安全设备
的交付形态绿盟科技的《私有云安全解决方案》中提及的安全设备交付形态有 4类:支持解隧道的单引擎硬件模式、支持服务链的硬件 设备、支持硬件虚拟化
的硬件设备,以及虚拟设备镜像,然而本文主要讨论使用新技术实现软件定义的安全方案,所以如不加特 殊说明,本章讨论的场景中主要为支持服务链的硬件设备这种交付模式。其特点如下:当安全设备自身能实现虚拟化后,通过资源池化,可在多个物理安全设备中启动多种及多个虚拟安全设备的实例,再经过服 务编排,将流量依次进过一个或多个物理安全设备中的虚拟安全设备,可以完成相应功能的服务链。
如图 1.12 中的客户物理设备中的虚拟机流量,可以依次进过虚拟防火墙、虚拟 IPS和虚拟 TAC设备,完成访问控制、数据 包分析和行为检测。这种交付模式比较灵活,一个物理安全设备就能完成多种安全功能,整体的安全功能还可以得到横向扩展, 但是对整体的安全服务编排提出了很高的要求。
14 软件定义安全 SDS
软件定义的云安全实践 « 安全设备的交付形态
图 1.12 支持服务链的硬件交付模式
检测清洗
使用 SDN技术可以从交换机
上获取流量统计信息,并根据特征值判断是否存在恶意攻击,Radware和 Broadcade均在 ONS 2014大会上做过展示类似的方案。 利用相似的思路,可借助安全控制平台中的流相关的组件,从 SDN Network Controller(NC)中获得相应的流量,并根据 抗 DDoS应用订阅的恶意流特征进行检测,发现恶意流量后,应用可根据细粒度的检测判断是否出现恶意攻击,如是则下发实时 清洗的流指令,即可将恶意流量牵引到清洗设备 ADS上。
整个过程如图 1.13 所示,从功能上,安全应用等同于绿盟的网络流量分析设备 NTA,但该应用可使用 NTA的引擎,并可 根据云平台的虚拟资产信息进行细粒度检测,同时可以直接从 APPStore上获得,所以整体方案的交付和运行效率较传统方案加 速效果非常明显。
15 软件定义安全 SDS
软件定义的云安全实践 « DDoS检测清洗
图 1.13 使用安全控制平台实现 DDoS检测和清洗
测试表明(如图 1.14 所示),攻击者发动 DDoS攻击时,当流建立速度为 4000新流/秒时,安全控制器的处理时延为 1-1.5 秒,当流建立速度为 8000新流/秒时,时延增加为 1-2.2秒。总体而言,基于流的检测速度相对较快,当流检测使用分布式实时 处理框架 Strom后,流检测模块可部署在多个节点上运行,整体处理效率也较高。
图 1.14 处理延迟的累计概率函数
16 软件定义安全 SDS
软件定义的云安全实践 « DDoS检测清洗
攻击检测和防护
传统安全防御机制在 APT攻击下缺乏必要的检测和可视化能力,因此近年来有大量的建有较完善防御机制的企业被恶意攻击 者成功入侵。例如:2009 年极光行动:通过 APT攻击 Google和其它科技公司,目的似乎是试图获取存取权限并可能尝试修改 应用代码;2011年 RSA 公司的部分 SecurID 动态密码生成器被窃取,攻击者进一步攻击使用 SecurID双因子认证的客户,窃 取其机密信息;2014年美国零售巨头 Target因为供应链服务商被攻破,导致其内部的 4000万客户的信用卡信息被盗取。当很 多公司开始部署私有云提高生产效率的同时,攻击面扩展到了企业物理区域以外,防护边界变得模糊;另安全产品虚拟化的滞后、 安全设备检测点不易部署和整体安全方案的复杂,导致整体的安全机制不完善,特别是公有云用户往往是中小企业,无法在安全 方面大量投入。这类攻击导致云中用户资料泄密、篡改,企业的业务中断乃至声誉受损、竞争力丧失。
