cookieOptions = {...}; . 談「軟體定義安全」的雲端計算安全實現方式 - 3S Market「全球智慧科技應用」市場資訊網

智慧生活設計事務所


2019年1月21日 星期一

Software-Defined Secure Networks in Action


來源:公众号/绿盟科技企业事业部



應用背景
隨著雲端計算、軟體定義網路SDN等新技術的廣泛應用,以及伴隨新型攻擊方式的出現,傳統網路安全模式,面臨著巨大挑戰。在雲端計算環境中,實體安全裝置不能監控和理解虛擬化資料流,難以對其進行有效防護;傳統安全架構不能提供按需彈性的網路安全功能,無法適應雲端計算環境靈活的業務發展需求。
  
在軟體定義網路SDN的基礎上提出「軟體定義安全SDS」的安全防護思路,實現雲端計算環境的安全由業務和應用驅動,從而實現複雜網路的安全防護,提升安全防護能力和使用者安全體驗。
  
基於「軟體定義安全」的防護思路
軟體定義安全SDS是從軟體定義網路SDN引申而來,原理是將通過安全資料平面與控制平面分離,對實體及虛擬的安全裝置與其接入模式、佈署方式、實現功能進行了解耦,底層抽象為安全資源池裡的資源,頂層統一透過軟體程式設計的方式,進行智慧化、自動化的業務編排和管理,以完成相應的安全功能,從而實現一種靈活的安全防護。


  應用背景    隨著雲端計算、軟體定義網路SDN等新技術的廣泛應用,以及伴隨新型攻擊方式的出現,傳統網路安全模式面臨著巨大挑戰。在雲端計算環境中,物理安全裝置不能監控和理解虛擬化資料流,難以對其進行有效防護;傳統安全架構不能提供按需彈性的網路安全功能,無法適應雲端計算環境靈活的業務發展需求。    在軟體定義網路SDN的基礎上提出“軟體定義安全SDS”的安全防護思路,實現雲端計算環境的安全由業務和應用驅動,從而實現複雜網路的安全防護,提升安全防護能力和使用者安全體驗。    基於“軟體定義安全”的防護思路    軟體定義安全SDS是從軟體定義網路SDN引申而來,原理是將通過安全資料平面與控制平面分離,對物理及虛擬的安全裝置與其接入模式、部署方式、實現功能進行了解耦,底層抽象為安全資源池裡的資源,頂層統一通過軟體程式設計的方式進行智慧化、自動化的業務編排和管理,以完成相應的安全功能,從而實現一種靈活的安全防護。          