Virtualization), 既是挑战, 也是机遇首先, 作为新技术, 云计算引入了新的威胁和风险, 进而也影响和打破了传统的信息安全保障体系设计实现方法和运维管理体系, 如网络与信息系统安全边界的划分和防护安全控制措施选择和部署安全评估和审计安全监测和安全运维等许多方面其次, 云计

Size: px

Start display at page:

Download "Virtualization), 既是挑战, 也是机遇首先, 作为新技术, 云计算引入了新的威胁和风险, 进而也影响和打破了传统的信息安全保障体系设计实现方法和运维管理体系, 如网络与信息系统安全边界的划分和防护安全控制措施选择和部署安全评估和审计安全监测和安全运维等许多方面其次, 云计"

路钮帅祖
5 years ago
Views:

1 软件定义的云安全体系架构 ( 一 ) 战略研究部刘文懋本文着重阐述如何使用新技术和新架构实现下一代软件定义的安全防护体系, 首先介绍了目前业界现状和相关工作, 接着给出软件定义的安全架构, 然后分别介绍安全应用商店安全控制平台和安全设备的重构, 最后会给出若干绿盟科技的实践案例一. 简介随着网络安全已成为国家层面的对抗, 我国政府企业和各大机构对自身的信息安全日益重视 2014 年, 我国已成立了中央网络安全和信息化领导小组, 负责制定实施国家网络安全和信息化发展战略各大企业也纷纷组建自己的安全团队和安全应急响应中心, 通过专业化的安全运维提升自身的安全防护能力然而网络攻击数量逐年增加, 安全形势不容乐观, 很多传统的安全防护手段在新型的攻击下低效甚至失效根据绿盟科技统计, 在云计算信息系统方面,VMware 虚拟化系统共出现过 222 个漏洞, 其中高危 52 个, 过去一年内中披露了 11 个漏洞 ; 全球最大的开源 IaaS 系统 Openstack 共披露了 68 个漏洞, 过去一年就有 14 个漏洞, 其中高危 1 个这些漏洞无疑为外部或内部攻击者提供了极其便利的攻击手段在 Verizon 的最新的 2015 Data Breach Investigations Report 报告中提到, 一次定向攻击从开始到数据窃取平均只需数小时, 而防守方从攻击开始到检测完成则需数月可见安全界亟需改造自身的安全防护体系, 以快速响应应对漏洞利用攻击, 以威胁情报分析应对隐秘威胁不仅如此, 新的技术出现也在考验原有的网络安全防护体系云计算等技术的迅猛发展, 已在深刻改变传统的 IT 基础设施应用数据以及 IT 运营管理特别对于安全管理来说, 一些新技术, 如软件定义网络 (SDN,Software Defined-Networking) 网络功能虚拟化 (NFV,Network Function 12

2 Virtualization), 既是挑战, 也是机遇首先, 作为新技术, 云计算引入了新的威胁和风险, 进而也影响和打破了传统的信息安全保障体系设计实现方法和运维管理体系, 如网络与信息系统安全边界的划分和防护安全控制措施选择和部署安全评估和审计安全监测和安全运维等许多方面其次, 云计算的资源弹性按需调配高可靠性及资源集中化等都间接增强或有利于安全防护, 同时也给安全措施改进和升级安全应用设计和实现安全运维和管理等带来了信息机遇, 也推进了安全服务内容实现机制和交付方式的创新和发展软件定义的理念正在改变 IT 基础设施的方方面面, 如计算存储和网络, 最终成为软件定义一切 (Software Defined Everything) 这一切必然包含安全, 软件定义的安全体系将是今后安全防护的一个重要前进方向本文基于绿盟科技长期对云安全的探索和研究, 积累了多年与全球各大开源和商用的虚拟化平台 /SDN 控制器项目和厂商的合作经验, 提出的一系列云环境中的安全建设和安全运维的框架和方法本文着重阐述如何使用新技术和新架构实现下一代软件定义的安全防护体系, 首先介绍目前业界现状和相关工作, 接着给出软件定义的安全架构, 然后分别介绍安全应用商店安全控制平台和安全设备的重构, 最后会给出若干绿盟科技的实践案例本文展现了绿盟科技在云安全解决方案的中长期目标, 本文涉及的概念架构和相关实践工作并不代表已有相应可销售的产品如果读者欲了解如何在私有云当前的体系实现安全防护, 请参阅绿盟科技私有云安全技术解决方案白皮书二. 软件定义之百家论 2.1 这是一个最好的时代, 这是一个最坏的时代在近五年, 互联网已发生巨大的变化, 无论是基础设施, 还是终端设备, 无一不在重构我们的生活这是一个最好的时代, 云计算大数据移动互联网和物联网等新型的 IT 基础设施和应用已在加快全球信息化步伐随着云计算技术的不断完善和发展, 云计算信息系统更加开放易用, 功能更加强大丰富, 接口更加规范开放, 已经得到了广泛的认可和接受, 许多组织已经或即将进行云计算平台建设有调查表明, 对于企业级用户, 26.1% 将云计算作为投资重点, 而 27.4% 的中小企业更偏向于选择软件定义数据中心作为未来 12 个月的投资重点 [1] 这是一个最坏的时代, 随着而来的是新型环境中各种各样的安全事件, 国家计算机网络应急技术处理协调中心 (CNCERT/CC) 在其 2014 年中国互联网网络安全报告报告中认为, 根据热点形势特点分析, 移动互联网和云计算平台均为 2015 年值得重点关注的热点一方面, 移动互联网发展迅猛, 中国的手机网民已达 5.57 亿 [2], 而移动互联网恶意程序在 2012 年和 2013 年呈爆炸式增长,2014 年获得恶意程序样本数量为个一旦攻击者攻破企业员工的移动设备, 就可能通过 BYOD 应用渗透入企业内网, 部署在传统边界上的安全机制难以起到防护效果另一方面, 云平台普及加大数据泄露和网络攻击风险, 如网络 13

