軟件定義安全(2016).ppt

1、軟件定義安全（2016）,Software Defined-Security 2016,綠盟科技,軟件定義安全架構(gòu),SDS Architecture,背景介紹 軟件定義安全架構(gòu) 軟件定義安全！=云/SDN安全,01,背景介紹,網(wǎng)絡空間安全受到了空前的重視 網(wǎng)絡安全已成為國家戰(zhàn)略 網(wǎng)絡安全法，網(wǎng)絡產(chǎn)品和服務安全審查辦法， 安全廠商層層防護，但互聯(lián)網(wǎng)上的安全事件不減反增 修復漏洞平均花費兩周 ，而攻擊者從發(fā)動攻擊到竊取數(shù)據(jù)往往僅需數(shù)小時 Mirai，烏克蘭電力門，Ransomeware，Swift系統(tǒng)$8100w盜竊，OpenSSL，Struct 2， 一個最好的時代，也是一個最壞的時代,軟件定義

2、安全理念,連接協(xié)同 有機結(jié)合多種安全機制，實現(xiàn)協(xié)同防護、檢測和響應； 敏捷處置 在出現(xiàn)異常時進行智能化的判斷和決策，自動化地產(chǎn)生安全策略，并通過安全平臺快速分發(fā)到具有安全能力的防護主體； 隨需而變 當安全事件爆出后，攻擊者的攻擊方法更新很快，那么就要求防護者能緊跟甚至超過攻擊者，以快制快，在數(shù)據(jù)泄露的窗口期內(nèi)阻止攻擊者。,軟件定義安全是將通過安全數(shù)據(jù)平面與控制平面分離，對物理及虛擬的網(wǎng)絡安全設備與其接入模式、部署方式、實現(xiàn)功能進行了解耦，底層抽象為安全資源池里的資源，頂層統(tǒng)一通過軟件編程的方式進行智能化、自動化的業(yè)務編排和管理，以完成相應的安全功能，從而實現(xiàn)一種靈活的安全防護。 在2016年7

3、月Gartner發(fā)布的2016年新興技術(shù)成熟度曲線報告中，軟件定義安全在成熟度曲線上已經(jīng)有明顯的移動，越過了成熟度曲線的最高點。對此，報告的評論是“安全供應商繼續(xù)將更多策略管理從個別硬件元素移動到一個基于軟件的管理平面，以便保證指定安全策略的靈活性。因此，軟件定義安全為安全策略的執(zhí)行帶來速度和敏捷性”。,不再假設防護（Protection）能實現(xiàn)萬無一失的安全 更強調(diào)檢測（洞見）和響應（敏捷）的能力 更重要的是將這四個步驟有機的進行編排，實現(xiàn)針對不同攻擊的動態(tài)防御,百家論 之 自適應安全,Phantom： RSAC 2016創(chuàng)新沙盒Winner，從應用層入手，構(gòu)建自動化、可編排的安全應用體系，

4、支持多種數(shù)據(jù)源和主流的SIEM平臺；同時，可以讓安全管理團隊編寫腳本Playbook，調(diào)用相應的安全服務，實現(xiàn)安全運維自動化 Resilient System：被IBM收購，推出彈性的災難恢復服務 編排引擎可以軟件定義安全為支撐體系，利用北向應用編排機制進行安全資源和策略的靈活調(diào)配，實現(xiàn)多種防護手段的協(xié)同運作,百家論 之 應用編排,Google BeyondCorp 徹底打破內(nèi)外網(wǎng)之別，通過統(tǒng)一的訪問控制引擎，管理不同用戶對不同資源的訪問，而不將用戶和資源的位置作為決策依據(jù) Skyport Systems 基于TPM的虛擬化零信任訪問控制體系 CSA SDP 面向企業(yè)關(guān)鍵基礎設施的集中訪問控制

5、體系 VMWare Micro-Segmentation 虛擬化環(huán)境中的東西向內(nèi)部網(wǎng)絡訪問控制,百家論 之零信任/微分段,軟件定義安全！=云/SDN安全 軟件定義安全：安全數(shù)據(jù)控制分離的理念，實現(xiàn)安全運營自動化 云/SDN安全：防護云中（SDN網(wǎng)絡）的設施和業(yè)務安全 軟件定義安全的理念可能最早會在安全防護得到體現(xiàn) 開放接口 敏捷彈性的資源池助力 SDN/NFV的支持 安全及服務滿足SMB客戶,軟件定義安全與云/SDN安全,軟件定義安全架構(gòu)與云/SDN,安全編排：一切防護皆軟件定義,應用編排 在線商店,02,應用編排：軟件定義安全的靈魂,軟件化、自動化和敏捷性都是通過面向不同場景的安全應用所體現(xiàn)