圖1 軟體定義安全的防護架構    如圖1:作為安全作業系統的安全控制平臺,向上為安全應用提供程式設計介面,向下提供安全裝置資源池化管理,東西向可適配不同的業務管理平臺(如雲管理平臺、SDN控制平臺和定製的管理平臺等)。在內部,從這些不同的介面獲得資訊轉化成標準的安全策略、資產庫資訊、日誌告警,並利用這些資訊完成任務排程、智慧決策和命令推送,將以往需要人工完成或半自動完成的管理流程轉換成了接近全自動化控制。    在雲端計算環境中利用虛擬化技術實現安全裝置的資源池化,並通過安全控制平臺與SDN控制器的協同,使雲端計算環境中的流量經過特定安全裝置,實現安全檢測、過濾等安全防護功能。此外根據應用所需的安全需求就可以從資源池中找到相應安全資源,而不用關心物理上安全裝置部署在哪裡,也不需要考慮安全裝置如何佈線劃區。          圖 2 網路安全裝置部署方式    如圖2:虛擬安全裝置可以部署在計算節點或安全節點上,工作在二/三層網路。計算節點和安全節點內Hypervisor的虛擬交換機連線到SDN控制器,安全控制平臺通過SDN控制器開放的北向介面與之連線。          圖 3 使用SDN技術實現流量牽引的原理    如圖3:當接收並解析安全策略後,安全控制平臺通過SDN控制器向虛擬交換機下發流表,依次在源節點的虛擬交換機、源目節點間的隧道(GRE/VXLAN等)和目的節點的虛擬交換機之間建立一條路徑,這樣原來虛擬機器VM1通過源節點虛擬交換機直接到 VM2的流量,就沿著上述指定路徑先到了目的節點的虛擬安全裝置,當處理完畢之後,資料流從安全裝置的輸出網絡卡返回到最終的目的虛擬機器VM2。          圖 4 使用SDN技術實現服務鏈    如圖4:當需要多種型別的安全防護時,資料流就會依次經過多個安全裝置,形成一條服務鏈。    實現價值    1.縱深防禦的安全體系    基於安全域部署相應的防護措施,實現縱深防禦,滿足雲端計算平臺的安全保障要求。    2.模組化架構可靈活擴充套件    根據應用場景和需求的不同,選擇和部署相應的安全資源、系統功能模組、安全應用。    3.橫向(東西)流量的防護    通過部署虛擬化的安全資源池和流量引導技術,可以實現牽引東西向流量到安全資源池內做檢測和防護。    4.滿足等保合規要求    通過構建安全監測、識別、防護、審計和響應的綜合安全能力,保障雲端計算資源和服務的安全,確保符合等級保護的要求。
  圖1 軟體定義安全的防護架構
  
