php网站开发要学什么软件,织梦网站主页,构建微网站,wordpress网页版第3章 用软件定义的理念做安全
1.不进则退#xff0c;传统安全回到“石器时代”
1.1 企业业务和IT基础设施的变化
随着企业办公环境变得便利#xff0c;以及对降低成本的天然需求#xff0c;企业始终追求IT集成设施的性价比、灵活性、稳定性和开放性。而云计算、移动办公…第3章 用软件定义的理念做安全
1.不进则退传统安全回到“石器时代”
1.1 企业业务和IT基础设施的变化
随着企业办公环境变得便利以及对降低成本的天然需求企业始终追求IT集成设施的性价比、灵活性、稳定性和开放性。而云计算、移动办公等新技术和业务模式的出现已经使企业的IT基础设施发生了极大的变革此时传统安全已很难适应新的业务环境。
1.2 传统安全面临的挑战
目前传统安全面临着巨大的挑战其原因主要有两点IT系统的变革及安全威胁的挑战。 在云计算场景中云计算平台使以往传统IT基础设施中的安全设备和安全机制失效同时云计算平台本身的机制如虚拟资源的申请和开通也会改变IT和安全运维的方法和流程。如果这些问题不能解决则将制约云计算平台的进一步发展。 关于前一个问题传统安全体系在软件化、虚拟化网络环境中存在的问题如下。
1虚拟化环境中现有的物理安全机制可能无法观测到恶意攻击。
下图所示虚拟机VM1和VM2在同一台物理主机内那么两者的通信只存在于VM1、虚拟交换机和VM2之间无法被外部的防火墙监控到自然就不能做访问控制。 2虚拟化网络中数据包难以被现有安全机制所理解。
下图所示虚拟机VM1和VM2在不同的物理主机内虽然两者的通信经过外部防火墙但由于物理主机间通过隧道相连如果防火墙只是简单地部署在物理交换机一侧那么它只能看到Host1到Host2的数据包而不能去掉隧道的头部解析VM1到VM2的流量的。 在移动办公场景中传统IT基础设施需要连接另一套无线接入网络而且这套网络可能部署在任何区域接入的设备类型五花八门安全始终是制约移动办公的重要因素。对于外部攻击者只需伪造SSID就可以搭建恶意无线路由器窃取用户的敏感信息对于内部攻击者如果管理人员不对无线接入网络做合理的网络划分就可能会入侵办公网之外的敏感区域造成非授权的访问。 软件化、移动化使得以往固定的环境会随着业务和环境的变更快速变化具体IT环境的变化体现在以下方面
虚拟化。通过虚拟化技术计算、存储和网络等基础设施可弹性、快速分配业务系统应用、用户资产都可通过软件层面进行快速部署而无须关心复杂的实际网络拓扑和物理分布限制。自动化。网络技术演进加速随着VXLAN、NVGRE等隧道技术的出现突破个VLAN个数的限制使管理员不可能通过人工的方式分配网络、更新网络配置自动化网络运维几乎成为了必然。软件化。SDN技术的出现将网络数据包的转发和控制平面分离使得网络管理集中化、可编程化从而使整个网络运维非常灵活。互联网化。互联网行业的高效创新能力驱动业务系统和应用服务快速开发、部署和更新。
既然网络环境变化成为了常态安全机制部署和安全策略也可能随时发生变化使安全运维存在诸多挑战
网络环境变化所带来的新的安全威胁。安全机制是否能适应软件化、虚拟化环境。安全策略是否能够及时、正确地跟随环境迁移。
另外越来越多的攻击者带来了新的更严峻的安全威胁。其原因有很多方面如黑产规模化、攻击成本降低、在线支付普及等。这些安全威胁的特点主要如下。 1给安全防护留下的响应时间更短脆弱性的利用速度、安全威胁传播速度需要动态的、快速部署的安全能力。 2攻击更隐蔽手段更先进难以用一种通用的方法完成检测和防护需要更多的定制、组合的安全能力。 3攻击的持续性持续的攻击需要持续的、高强度的安全防护这使安全防护的成本增大因此需要低成本、高自动化的安全防护能力。
1.3 SDN之前的应对方案
Cisco和一些厂家在SDN出现前推进的自防御网络。对于应对企业边界的逐渐消除、安全威胁不断演进、企业面对更多的安全威胁Cisco自防御网络的应对策略是构建灵活、可管理、分层的安全防御架构从理念上来说它是一种安全自动化方案。这种架构的核心思想如下。
