安世加第二十八期沙龙 张宏明 13301350135 hongming.zhang@gigamon.com 部署旁路安全设备面临的挑战 •流量采集资源有限 •安全工具流量获取难 •虚拟化、容器流量采集 •私有云、公有云流量采集 •不相关流量消耗安全工具资源 •流量的识别与优化 •如何减少误报、漏报 •获取数据源、优化数据源 部署串接安全设备面临的挑战 •众多的串联设备多 故障点 •升级维护需 中断网络 •增加或删除设备 中断网络 •任一设备出现瓶颈 网络中断 •故障排查非常复杂 •高带宽的网络 难部署安全产品 •加密流量带来安全产品性能和网络整 体安全性的问题 •有效编排、高效运维SiSi SiSi 防火墙1 Switch x 2 Switch x 2 Switch x 2入侵防御 器1 WAF1 防火墙2 入侵防御 器2 WAF2 技盟安全交付平台 互联网 边界路由 “Spine” 交换机 “Leaf” 交换机 虚拟化、 私有云、 容器环境等 上网行为管理 数据丢失保护 邮件安全 IPS (串接) 防毒墙 (串接) 审计取证 Security Delivery Platform Isolation of applications for targeted inspection Visibility to encrypted traffic for threat detection Inline bypass for connected security applications A complete network-wide reach: physical and virtual Scalable metadata extraction for improved forensics HC系列 TA系列 Hawk 元数据 Metadata 应用过滤 Application Filter SSL 解密 流量编排 技盟安全产品交付平台: 一个能够为安全工具提供最佳部署实践的安全发布平台。 旁路安全流量采集最佳实践 •采集东西流量与南北流量 –物理网络: SDN、Vxlan等技术 –虚拟网络：东西流量可视化Vmware EXSi 计划迁 移至 NSX-T •技盟安全交付平台提供： –物理流量采集设备HC系列+TA系列 Spine-Leaf架构 –虚拟流量采集 V-系列 –剥离标签、去重、脱敏、数据包截短 –通过结合应用过滤功能，提高安全检测能力 •部署效果: –为安全工具提供东西向+南北向流量，可弹性扩展 –流量可以按需过滤 –对虚拟化环境无性能影响（不需要在虚拟环境部署） –安全工具部署灵活 –安全工具性能提升，减少误报Email Threat Detection Forensics 虚拟化 微分段 云平台 GigaVUE-FM 物理网络、SDN 安全工具Virtual Traffic Policies“REST” APIs 外联 Intrusion Detection System Data Loss Prevention 为SIEM、态势感知平台提供真实有效数据源 串接安全部署最佳实践：流量编排 加密流量 解密流量汇聚交换机 防火墙IPS IPS 出口防火墙 汇聚交换机 防火墙 IPS资源池 出口防火墙 Active Standby Active Standby IPS WAF DLPIPS WAF DLP IPS 运维流程：设备上线、下线、特征库更新策略评估 业务保障：故障快速恢复、故障在线验证构建动态多层安全产品交付平台 串接安全 SSL 解密 Metadata SSL 解密 App 内容过滤 Metadata SSL 解密 App 内容过滤 串接安全 安全防护 GigaSECURE® SDP 安全产品交付平台63524基础安全 Firewall Segmentation态势感知及人 工智能 Artificial Intelligence Cognitive Solutions主动拦截 Firewall IPS Routers大数据分析 Big Data Machine Learning EMERGING TECHNOLOGY实时防护 态势感知 关联分析 AUTOMATED AUTOMATED主动防御 REST API