如圖1:作為安全作業系統的安全控制平台,向上為安全應用提供程式設計介面,向下提供安全裝置資源池化管理,東西向可適配不同的業務管理平台(如雲管理平台、SDN控制平台和訂製的管理平台等)。

在內部,從這些不同的介面獲得資訊轉化成標準的安全策略、資產庫資訊、日誌告警,並利用這些資訊完成任務排程、智慧決策和命令推送,將以往需要人工完成,或半自動完成的管理流程,轉換成了接近全自動化控制。
  
在雲端計算環境中,利用虛擬化技術實現安全裝置的資源池化,並透過安全控制平台與SDN控制器的協同,使雲端計算環境中的流量,經過特定安全裝置,實現安全檢測、過濾等安全防護功能。

此外根據應用所需的安全需求,就可以從資源池中,找到相應安全資源,而不用關心物理上安全裝置佈署在哪裡,也不需要考慮安全裝置如何佈線劃區。


  應用背景    隨著雲端計算、軟體定義網路SDN等新技術的廣泛應用,以及伴隨新型攻擊方式的出現,傳統網路安全模式面臨著巨大挑戰。在雲端計算環境中,物理安全裝置不能監控和理解虛擬化資料流,難以對其進行有效防護;傳統安全架構不能提供按需彈性的網路安全功能,無法適應雲端計算環境靈活的業務發展需求。    在軟體定義網路SDN的基礎上提出“軟體定義安全SDS”的安全防護思路,實現雲端計算環境的安全由業務和應用驅動,從而實現複雜網路的安全防護,提升安全防護能力和使用者安全體驗。    基於“軟體定義安全”的防護思路    軟體定義安全SDS是從軟體定義網路SDN引申而來,原理是將通過安全資料平面與控制平面分離,對物理及虛擬的安全裝置與其接入模式、部署方式、實現功能進行了解耦,底層抽象為安全資源池裡的資源,頂層統一通過軟體程式設計的方式進行智慧化、自動化的業務編排和管理,以完成相應的安全功能,從而實現一種靈活的安全防護。          圖1 軟體定義安全的防護架構    如圖1:作為安全作業系統的安全控制平臺,向上為安全應用提供程式設計介面,向下提供安全裝置資源池化管理,東西向可適配不同的業務管理平臺(如雲管理平臺、SDN控制平臺和定製的管理平臺等)。在內部,從這些不同的介面獲得資訊轉化成標準的安全策略、資產庫資訊、日誌告警,並利用這些資訊完成任務排程、智慧決策和命令推送,將以往需要人工完成或半自動完成的管理流程轉換成了接近全自動化控制。    在雲端計算環境中利用虛擬化技術實現安全裝置的資源池化,並通過安全控制平臺與SDN控制器的協同,使雲端計算環境中的流量經過特定安全裝置,實現安全檢測、過濾等安全防護功能。此外根據應用所需的安全需求就可以從資源池中找到相應安全資源,而不用關心物理上安全裝置部署在哪裡,也不需要考慮安全裝置如何佈線劃區。          圖 2 網路安全裝置部署方式    如圖2:虛擬安全裝置可以部署在計算節點或安全節點上,工作在二/三層網路。計算節點和安全節點內Hypervisor的虛擬交換機連線到SDN控制器,安全控制平臺通過SDN控制器開放的北向介面與之連線。          圖 3 使用SDN技術實現流量牽引的原理    如圖3:當接收並解析安全策略後,安全控制平臺通過SDN控制器向虛擬交換機下發流表,依次在源節點的虛擬交換機、源目節點間的隧道(GRE/VXLAN等)和目的節點的虛擬交換機之間建立一條路徑,這樣原來虛擬機器VM1通過源節點虛擬交換機直接到 VM2的流量,就沿著上述指定路徑先到了目的節點的虛擬安全裝置,當處理完畢之後,資料流從安全裝置的輸出網絡卡返回到最終的目的虛擬機器VM2。          圖 4 使用SDN技術實現服務鏈    如圖4:當需要多種型別的安全防護時,資料流就會依次經過多個安全裝置,形成一條服務鏈。    實現價值    1.縱深防禦的安全體系    基於安全域部署相應的防護措施,實現縱深防禦,滿足雲端計算平臺的安全保障要求。    2.模組化架構可靈活擴充套件    根據應用場景和需求的不同,選擇和部署相應的安全資源、系統功能模組、安全應用。    3.橫向(東西)流量的防護    通過部署虛擬化的安全資源池和流量引導技術,可以實現牽引東西向流量到安全資源池內做檢測和防護。    4.滿足等保合規要求    通過構建安全監測、識別、防護、審計和響應的綜合安全能力,保障雲端計算資源和服務的安全,確保符合等級保護的要求。
  圖 2 網路安全裝置佈署方式
  
如圖2:虛擬安全裝置可以佈署,在計算節點或安全節點上,工作在二/三層網路。計算節點和安全節點內Hypervisor的虛擬交換機連線到SDN控制器,安全控制平台透過SDN控制器開放的北向介面與之連線。


