2015 绿盟科技软件定义安全 SDS 白皮书 2015 NSFOCUS Software Defined Security Whitepaper h t i g b u m o c . 5 导读 Challenge 业界对云计算的研究及实践由来已久，但随之来而的云安全问题，需要有一套云环境中的安全建设及运维的框架和方法，同时更 需要用户、云计算厂商与安全厂商多方协作实践的经验。面对这样的挑战，多年来，绿盟科技与国际云安全联盟（CSA），与全 球各大开源和商用的虚拟化平台，与 SDN 控制器项目和厂商进行了深入合作，积累了一定的经验。 Content 本文着重阐述如何使用新技术和新架构，实现下一代软件定义（SDS）安全防护体系。首先介绍目前业界现状和相关工作，接着 给出 SDS 架构，然后分别介绍安全应用商店、安全控制平台和安全设备的重构，最后给出若干绿盟科技的实践案例。 Benefits 读者通过本文档可以了解软件定义安全（SDS）架构的构建及实践经验，为建立适合自己的云计算平台安全中长期的方案规划、 设计和管理，获取理论支撑。如果读者欲了解如何在私有云当前的体系实现安全防护，请关注绿盟科技《私有云安全技术解决方 案》白皮书。 目录 m o c . 5 图表 “软件定义”之百家论 3 最好的时代，也是最坏的时代 3 软件定义=银弹？ 4 软件定义安全体系概述 4 图 1.1 SDN 典型架构 ..................................................................................................................... 5 图 1.2 安全防护体系架构........................................................................................................... 5 图 1.3 APPStore 设计 ................................................................................................................. 7 b u 图 1.4 基于安全控制平台的软件定义安全架构 ........................................................ 7 图 1.5 安全控制平台的结构 ..................................................................................................... 8 图 1.6 多种形态的安全设备资源集成............................................................................... 9 ti h 图 1.7 面向安全控制平台的安全设备重构 ................................................................. 10 6 软件定义安全体系的设计 整体方案 APPStore 安全控制平台 安全设备资源池化 安全设备重构 软件定义的云安全实践 g 图 1.9 使用 SDN 技术的安全设备部署图.................................................................. 12 6 图 1.10 使用 SDN 技术实现流量牵引的原理图 .................................................... 12 6 图 1.11 使用 SDN 技术实现服务链 ................................................................................. 13 7 图 1.12 支持服务链的硬件交付模式 ............................................................................... 15 9 图 1.13 使用安全控制平台实现 DDoS 检测和清洗 ........................................... 16 9 图 1.14 处理延迟的累计概率函数 .................................................................................... 16 10 部署模式 10 安全设备的交付形态 14 DDoS 检测清洗 15 APT 攻击检测和防护 17 Web 安全应用 18 软件定义安全 SDS 图 1.8 安全设备部署图 ............................................................................................................. 11 21 图 1.15 软件定义的 APT 防护流程 ................................................................................. 17 图 1.16 流检测和数据载荷检测的协同 ......................................................................... 18 图 1.17 在线的 Web 防护界面 ........................................................................................... 18 图 1.18 在线的 Web 防护流程........................................................................................... 19 图 1.19 多设备协同的 Web 安全应用 .......................................................................... 19 图 1.20 Web 应用脆弱性评估 ............................................................................................ 20 图 1.21 Web 应用脆弱性评估报表 .................................................................................. 20 图 1.22 扫描网站出现漏洞后可启用防护................................................................... 20 图 1.23 Web 安全应用协同原理 ...................................................................................... 21 作者和贡献者 22 Note: 本文展现了绿盟科技在云安全方面的探索，本文涉及的概念、 关注软件定义安全 SDS 22 架构和相关实践工作，并不代表已有相应可销售的产品。 前言 随着网络安全已成为国家层面的对抗，国内政府、企业和各大机构对自身的信息安全日益重视。2014 年中国已成立了习近 平总书记领导的中央网络安全和信息化领导小组，负责制定实施国家网络安全和信息化发展战略。各大企业也纷纷组建自己的安 全团队和安全应急响应中心，通过专业化的安全运维提升自身的安全防护能力。 然而网络攻击数量逐年增加，安全形势不容乐观，很多传统的安全防护手段在新型的攻击下低效甚至失效。根据绿盟科技统 计，在云计算信息系统方面，VMware 虚拟化系统共出现过 222 个漏洞，其中高危 52 个，过去一年内中披露了 11 个漏洞；全球 最大的开源 IaaS 系统 Openstack 共披露了 68 个漏洞，过去一年就有 14 个漏洞，其中高危 1 个。这些漏洞无疑为外部或内部攻 击者提供了极其便利的攻击手段。在 Verizon 的最新的《2015 Data Breach Investigations Report》报告中提到，一次定向攻击 从开始到数据窃取平均只需数小时，而防守方从攻击开始到检测完成则需数月。可见安全界亟需改造自身的安全防护体系，以快 速响应应对漏洞利用攻击，以威胁情报分析应对隐秘威胁。 不仅如此，新的技术出现也在考验原有的网络安全防护体系。云计算等技术的迅猛发展，已在深刻改变传统的 IT 基础设施、 应用、数据以及 IT 运营管理。特别对于安全管理来说，一些新技术，如软件定义网络（SDN，Software Defined-Networking）、 网络功能虚拟化（NFV，Network Function Virtualization），既是挑战，也是机遇。 m o c . 5 首先，作为新技术，云计算引入了新的威胁和风险，进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管 理体系，如网络与信息系统的安全边界的划分和防护、安全控制措施选择和部署、安全评估和审计、安全监测和安全运维等许多 方面。其次，云计算的资源弹性、按需调配、高可靠性及资源集中化等都间接增强或有利于安全防护，同时也给安全措施改进和 升级、安全应用设计和实现、安全运维和管理等带来了信息机遇，也推进了安全服务内容、实现机制和交付方式的创新和发展。 b u 软件定义的理念正在改变 IT 基础设施的方方面面，如计算、存储和网络，最终成为软件定义一切（Software Defined Everything）。这“一切”必然包含安全，软件定义的安全体系将是今后安全防护的一个重要前进方向。 h t i g “软件定义”之百家论 最好的时代，也是最坏的时代 在近五年，互联网已发生巨大的变化，无论是基础设施，还是终端设备，无一不在重构我们的生活。 这是一个最好的时代，云计