3 主机虚拟资源管理和数据安全等方面都存在各种各样的威胁, 具体威胁点可参见绿盟科技的私有云安全技术解决方案, 此外防护措施和管理机制亟待完善如第一章所述, 作为当前全球最大的商业和开源虚拟化系统,VMware 虚拟化系统和 Openstack 分别出现了 222 和 68 个漏洞, 其中不乏高危漏洞如果攻击者通过 Hypervisor 漏洞从虚拟机穿透到宿主机, 那么很多安全机制就完全失效, 更何况目前国内客户无论采用 VMWare Vsphere 还是 Openstack 的云计算信息系统, 大部分虚拟化环境中没有采用任何安全机制, 或部署任何安全设备总之, 网络攻击的频繁化多样化和隐蔽化, 与传统安全机制检测防护和响应的落后, 造成了不可调和的矛盾, 也对云计算等新型应用的发展造成了极大的阻碍 2.2 软件定义 = 银弹? 随着国家和行业的监管加强, 安全已经成为组织规划设计建设和使用云计算平台而急需解决的重大问题之一, 尤其是不断出现的与云计算平台相关的事件让组织更加担心自身的云计算平台安全保障问题用户对信息安全需求的不断增加, 以及政府政策法规的驱动, 预示着中国云计算安全市场未来潜力巨大发展前景乐观自从著名咨询机构 Garnter 在 The Impact of Software-Defined Data Centers on Information Security [3] 一文中提出软件定义安全 (Software Defined Security, SDS) 的概念后, 软件定义与安全的结合已成为业界的前沿发展热点软件定义安全是从软件定义网络 (Software-Defined Networking,SDN) 引申而来, 原理是将通过安全数据平面与控制平面分离, 对物理及虚拟的网络安全设备与其接入模式部署方式实现功能进行了解耦, 底层抽象为安全资源池里的资源, 顶层统一通过软件编程的方式进行智能化自动化的业务编排和管理, 以完成相应的安全功能, 从而实现一种灵活的安全防护 Check Point 在 RSA 2014 大会上宣布推出软件定义防护 (Software Defined Protection,SDP) 革新性安全架构, 可在当今日新月异的 IT 和威胁环境中为企业提供虚拟化的边界防护赛门铁克也在 RSA 2015 提出使用软件定义网络技术对 APT 攻击进行取证的话题, 也提供了一种安全事件事后快速分析的新思路 [4] Catbird 公司的软件定义安全架构 [5] 通过微分区 (Micro- Segmentation) 在虚拟环境中划分不同的域, 并通过编排将安全策略下发给多种类型的安全设备, 并作用在区域级别或虚拟机级别这些方案有的具有开放性, 有的具有快速响应, 还有的能完成自动化安全运维, 从不同层面表现出软件定义的特征随着一些具有洞察力的安全公司提出了概念性的方案, 并将其做出面向某领域的商用产品, 可预见越来越多的公司的安全产品和解决方案将走向软件定义三. 软件定义安全体系概述几乎每个提出软件定义安全的厂商对该术语本身有不同的解读, 导致实现的方式各有千秋概念上, 本文采用 Garnter 的定义, 架构方面将会按照以下思路进行设计 SDN 技术的出现, 特别是与网络虚拟化结合, 给安全设备的部署模式提供了一种新的思路 SDN 的一个特点是将网络中的控制平面与数据平面分离, 通过集中控制的 14

基于软件定义架构的安全防护体系也可将安全的控制平面和数据平面分离, 架构如图 3.

有不同安全能力的资源池, 并根据具体业务规模横向扩展该资源池的规模, 满足不同客户的安全性能要求其次,

4 方式管理网络中数据流拓扑和路由, 图 3.1 是 SDN 的一个典型架构, 自顶向下可分为网络应用网络控制器和网络设备那么, 基于软件定义架构的安全防护体系也可将安全的控制平面和数据平面分离, 架构如图 3.2 所示, 可分为三个部分 : 安全厂商云端的应用商店 APPStore, 用户环境中软件定义的安全控制平台和安全应用, 以及实现安全功能的设备资源池图 3.1 SDN 典型架构首先, 通过安全能力抽象和资源池化, 安全平台可以将各类安全设备抽象为多个具有不同安全能力的资源池, 并根据具体业务规模横向扩展该资源池的规模, 满足不同客户的安全性能要求其次, 一旦具备了底层的安全基础设施保障, 安全厂商或有二次开发能力的客户可以根据特定安全业务需求, 开发并交付相应的上层安全应用, 以灵活调度安全资源, 进行快速检测威胁发现防护和反馈以往通过工程支持人员完成的人工服务, 就可以通过单个安全应用或多个安全应用编排的方式交付给客户, 以标准化的自动化流程完成图 3.2 安全防护体系架构整个项目的快速交付, 在不同客户运维过程 15

中开发的额外功能, 都可孵化为该应用的标准功能, 大大降低了公司的人工技术支持费用此外, 很多以往客户对产品的定制化需求往往需要花费产品线数月时间开发定制功能, 但在新模式下, 可由节省出的工程人员使用控制平台的应用接口开发安全应用, 实现其功能, 既能较快交付轻量级的应用, 又能保持安全设备本身效率可靠性和功能不臃肿此外, 作为安全操作系统的安全控制平台, 向上为应用提供编程接口,

5 中开发的额外功能, 都可孵化为该应用的标准功能, 大大降低了公司的人工技术支持费用此外, 很多以往客户对产品的定制化需求往往需要花费产品线数月时间开发定制功能, 但在新模式下, 可由节省出的工程人员使用控制平台的应用接口开发安全应用, 实现其功能, 既能较快交付轻量级的应用, 又能保持安全设备本身效率可靠性和功能不臃肿此外, 作为安全操作系统的安全控制平台, 向上为应用提供编程接口, 向下提供设备资源池化管理, 东西向可适配不同的业务管理平台 ( 如云管理平台 SDN 控制平台和客户定制的管理平台等 ) 在内部, 从这些不同的接口获得信息转化成标准的安全策略资产库信息日志告警, 并利用这些信息完成任务调度智能决策和命令推送, 将以往需要人工完成或半自动完成的管理流程转换成了接近全自动化控制最后, 部署在安全云上的 APPStore, 将安全应用从云端直接小结本期我们介绍了软件定义安全一词由来的背景, 业界对此概念的理解和讨论, 以及我们对软件定义安全的架构设想在下一期, 我们将介绍软件定义安全这种架构的整体方案, 包括云端 APPStore 软件定义的安全控制平台和资源池等组件, 敬请期待! 参考文献 [1] 王丛, 中国云计算演进市场和技术趋势, 电脑与电信,2014 [2] CNCERT/CC 2014 年中国互联网网络安全报告 [3] [4] sessions/1555 [5] 关于此文的更多详情, 可扫描如下二维码查看推送到客户环境, 改变了传统的线下安全交付模式使得客户可以在非常短的时间内购买云端安全方案和安全服务, 或更新原有的安全应用版本, 以抵御互联网上大规模短时间内爆发的 (1~n)-day 攻击总之, 从硬件定义走向软件定义, 从定制开发到轻量级应用, 从传统线下交付到实时在线推送, 从人力密集易错到高效自动运维, 从单设备配置限制到可扩展的安全能力, 从单设备功能到整体解决方案, 无一不在重构安全厂商的安全防护体系构建一个可持续发展的生态系统, 建立良好的客户关系, 并为云端大数据分析和专家级应急响应提供支持, 才能最终获得新的赢利增长点 16

册子0906

册子0906 IBM SelectStack ( PMC v2.0 ) 模块化私有云管理平台是跨主流虚拟化技术的统一资源云管理平台 01 亮点 : 快速可靠地实现集成化私有云管理平台 02/03 丰富的功能支持企业数据中心云计算扩展性强 : 简单易用 : 04/05 功能丰富 : 06/07 为什么选择 IBM SelectStack (PMC v2.0)? 快速实现价值提高创新能力降低 IT 成本降低复杂度和风险