Software-Defined Secure Networks in Action
 |
來源:公众号/绿盟科技企业事业部
應用背景
隨著雲端計算、軟體定義網路SDN等新技術的廣泛應用,以及伴隨新型攻擊方式的出現,傳統網路安全模式,面臨著巨大挑戰。在雲端計算環境中,實體安全裝置不能監控和理解虛擬化資料流,難以對其進行有效防護;傳統安全架構不能提供按需彈性的網路安全功能,無法適應雲端計算環境靈活的業務發展需求。
在軟體定義網路SDN的基礎上提出「軟體定義安全SDS」的安全防護思路,實現雲端計算環境的安全由業務和應用驅動,從而實現複雜網路的安全防護,提升安全防護能力和使用者安全體驗。
基於「軟體定義安全」的防護思路
軟體定義安全SDS是從軟體定義網路SDN引申而來,原理是將通過安全資料平面與控制平面分離,對實體及虛擬的安全裝置與其接入模式、佈署方式、實現功能進行了解耦,底層抽象為安全資源池裡的資源,頂層統一透過軟體程式設計的方式,進行智慧化、自動化的業務編排和管理,以完成相應的安全功能,從而實現一種靈活的安全防護。
圖1 軟體定義安全的防護架構
如圖1:作為安全作業系統的安全控制平台,向上為安全應用提供程式設計介面,向下提供安全裝置資源池化管理,東西向可適配不同的業務管理平台(如雲管理平台、SDN控制平台和訂製的管理平台等)。
在內部,從這些不同的介面獲得資訊轉化成標準的安全策略、資產庫資訊、日誌告警,並利用這些資訊完成任務排程、智慧決策和命令推送,將以往需要人工完成,或半自動完成的管理流程,轉換成了接近全自動化控制。
在雲端計算環境中,利用虛擬化技術實現安全裝置的資源池化,並透過安全控制平台與SDN控制器的協同,使雲端計算環境中的流量,經過特定安全裝置,實現安全檢測、過濾等安全防護功能。
此外根據應用所需的安全需求,就可以從資源池中,找到相應安全資源,而不用關心物理上安全裝置佈署在哪裡,也不需要考慮安全裝置如何佈線劃區。
圖 2 網路安全裝置佈署方式
如圖2:虛擬安全裝置可以佈署,在計算節點或安全節點上,工作在二/三層網路。計算節點和安全節點內Hypervisor的虛擬交換機連線到SDN控制器,安全控制平台透過SDN控制器開放的北向介面與之連線。
圖 3 使用SDN技術實現流量牽引的原理
如圖3:當接收並解析安全策略後,安全控制平台透過SDN控制器,向虛擬交換機下發流表,依次在源節點的虛擬交換機、源目節點間的隧道(GRE/VXLAN等)和目的節點的虛擬交換機之間建立一條路徑,這樣原來虛擬機器VM1透過源節點虛擬交換機,直接到 VM2的流量,就沿著上述指定路徑先到了目的節點的虛擬安全裝置,當處理完畢之後,資料流從安全裝置的輸出網路卡返回到最終的目的虛擬機器VM2。
圖 4 使用SDN技術實現服務鏈
如圖4:當需要多種型別的安全防護時,資料流就會依次經過多個安全裝置,形成一條服務鏈。
實現價值
1.縱深防禦的安全體系
基於安全域部署相應的防護措施,實現縱深防禦,滿足雲端計算平台的安全保障要求。
2.模組化架構可靈活擴充套件
根據應用場景和需求的不同,選擇和佈署相應的安全資源、系統功能模組、安全應用。
3.橫向(東西)流量的防護
透過佈署虛擬化的安全資源池和流量引導技術,可以實現牽引東西向流量,到安全資源池內做檢測和防護。
4.滿足等保合規要求
0 comments:
張貼留言