6、的 多應用協(xié)同進行編排可實現(xiàn)復雜的安全功能 例如，用戶行為畫像應用由以下應用組合而成 網(wǎng)絡流量分析應用，對收集到的流量進行格式化、建模，建立正常訪問基線； 資產(chǎn)分析應用評估出企業(yè)的重要資產(chǎn)，結(jié)合企業(yè)已有的ERP和CRM系統(tǒng)的API獲得員工身份信息； 安全審計應用獲得安全設備上傳的實時日志； UEBA（User and Entity Behavior Analytics）應用將上述多維度的信息和訪問記錄還原成可理解的用戶和個體行為，從而找到如離職員工訪問內(nèi)網(wǎng)的數(shù)據(jù)庫等異常事件。,改變了安全應用的交付模式 加快了安全應急響應的速度,安全應用商店,查找應用,購買應用,下載應用,部署應用,運行應用,尋

7、找銷售,確定售前方案,下單訂購,等待生產(chǎn)出廠,運輸?shù)截?安裝設備,工程調(diào)試,運行,10分鐘,20分鐘,5分鐘,10天-1月,1周-2月,1天-1月,應用商店模式的上線時間分析,傳統(tǒng)安全產(chǎn)品的上線時間分析,應用商店首頁,應用商店查看應用,應用商店部署應用,資源池：按需而變的安全能力,軟件定義安全的落地難題 安全資源池架構(gòu) 基于資源池的云環(huán)境安全防護,03,軟件定義安全應用在云環(huán)境的落地困境,難點： 安全產(chǎn)品的虛擬化及適配云平臺Hypervisor較為困難 安全設備的證書體系在云平臺中不能直接適用。 安全方案無法控制云平臺的內(nèi)部流量。 資源池（見圖）：打通最后一環(huán),1種邏輯結(jié)構(gòu)=n種物理形態(tài) 資源

8、池化,Security Agent,VFW,VIPS,FW vsys,Engine,Security Agent,VFW,VWAF,FW,Overlay Network,Physical Network,FW vsys,安全控制平臺,High Availability,Failure Recovery,Scalability,Service Chain,Load Balance,APP,APP,APP,資源池架構(gòu),多種形態(tài)的安全設備通過池化形成一個個安全資源池 資源池按需提供安全能力 安全資源池與其他基礎設施一起構(gòu)建SDx,云環(huán)境中基于安全資源池實現(xiàn)南北向服務鏈,SDN控制器,安全節(jié)點,安全控

9、制平臺,Openflow指令,vswitch,輸入網(wǎng)卡,輸出網(wǎng)卡,IPS,WAF,FW,vswitch,輸入網(wǎng)卡,輸出網(wǎng)卡,IPS,WAF,IPS,vswitch,輸入網(wǎng)卡,輸出網(wǎng)卡,IPS,WAF,FW,安全節(jié)點,Security Fabric,數(shù)據(jù)中心入口,云系統(tǒng)入口,Overlay Network,agent,agent,agent,安全控制平臺,SDN控制器,云計算控制節(jié)點,計算節(jié)點,hypervisor,VM1,VM2,VM3,vswitch,網(wǎng)卡,安全節(jié)點,hypervisor,vswitch,輸出網(wǎng)卡,輸入網(wǎng)卡,Rack交 換機,IPS,FW,WAF,Openflow指令,云系統(tǒng)

10、流量 調(diào)度 指令,SDN控制器,資源池內(nèi)部流量調(diào)度 指令,云環(huán)境中基于安全資源池實現(xiàn)東西向服務鏈,軟件定義安全實踐,面向混合云和移動辦公的自適應訪問控制 使用服務鏈+微分段技術(shù)的云計算Web安全服務 可編排的應急響應/彈性服務,04,問題：企業(yè)網(wǎng)絡環(huán)境日益復雜，防護難度不斷提高 引入BYOD 部署私有云 連接公有云 遠程接入 需求：統(tǒng)一的訪問控制機制 方案：集中訪問控制應用+流控制+服務鏈+vDPI,面向混合云和移動辦公的自適應訪問控制,Garnter: Adaptive Access Control,一些先進的訪問控制模型和方案,CSA:SDP(Perimeter),Checkpoint：SDP(Protection),SDN控制無線和有線網(wǎng)絡準入 FWaaS控制云中訪問控制 NFV安全設備組成服務鏈進行深度安全檢測 集中訪問控制應用實現(xiàn)多網(wǎng)絡環(huán)境的統(tǒng)一訪問控制 機器學習實現(xiàn)訪問基線建立和基于上下文的訪問控制,訪問控制系統(tǒng)示意圖,使用服務鏈+微分段技術(shù)的云計算Web安全服務,可編排的應急響應/彈性服務,安全廠商應該提供彈性服務（Resilient Service），為企業(yè)提供預測、防護、檢測和響應服務，通過模板提供自動化的處置流程，應對各種類型的安全事件，縮短整體處理時間。,To sum up and some deductions ,軟件定義安全不等于SDN安全，但兩者有千絲