当前有一些公司开始研究抵御 APT攻击,如美国 FireEye公司的 APT防护方案在 2013年捕获了 14个 0Day漏洞,但美国 将其列为对华禁运的高科技安全产品,国内无法获取相关技术。绿盟科技于 2013年开始研制抵御 APT攻击的威胁分析系统 TAC, 除集成已知威胁检测技术外,使用动态检测技术,可不依赖传统签名技术检测未知威胁,具有详尽的报警信息和极少的误报率。 虽然深度检测设备可分析高级复杂的攻击模式,但需要较多资源,整体效率较低;而 IPS或者 NBA产品检测会有很高的误报率。
我们提出的安全控制平台和安全设备协同机制,可依次从全局数据流、满足某些特征的数据包和某个软件行为三个方面逐级 加强对数据和行为的检测,整体流程如图 1.15 所示。分析全局流量可避免设备的检测死角并提高检测效率,使用传统检测和深 度检测结合的方式,一方面筛除了大量正常的数据流,减轻检测系统负担,另一方面使用静态检测加动态运行检测的方式有效检 测出未知恶意行为,大大减少了误报率。安全控制器通过流量调度和安全设备动态部署,提高了整体的检测性能。
图 1.15 软件定义的 APT防护流程
安全控制平台可结合 SDN和虚拟化云平台,在详细的全局知识视图下对异常流量和异常行为进行检测和决策,可进行准确 的处置,进一步结合设备的历史告警和日志对外部和被攻破的内部虚拟用户进行恶意行为追溯。 具体地,安全控制平台的模块 可根据局部网络设备上的流表信息构建全局的数据流知识库,即可掌握全局范围内所有历史时刻的数据流在每个网络设备的流向。 一旦某时刻出现异常的流(访问可疑目的地、流量异常等),即可将可疑流牵引到 IPS设备上做数据包的深度检测,出现疑似恶 意行为即可向上提交告警,以便安全控制器调度其他安全资源,如 TAC设备做行为检测,或扫描器查找所有受影响的主机,并做 隔离或应用虚拟补丁等。
可见,当发现安全威胁后,具体执行何种操作,完全是通过安全控制平台之上的安全应用,根据客户的安全需求,或威胁的 具体类型,按需弹性的进行决策,整个过程都是可通过软件定义的。例如图 1.16 给出的检测防护方案是通过全局流量分析建立
17 软件定义安全 SDS
软件定义的云安全实践 « APT攻击检测和防护
历史时刻的全局流表,建立访问模式的安全基线,当检测出异常方式时,将流量牵引到 IPS设备做防护。这就是一个强化流检测, 简化数据包处理的方案,同样也适用于很多场景。
图 1.16 流检测和数据载荷检测的协同
Web安全应用
云计算中比例最大的应用当属 Web类:Web站点、Web服务和 Web应用。很多 Web类应用直接对外开放,考虑到 DDoS 攻击商业化,SQL注入、XSS注入和跨站等攻击手法以工具化简单化,所以这些应用很容易受到攻击。云环境中需要一种能够快 速部署、灵活调度的 Web安全服务。
融于 IaaS/SDN的 Web安全
本节阐述如何在支持 SDN技术的云环境中部署 Web安全应用,此处以 Openstack为例,安全应用可集成到 Openstack的 管理前端 Horizon中,如下图所示。
图 1.17 在线的 Web防护界面
18 软件定义安全 SDS
软件定义的云安全实践 « Web安全应用
整体工作流如图 1.18 所示,当用户需要部署 WAF(Web应用防火墙)时,可以在安全应用的管理层侧将 WAF拖到相应的 被防护虚拟机上,配置好 WAF的部署模式、管理地址等,点击确定。此时,安全控制平台自动完成三个任务:1) 通过守护进程 准备好并启动相应的 WAF虚拟机,2) 通过 SDN将流量牵引到 WAF的入口,3) 向 WAF下发防护站点的策略。
图 1.18 在线的 Web防护流程
这种部署方式客户仅仅需了解少量信息即可,不像以往需要了解 WAF的部署模式、规则配置、拓扑规划等,所有这些工作 均有安全控制平台、SDN控制器和虚拟化系统完成。