  應用背景    隨著雲端計算、軟體定義網路SDN等新技術的廣泛應用,以及伴隨新型攻擊方式的出現,傳統網路安全模式面臨著巨大挑戰。在雲端計算環境中,物理安全裝置不能監控和理解虛擬化資料流,難以對其進行有效防護;傳統安全架構不能提供按需彈性的網路安全功能,無法適應雲端計算環境靈活的業務發展需求。    在軟體定義網路SDN的基礎上提出“軟體定義安全SDS”的安全防護思路,實現雲端計算環境的安全由業務和應用驅動,從而實現複雜網路的安全防護,提升安全防護能力和使用者安全體驗。    基於“軟體定義安全”的防護思路    軟體定義安全SDS是從軟體定義網路SDN引申而來,原理是將通過安全資料平面與控制平面分離,對物理及虛擬的安全裝置與其接入模式、部署方式、實現功能進行了解耦,底層抽象為安全資源池裡的資源,頂層統一通過軟體程式設計的方式進行智慧化、自動化的業務編排和管理,以完成相應的安全功能,從而實現一種靈活的安全防護。          圖1 軟體定義安全的防護架構    如圖1:作為安全作業系統的安全控制平臺,向上為安全應用提供程式設計介面,向下提供安全裝置資源池化管理,東西向可適配不同的業務管理平臺(如雲管理平臺、SDN控制平臺和定製的管理平臺等)。在內部,從這些不同的介面獲得資訊轉化成標準的安全策略、資產庫資訊、日誌告警,並利用這些資訊完成任務排程、智慧決策和命令推送,將以往需要人工完成或半自動完成的管理流程轉換成了接近全自動化控制。    在雲端計算環境中利用虛擬化技術實現安全裝置的資源池化,並通過安全控制平臺與SDN控制器的協同,使雲端計算環境中的流量經過特定安全裝置,實現安全檢測、過濾等安全防護功能。此外根據應用所需的安全需求就可以從資源池中找到相應安全資源,而不用關心物理上安全裝置部署在哪裡,也不需要考慮安全裝置如何佈線劃區。          圖 2 網路安全裝置部署方式    如圖2:虛擬安全裝置可以部署在計算節點或安全節點上,工作在二/三層網路。計算節點和安全節點內Hypervisor的虛擬交換機連線到SDN控制器,安全控制平臺通過SDN控制器開放的北向介面與之連線。          圖 3 使用SDN技術實現流量牽引的原理    如圖3:當接收並解析安全策略後,安全控制平臺通過SDN控制器向虛擬交換機下發流表,依次在源節點的虛擬交換機、源目節點間的隧道(GRE/VXLAN等)和目的節點的虛擬交換機之間建立一條路徑,這樣原來虛擬機器VM1通過源節點虛擬交換機直接到 VM2的流量,就沿著上述指定路徑先到了目的節點的虛擬安全裝置,當處理完畢之後,資料流從安全裝置的輸出網絡卡返回到最終的目的虛擬機器VM2。          圖 4 使用SDN技術實現服務鏈    如圖4:當需要多種型別的安全防護時,資料流就會依次經過多個安全裝置,形成一條服務鏈。    實現價值    1.縱深防禦的安全體系    基於安全域部署相應的防護措施,實現縱深防禦,滿足雲端計算平臺的安全保障要求。    2.模組化架構可靈活擴充套件    根據應用場景和需求的不同,選擇和部署相應的安全資源、系統功能模組、安全應用。    3.橫向(東西)流量的防護    通過部署虛擬化的安全資源池和流量引導技術,可以實現牽引東西向流量到安全資源池內做檢測和防護。    4.滿足等保合規要求    通過構建安全監測、識別、防護、審計和響應的綜合安全能力,保障雲端計算資源和服務的安全,確保符合等級保護的要求。
  圖 3 使用SDN技術實現流量牽引的原理
  
如圖3:當接收並解析安全策略後,安全控制平台透過SDN控制器,向虛擬交換機下發流表,依次在源節點的虛擬交換機、源目節點間的隧道(GRE/VXLAN等)和目的節點的虛擬交換機之間建立一條路徑,這樣原來虛擬機器VM1透過源節點虛擬交換機,直接到 VM2的流量,就沿著上述指定路徑先到了目的節點的虛擬安全裝置,當處理完畢之後,資料流從安全裝置的輸出網路卡返回到最終的目的虛擬機器VM2。


