近年來(lái)互聯(lián)網(wǎng)已發(fā)生巨大的變化,無(wú)論是基礎設施還是終端設備,無(wú)一不在重構我們的生活。隨著(zhù)云計算的普及和網(wǎng)絡(luò )惡意攻擊的產(chǎn)業(yè)化,數據泄露的風(fēng)險不斷加大,云計算信息系統中計算、網(wǎng)絡(luò )和數據安全等方面的各種威脅也日漸突出。
傳統的網(wǎng)絡(luò )安全防護方法應用到如今復雜的網(wǎng)絡(luò )環(huán)境中已明顯表現出其局限性,借鑒軟件定義網(wǎng)絡(luò )(SDN, Software-Defined Networking)的思想,一種靈活的網(wǎng)絡(luò )安全防護方法——軟件定義安全(SDS,Software-Defined Security)應運而生,在對復雜網(wǎng)絡(luò )的安全防護上表現出更強的適應性。
軟件定義安全的架構通過(guò)將安全控制平面與安全數據平面分離,標準化南向安全控制通道,并通過(guò)安全控制器(Security Controller)保護信息系統。在云計算系統和軟件定義網(wǎng)絡(luò )環(huán)境中,更能通過(guò)虛擬資源調度和流量控制手段,實(shí)現安全威脅快速響應和多種安全手段結合的方法中斷攻擊鏈(Kill Chain)。
軟件定義安全體系的核心是安全控制平臺(Security Controller)。在南北方向,安全控制器根據通過(guò)解析定制化的北向安全應用邏輯,協(xié)同控制南向資源池中的安全設備,實(shí)現預期安全功能;在東西方向,控制知識庫構建了多種虛擬化解決方案租戶(hù)、虛擬機和虛擬網(wǎng)絡(luò )等資產(chǎn)關(guān)系,且通過(guò)松耦合的方式與多種SDN的網(wǎng)絡(luò )控制器集成,可獲取拓撲和流數據等信息,并下發(fā)網(wǎng)絡(luò )流量控制的命令,實(shí)現網(wǎng)絡(luò )流量實(shí)時(shí)感知和控制。
圖1 安全控制器的交互圖
安全控制平臺的優(yōu)勢:
(1)控制與數據分離簡(jiǎn)化了安全設備的處理引擎,使得安全設備更穩定高效。
(2)借助虛擬化技術(shù),實(shí)現安全設備的資源池化,并通過(guò)安全控制平臺與SDN控制器的協(xié)同,對流量按需調度,實(shí)現服務(wù)鏈(Service Chain),根據應用所需的安全需求就可以從資源池中找到相應資源,而不用關(guān)心物理上安全設備部署在哪里,也不需要考慮如何布線(xiàn)劃區。
得益于南北向的松耦合結構,安全控制平臺適用于多種場(chǎng)景,借助不同場(chǎng)景下的安全應用,安全控制平臺可實(shí)現如BYOD訪(fǎng)問(wèn)控制、DDoS檢測清洗、軟件定義的抗APT攻擊、軟件定義的WEB安全等功能。
此外,東西向安全控制平臺也采用松耦合結構,在大量網(wǎng)絡(luò )業(yè)務(wù)分析后整理出了若干安全業(yè)務(wù)相關(guān)的SDN控制器北向接口和虛擬化系統接口,通過(guò)利用或開(kāi)發(fā)相關(guān)接口,安全控制平臺與不同的SDN和虛擬化系統集成,可部署在多種不同業(yè)務(wù)類(lèi)型的客戶(hù)環(huán)境中。
綠盟科技軟件定義安全方案與武漢綠網(wǎng)控制器GNFlush的協(xié)同工作,正是這種架構多種優(yōu)點(diǎn)的體現。經(jīng)過(guò)雙方技術(shù)上的配合協(xié)作,安全控制平臺可借助GNFlush對全局網(wǎng)絡(luò )流量具有可視可控的能力,并在BYOD場(chǎng)景中進(jìn)行了驗證。
圖2 軟件定義的BYOD訪(fǎng)問(wèn)控制
軟件定義的BYOD訪(fǎng)問(wèn)控制方案可支持多種認證方式:如LDAP、OpenID和手機號驗證等,進(jìn)而基于訪(fǎng)問(wèn)者的角色、屬性與被訪(fǎng)問(wèn)資源的關(guān)系實(shí)現訪(fǎng)問(wèn)控制。借助GNFlush控制器,可以實(shí)現流級別的細粒度控制,且無(wú)論訪(fǎng)問(wèn)者物理位置在何處,底層網(wǎng)絡(luò )設備都執行同樣的控制規則。這種全局、細粒度、強制且一致的訪(fǎng)問(wèn)控制機制可認為是云安全聯(lián)盟提出的軟件定義邊界(Software Defined Perimeter)在BYOD場(chǎng)景中的實(shí)現。
此外,當使用GNFlush可實(shí)現基于上下文環(huán)境的自適應訪(fǎng)問(wèn)控制,安全控制平臺通過(guò)GNFlush獲得全局流視圖,利用用戶(hù)、終端、資產(chǎn)和網(wǎng)絡(luò )環(huán)境等上下文信息形成動(dòng)態(tài)的、基于風(fēng)險的訪(fǎng)問(wèn)決策,建立訪(fǎng)問(wèn)安全基線(xiàn),當存在異常訪(fǎng)問(wèn)時(shí),向GNFlush下發(fā)流指令,將可疑流量牽引到安全資源池組成的安全服務(wù)鏈,進(jìn)行DPI、代碼和行為檢測,并進(jìn)一步對確認的威脅進(jìn)行處理。
武漢綠網(wǎng)研制的高性能SDN控制器GNflush每秒流表下發(fā)速率高達 10M flow/s,能實(shí)現毫秒級的主備切換。控制器具備全局視野,可掌握整個(gè)管理域范圍內的流信息,這與傳統交換機只了解所轉發(fā)的流量有很大的區別。通過(guò)和不同類(lèi)型的安全功能進(jìn)行結合,這個(gè)全局信息使得安全服務(wù)重構成為可能。例如,SDN可以為每個(gè)網(wǎng)絡(luò )節點(diǎn)和流建立各種安全狀態(tài)屬性,并與安全信譽(yù)和異常發(fā)現系統等聯(lián)動(dòng),實(shí)現更智能、靈活、高效的安全機制。高性能SDN控制器為各安全機制的自動(dòng)化、聯(lián)動(dòng)、特別是跨廠(chǎng)商設備的聯(lián)動(dòng),提供了新的機遇。
軟件定義的理念正在改變IT基礎設施的方方面面,如計算、存儲和網(wǎng)絡(luò ),最終成為軟件定義一切(Software Defined Everything)。這“一切”必然包含安全,軟件定義的安全體系將是今后安全防護的一個(gè)重要前進(jìn)方向。近日,綠盟科技將發(fā)布軟件定義的云安全體系架構安全白皮書(shū),敬請期待。