与传统的 Web 安全云服务相比,如安全宝、加速乐,这种方案通过 SDN技术可将流量做地址变换,直接将到路由器上到 Web服务器的流量通过 2层网络牵引到 WAF设备,而无需让用户手动修改域名的指向,从而在保证技术可靠性的前提下,提供 了便利性和提高了防护速度。
一体化的 Web安全应用
软件定义安全的概念本身与 SDN或虚拟化技术是彼此独立的,强调的是安全控制和数据分离,从而改善设备间的协同性, 提高防护效率。所以本节给出一个传统网络环境中软件定义的 Web 安全应用,下图中展现的页面是该应用的前端,用户可以实 时感知其 Web站点的运行安全状态。
图 1.19 多设备协同的 Web安全应用
当用户点击对某站点进行体检时,安全控制平台即向 Web漏洞扫描器 WVSS下发扫描任务,如下图所示。
图 1.20 Web应用脆弱性评估
扫描结束后,客户会收到一份关于该站点的脆弱性报告, 如下图所示。
图 1.21 Web应用脆弱性评估报表
如果用户发现该站点存在漏洞,则可直接启用防护,如下图所示;随后安全控制平台根据知识库中的漏洞与防护方法的对应 关系,找到相应的虚拟补丁,将其作为策略下发到防护 WAF中。
图 1.22 扫描网站出现漏洞后可启用防护
21 软件定义安全 SDS
软件定义的云安全实践 « Web安全应用
当启用防护后,用户可对网站重新扫描,以确定之前启用的防护规则是否生效。如此迭代地形成“扫描”-“防护”的闭环, 直到所有的漏洞都被防住。该流程如图 1.23 所示。
图 1.23 Web安全应用协同原理
在整个过程中,用户感知到的始终是一个 Web应用,提供网站体检和网站防护的功能,而不需要关心底层的 WVSS或 WAF 等安全设备,包括这些设备的形态(虚拟还是实体)、部署模式,以及发现漏洞到应用补丁之间的内在关联。所以软件定义使用 户摆脱了以往复杂的部署、配置和运维的体验,并且缩短了漏洞从发现到修复的宝贵时间窗口。
软件定义安全 SDS
软件定义安全(SDS)不一定是应对新型安全威胁的银弹,因为软件定义从原理上没有解决传统安全不能解决的新问题。然 而,新型威胁挑战的是传统防护体系臃肿、低效、部署受限、反应迟钝、可视化差等弱点,软件定义正是以开放、高效、灵活、 快速等特性,以快速响应应对漏洞,以应用协同应对持续威胁,以自适应灵活部署安全机制应对可能的绕过渗透。
绿盟科技在云安全和虚拟化安全、软件定义安全的新型安全服务、安全度量、安全信誉、安全智能等前沿安全领域,进行了 积极的研究探索并积累了丰富的经验。在此基础上,绿盟科技在业界率先提出了软件定义安全的架构,并通过若干场景下的实践, 验证了软件定义安全的理念确实可以极大改善用户体验、提高防护效率,真实解决客户的安全问题。《软件定义安全 SDS》的推 出,即是对软件定义安全架构及实践的总结,给大家提供参考。
目前,绿盟科技已经实现了各类虚拟化的安全产品,并推出基于软件定义安全的云安全解决方案。该解决方案已在一些合作 伙伴中获得验证,如 2015年全球 SDN大会与云杉网络演示的公有云异常流量分析与可视化展现,以及与绿网科技的 GNFlush 等一系列业界 SDN控制器集成,在 BYOD环境中验证了软件定义的访问控制。
绿盟科技还积极推动各类科研课题的研究和云安全标准制定,参加了 863课题《云计算环境中恶意行为检测与取证技术研究》 的软件定义取证架构,并正在参与编写《信息系统等级保护云计算安全设计技术指南》中的边界和通信安全部分。
诚然,软件定义安全不是一蹴而就的,安全生态圈的建立、安全应用的协同、安全设备的重构,均非一朝一夕能实现的。不 过为解决客户的真正问题,迎战互联网安全企业的挑战,各大安全企业应抛开成见、去除壁垒,实现安全能力的开放,以自身的 安全经验积累通过安全应用实现分析、检测、防护和反馈等一系列高效的安全体系。
1167
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