  應用背景    隨著雲端計算、軟體定義網路SDN等新技術的廣泛應用,以及伴隨新型攻擊方式的出現,傳統網路安全模式面臨著巨大挑戰。在雲端計算環境中,物理安全裝置不能監控和理解虛擬化資料流,難以對其進行有效防護;傳統安全架構不能提供按需彈性的網路安全功能,無法適應雲端計算環境靈活的業務發展需求。    在軟體定義網路SDN的基礎上提出“軟體定義安全SDS”的安全防護思路,實現雲端計算環境的安全由業務和應用驅動,從而實現複雜網路的安全防護,提升安全防護能力和使用者安全體驗。    基於“軟體定義安全”的防護思路    軟體定義安全SDS是從軟體定義網路SDN引申而來,原理是將通過安全資料平面與控制平面分離,對物理及虛擬的安全裝置與其接入模式、部署方式、實現功能進行了解耦,底層抽象為安全資源池裡的資源,頂層統一通過軟體程式設計的方式進行智慧化、自動化的業務編排和管理,以完成相應的安全功能,從而實現一種靈活的安全防護。          圖1 軟體定義安全的防護架構    如圖1:作為安全作業系統的安全控制平臺,向上為安全應用提供程式設計介面,向下提供安全裝置資源池化管理,東西向可適配不同的業務管理平臺(如雲管理平臺、SDN控制平臺和定製的管理平臺等)。在內部,從這些不同的介面獲得資訊轉化成標準的安全策略、資產庫資訊、日誌告警,並利用這些資訊完成任務排程、智慧決策和命令推送,將以往需要人工完成或半自動完成的管理流程轉換成了接近全自動化控制。    在雲端計算環境中利用虛擬化技術實現安全裝置的資源池化,並通過安全控制平臺與SDN控制器的協同,使雲端計算環境中的流量經過特定安全裝置,實現安全檢測、過濾等安全防護功能。此外根據應用所需的安全需求就可以從資源池中找到相應安全資源,而不用關心物理上安全裝置部署在哪裡,也不需要考慮安全裝置如何佈線劃區。          圖 2 網路安全裝置部署方式    如圖2:虛擬安全裝置可以部署在計算節點或安全節點上,工作在二/三層網路。計算節點和安全節點內Hypervisor的虛擬交換機連線到SDN控制器,安全控制平臺通過SDN控制器開放的北向介面與之連線。          圖 3 使用SDN技術實現流量牽引的原理    如圖3:當接收並解析安全策略後,安全控制平臺通過SDN控制器向虛擬交換機下發流表,依次在源節點的虛擬交換機、源目節點間的隧道(GRE/VXLAN等)和目的節點的虛擬交換機之間建立一條路徑,這樣原來虛擬機器VM1通過源節點虛擬交換機直接到 VM2的流量,就沿著上述指定路徑先到了目的節點的虛擬安全裝置,當處理完畢之後,資料流從安全裝置的輸出網絡卡返回到最終的目的虛擬機器VM2。          圖 4 使用SDN技術實現服務鏈    如圖4:當需要多種型別的安全防護時,資料流就會依次經過多個安全裝置,形成一條服務鏈。    實現價值    1.縱深防禦的安全體系    基於安全域部署相應的防護措施,實現縱深防禦,滿足雲端計算平臺的安全保障要求。    2.模組化架構可靈活擴充套件    根據應用場景和需求的不同,選擇和部署相應的安全資源、系統功能模組、安全應用。    3.橫向(東西)流量的防護    通過部署虛擬化的安全資源池和流量引導技術,可以實現牽引東西向流量到安全資源池內做檢測和防護。    4.滿足等保合規要求    通過構建安全監測、識別、防護、審計和響應的綜合安全能力,保障雲端計算資源和服務的安全,確保符合等級保護的要求。
  圖 4 使用SDN技術實現服務鏈
  
如圖4:當需要多種型別的安全防護時,資料流就會依次經過多個安全裝置,形成一條服務鏈。
  
實現價值
1.縱深防禦的安全體系
基於安全域部署相應的防護措施,實現縱深防禦,滿足雲端計算平台的安全保障要求。
  
2.模組化架構可靈活擴充套件
根據應用場景和需求的不同,選擇和佈署相應的安全資源、系統功能模組、安全應用。
  
3.橫向(東西)流量的防護
透過佈署虛擬化的安全資源池和流量引導技術,可以實現牽引東西向流量,到安全資源池內做檢測和防護。
  
4.滿足等保合規要求
透過建構安全監測、辨識、防護、審計和響應的綜合安全能力,保障雲端計算資源和服務的安全,確保符合等級保護的要求。




0 意見: