訪問(wèn)控制

5、體系 VMWare Micro-Segmentation 虛擬化環(huán)境中的東西向內(nèi)部網(wǎng)絡(luò)訪問(wèn)控制,百家論 之零信任/微分段,軟件定義安全！=云/SDN安全 軟件定義安全：安全數(shù)據(jù)控制分離的理念，實(shí)現(xiàn)安全運(yùn)營(yíng)自動(dòng)化 云/SDN安全：防護(hù)云中（SDN網(wǎng)絡(luò)）的設(shè)施和業(yè)務(wù)安全 軟件定義安全的理念可能最早會(huì)在安全防護(hù)得到體現(xiàn) 開放接口 敏捷彈性的資源池助力 SDN/NFV的支持 安全及服務(wù)滿足SMB客戶,軟件定義安全與云/SDN安全,軟件定義安全架構(gòu)與云/SDN,安全編排：一切防護(hù)皆軟件定義,應(yīng)用編排 在線商店,02,應(yīng)用編排：軟件定義安全的靈魂,軟件化、自動(dòng)化和敏捷性都是通過(guò)面向不同場(chǎng)景的安全應(yīng)用所體現(xiàn)

6、的 多應(yīng)用協(xié)同進(jìn)行編排可實(shí)現(xiàn)復(fù)雜的安全功能 例如，用戶行為畫像應(yīng)用由以下應(yīng)用組合而成 網(wǎng)絡(luò)流量分析應(yīng)用，對(duì)收集到的流量進(jìn)行格式化、建模，建立正常訪問(wèn)基線； 資產(chǎn)分析應(yīng)用評(píng)估出企業(yè)的重要資產(chǎn)，結(jié)合企業(yè)已有的ERP和CRM系統(tǒng)的API獲得員工身份信息； 安全審計(jì)應(yīng)用獲得安全設(shè)備上傳的實(shí)時(shí)日志； UEBA（User and Entity Behavior Analytics）應(yīng)用將上述多維度的信息和訪問(wèn)記錄還原成可理解的用戶和個(gè)體行為，從而找到如離職員工訪問(wèn)內(nèi)網(wǎng)的數(shù)據(jù)庫(kù)等異常事件。,改變了安全應(yīng)用的交付模式 加快了安全應(yīng)急響應(yīng)的速度,安全應(yīng)用商店,查找應(yīng)用,購(gòu)買應(yīng)用,下載應(yīng)用,部署應(yīng)用,運(yùn)行應(yīng)用,尋

7、找銷售,確定售前方案,下單訂購(gòu),等待生產(chǎn)出廠,運(yùn)輸?shù)截?安裝設(shè)備,工程調(diào)試,運(yùn)行,10分鐘,20分鐘,5分鐘,10天-1月,1周-2月,1天-1月,應(yīng)用商店模式的上線時(shí)間分析,傳統(tǒng)安全產(chǎn)品的上線時(shí)間分析,應(yīng)用商店首頁(yè),應(yīng)用商店查看應(yīng)用,應(yīng)用商店部署應(yīng)用,資源池：按需而變的安全能力,軟件定義安全的落地難題 安全資源池架構(gòu) 基于資源池的云環(huán)境安全防護(hù),03,軟件定義安全應(yīng)用在云環(huán)境的落地困境,難點(diǎn)： 安全產(chǎn)品的虛擬化及適配云平臺(tái)Hypervisor較為困難 安全設(shè)備的證書體系在云平臺(tái)中不能直接適用。 安全方案無(wú)法控制云平臺(tái)的內(nèi)部流量。 資源池（見(jiàn)圖）：打通最后一環(huán),1種邏輯結(jié)構(gòu)=n種物理形態(tài) 資源