与网络设备高度集成使每一个网元节点都作为安全策略的执行点成为安全防护体系的一部分。通过这种高度集成实现了安全对网络和业务的感知使安全防护可以及时感知和跟进网络的变化自然也解决了网络边界消除导致的安全设备部署难题。在不同网络设备和服务间实现高度的协作通过协作使网络可以自适应地应对不断发展和演变的安全威胁。
在实现层面自防御网络最初是将防火墙、IPS、VPN等安全技术嵌入到网络体系架构中之后逐渐演进成将安全服务集成在路由器、交换机等网络设备中。从用户的角度来说也只有整体采用一个厂家的设备才可能实施这种高度集成和协作的安全自动化因此不具有很好的可扩展性。 因此有必要将这种安全服务对网络的感知、安全的自动化在开放的架构上去实现将网络功能进一步分层并将接口开放出来从而在架构层面实现安全对网络的感知及安全自动化能力。这正是软件定义安全在之前的解决方案上重要的进步。
2.软件定义是否是银弹
2.1 SDN带来的机遇
中心化的智能控制系统
网络控制器就能根据上下文场景计算网络或安全策略快速、有效地调度网络中的流量。
全局和实时流量视图
SDN控制器具有全局网络实时的流量信息这些信息在很多防护场景中非常有用。例如在DDoS检测时可获取物理网络处的硬件交换机的sFlow或OpenFlow流信息然后根据数据包流的统计特征进行判断确认是否存在恶意攻击。 基于全局网络设备提供的流量信息可构建基于流量的实时和历史知识库进而运行时对任意访问进行分析确认其在历史知识库中是否存在相似的模式。如果没有则可能是攻击者的恶意试探进而通过NFV技术按需部署虚拟安全设备进行深度包检测。
可编程
安全厂商可以很方便地通过北向接口定义控制模式和控制策略并将这些控制策略快速地分发到全局网络中的任意角落形成软件化的控制体系不给内网攻击者可乘之机。 安全厂商也可以通过网络控制器提供的服务链的接口很方便地部署深度检测设备并通过虚拟的链路将其连接起来形成按需的安全部署。
抽象性
SDN控制器提供了高度抽象的北向接口安全应用开发者不需要了解复杂的网络底层实现就能编写出满足安全需求的北向应用。例如开发者只需要知道对恶意流量做防护以及防护设备网卡的MAC值就可以直接向网络控制器发送一条指令将满足要求的流量牵引到该MAC所在的交换机端口。抽象性简化了网络开发的难度提高了安全应用的开发效率和质量。
2.2 SDN对网络安全带来的影响
基于OpenFlow的SDN技术为实现高度安全和可管理的环境提供了以下优点 ➊ 基于流的视角是一个理想的安全处理流程因为它提供了不受传统路由限制的端到端、面向服务的连接模型。 ➋ 逻辑上集中控制机制允许在整个网络范围内进行高效的威胁检测。 ➌ 粒度策略管理可以基于应用、服务、组织和地理因素而不是物理配置。 ➍ 基于资源的安全策略支持面向不同威胁风险的多种设备的统一管理包括防火墙和安全设备到访问设备。 ➎ 通过可编程的控制机制对安全策略进行动态的灵活调整。 ➏ 灵活的路径管理实现了快速处置和隔离入侵而不会影响其他网络用户。 ➐ 通过结合历史和实时的网络状态和性能数据SDN利用智能决策在通用的基础设施上实现了灵活简单、可操作的安全机制。 ➑ 通过快速牵引、阻断或镜像流量可以对恶意攻击进行实时响应。 ➒ 多个访问控制安全应用可同时下发安全策略最终在网络设备上体现为对流表进行细粒度的控制。另外通过流表项一致性比较也可以判断上层是否出现了冲突的安全策略进而进行业务层面的排查。
但是SDN侧重于流的处理缺少包一级的处理。然而在进行安全检测时不仅需要对数据流的特性进行分析还需要对部分数据包的内容进行检测。在SDN网络中可以通过以下两种方法得到数据包级的信息。 ❶ 通过PACKET-IN消息控制器可得到由交换机发送的流首包部分头部信息只要控制器不为这条流下发流表交换机会将后续的所有包仍按首包发送给控制器。 ❷ 由控制器要求交换机复制一条流到某台设备由此设备完成包级的处理。
