两档网络安全 云计算环境下的网络安全透视 基于秩序的快档和基于知识的深档 潘柱廷启明星辰首席战略官 中国计算机学会常务理事2013.11.26 提纲和逻辑 云怎么改变云里的两档两档网络 网络安全？网络安全安全通用 原则 云怎么改变网络关注网络的 •什么是网络？【流】 2 云怎么改变了网络安全？ 以前业界的主流安全云环境下的困局 •系统安全类•系统安全类 漏洞扫描、渗透测试对系统对象不够了解 杀毒、终端安全底层权限获取的差异 配置检查 •网络边界安全类•网络边界安全类 安全域梳理安全域不再是树形关系 边界网关：FW、UTM、IPS边界模糊、动态 边界检测：IDS、网络审计边界位置部署模式变化 •加密类•加密类 3 拆解边界困局 4 云怎么改变了网络？ 云的哪些特性大大地影响了 NIST云特性示意图 网络? •宽带网络接入 •快速弹性 •可测量服务 •按需自服务 •统一资源池 •多租户 5 云怎么改变了网络？ 云的哪些特性大大地影响了 网络? 宽带•宽带网络接入 服务资源 •快速弹性 高度灵活 •可测量服务 访问意图资源•按需自服务 “集中”•统一资源池 •多租户 资源结构 复杂 6 虚拟化怎么改变了网络？ 五大虚拟化 计算•服务器虚拟化 存储•存储虚拟化 终端•桌面虚拟化 终端应用•应用虚拟化 网络网络•网络虚拟化 设备设备 网络节点虚拟化 7 SDN怎么改变了网络？ 节点虚拟化和网络结构虚拟化 计算•服务器虚拟化 存储•存储虚拟化 终端•桌面虚拟化 •应用虚拟化 网络网络•网络虚拟化 设备设备网络节点虚拟化 •SDN软件定义网络 8 不得不问:“什么是网络？” 网、静态结构 •节点、连接、拓扑结构、域… 流、传输和访问 •路径、流(SDN)、服务、路由… 包、协议和标识 •IP地址、DNS、Session结构… 内容和语义 •包解析、指令语义… 9 什么在改变网络？ 网、静态结构 •虚拟网络设备的生成、迁移… •服务器和终端节点的生成、迁移、消失… 流、传输和访问 •SDN将静态结构隔离于流和应用 •静态结构的变化导致流变化 包、协议和标识 •… 内容和语义 •希望对应用透明… 10 区别处置“变”与“不变” 网、静态结构 •… 变 流、传输和访问 •… 包、协议和标识 •… 相对不变 内容和语义 •… 11 区别处置“变”与“不变” 网、静态结构 网关安全设备的部署 •… 基于N元组的过滤变 流、传输和访问 •……… 包、协议和标识 包攻击特征解析 •… 病毒解析 用户认证相对不变 内容和语义 内容过滤•……… 12 引申两个层面的网络问题 拆分两个层面的安全问题 网、静态结构 •… 流、传输和访问流安全 •… 包、协议和标识 •…包安全 内容和语义 •… 13 【流安全解决方案示例】 软件定义虚拟网络安全检测边界 14 虚拟环境下的旁路检测问题 •旁路检测要部署在边界 •边界问题的根本是什么？ 边界是静态结构层面的问题 •用流的视角来规避并解决复杂边界问题 用相对清晰的流问题替换复杂而动态的边界 问题 15 检测需要解决的问题 业务子网1业务子网2 ①内在信道服务器1服务器2服务器3服务器4服务器5服务器6 网卡1网卡2网卡3网卡4网卡5网卡6 1000Mb ②虚拟机位置安全设备 NIDS(监控业务子网1) 端口A端口B端口C…...端口A端口B端口C…... ③网络边界消失接入物理交换机上行端口接入物理交换机上行端口 1000Mb1000Mb 端口A端口B端口C…... ④链路流量混杂镜像 汇聚物理交换机上行端口 虚拟化前的网络拓扑 ⑤端口镜像负载过大immigration② 服务器1服务器2服务器4服务器3服务器5服务器6服务器3 虚拟网卡1虚拟网卡2虚拟网卡4虚拟网卡3虚拟网卡5虚拟网卡6虚拟网卡3 隐蔽信道： NIDS不可见流量 ① 虚拟端口A虚拟端口B虚拟端口C虚拟端口A虚拟端口B虚拟端口C 虚拟交换机1上行端口虚拟交换机2上行端口 ③物理网卡1③物理网卡2 虚拟化服务器1虚拟化服务器2 ⑤1000Mb?1000Mb1000Mb ④ 端口A端口B端口C端口D端口E端口F端口G…... 镜像 上行端口 镜像物理交换机 安全设备 NIDS 虚拟化后的网络拓扑 16 边界1 •物理网络边界防护安全域1防护安全域2 安全域2边界流量汇聚点 安全域1边界流量汇聚点NIDS1Audit1NIDS2Audit2 网络1汇聚交换机网络2 镜像镜像 PC1PC2PC3upl