8、池化,Security Agent,VFW,VIPS,FW vsys,Engine,Security Agent,VFW,VWAF,FW,Overlay Network,Physical Network,FW vsys,安全控制平臺(tái),High Availability,Failure Recovery,Scalability,Service Chain,Load Balance,APP,APP,APP,資源池架構(gòu),多種形態(tài)的安全設(shè)備通過(guò)池化形成一個(gè)個(gè)安全資源池 資源池按需提供安全能力 安全資源池與其他基礎(chǔ)設(shè)施一起構(gòu)建SDx,云環(huán)境中基于安全資源池實(shí)現(xiàn)南北向服務(wù)鏈,SDN控制器,安全節(jié)點(diǎn),安全控

9、制平臺(tái),Openflow指令,vswitch,輸入網(wǎng)卡,輸出網(wǎng)卡,IPS,WAF,FW,vswitch,輸入網(wǎng)卡,輸出網(wǎng)卡,IPS,WAF,IPS,vswitch,輸入網(wǎng)卡,輸出網(wǎng)卡,IPS,WAF,FW,安全節(jié)點(diǎn),Security Fabric,數(shù)據(jù)中心入口,云系統(tǒng)入口,Overlay Network,agent,agent,agent,安全控制平臺(tái),SDN控制器,云計(jì)算控制節(jié)點(diǎn),計(jì)算節(jié)點(diǎn),hypervisor,VM1,VM2,VM3,vswitch,網(wǎng)卡,安全節(jié)點(diǎn),hypervisor,vswitch,輸出網(wǎng)卡,輸入網(wǎng)卡,Rack交 換機(jī),IPS,FW,WAF,Openflow指令,云系統(tǒng)

10、流量 調(diào)度 指令,SDN控制器,資源池內(nèi)部流量調(diào)度 指令,云環(huán)境中基于安全資源池實(shí)現(xiàn)東西向服務(wù)鏈,軟件定義安全實(shí)踐,面向混合云和移動(dòng)辦公的自適應(yīng)訪問(wèn)控制 使用服務(wù)鏈+微分段技術(shù)的云計(jì)算Web安全服務(wù) 可編排的應(yīng)急響應(yīng)/彈性服務(wù),04,問(wèn)題：企業(yè)網(wǎng)絡(luò)環(huán)境日益復(fù)雜，防護(hù)難度不斷提高 引入BYOD 部署私有云 連接公有云 遠(yuǎn)程接入 需求：統(tǒng)一的訪問(wèn)控制機(jī)制 方案：集中訪問(wèn)控制應(yīng)用+流控制+服務(wù)鏈+vDPI,面向混合云和移動(dòng)辦公的自適應(yīng)訪問(wèn)控制,Garnter: Adaptive Access Control,一些先進(jìn)的訪問(wèn)控制模型和方案,CSA:SDP(Perimeter),Checkpoint：SDP(Protection),SDN控制無(wú)線和有線網(wǎng)絡(luò)準(zhǔn)入 FWaaS控制云中訪問(wèn)控制 NFV安全設(shè)備組成服務(wù)鏈進(jìn)行深度安全檢測(cè) 集中訪問(wèn)控制應(yīng)用實(shí)現(xiàn)多網(wǎng)絡(luò)環(huán)境的統(tǒng)一訪問(wèn)控制 機(jī)器學(xué)習(xí)實(shí)現(xiàn)訪問(wèn)基線建立和基于上下文的訪問(wèn)控制,訪問(wèn)控制系統(tǒng)示意圖,使用服務(wù)鏈+微分段技術(shù)的云計(jì)算Web安全服務(wù),可編排的應(yīng)急響應(yīng)/彈性服務(wù),安全廠商應(yīng)該提供彈性服務(wù)（Resilient Service），為企業(yè)提供預(yù)測(cè)、防護(hù)、檢測(cè)和響應(yīng)服務(wù)，通過(guò)模板提供自動(dòng)化的處置流程，應(yīng)對(duì)各種類型的安全事件，縮短整體處理時(shí)間。,To sum up and some deductions ,軟件定義安全不等于SDN安全，但兩者有千絲