未来网络虚拟片层的安全 安全视角看虚拟网络和SDN等 潘柱廷、叶润国 启明星辰公司 云安全
摘要 虚拟化是云计算等新兴计算技术实现的关键之一,包括服务器虚拟化、存储虚拟化、虚拟客户端、应用虚拟化、网络虚拟化等等。其中服务器、存储、客户端的虚拟化都可以被理解为空间节点的虚拟化,而常被提到的虚拟交换机技术还只是局部网络空间的虚拟化。而在软件定义网络SDN等技术所代表的发展趋势看,真正覆盖较大范围的虚拟化网络必将出现。本演讲试图探讨网络空间的根本性变化所带来网络安全理论、方法和技术的变化。
几个不得不搞清楚的概念 安全的本质 安全服务 网络的本质 传统网络(非虚拟网络)的本质体现 虚拟网络的本质体现
安全、网络、虚拟 安全本质 安全服务 网络的本质 传统网络 (非虚拟网络) 虚拟网络片层 (虚拟点和连接)
网络的本质 安全本质 安全服务 安全、网络、虚拟 传统网络 虚拟网络片层 (非虚拟网络) (虚拟点和连接) 首先我们先简单回顾一下那些不变的安全本质。
安全的方方面面 等级保护 加密 多功能网关 UTM 体系结构 安全专家 网站安全 文档安全 应急响应 项目管理 ERP 数据中心 业务大集中 强认证 审计 核心业务 监控/预警 涉密系统安全 设备故障 业务逻辑 分布式 拒绝服务攻击 电磁泄漏 误操作 管理平台 三观论 宏观/中观/微观 组织体系 黑客 国家战略 网上银行 工作流 网络嗅探 终端安全 安全事件 冗余/备份 服务器安全 入侵检测 卫星通讯 风险评估 内部人员作案 管理理念 防火墙 病毒/蠕虫 合规性要求 合作/外包 在谈安全方案的时候,会涉及到很多很多的话题,如果不梳理清楚就会混乱 制度/规则 网络渗透 骨干网 云模式 量化/指标化 垃圾信息 线路中断 渗透测试 攻击检测 首席安全官 办公安全 火灾/水灾 规划/计划 漏洞/脆弱性
梳理手上的牌 涉密系统安全 业务逻辑 网站安全 文档安全 数据中心 业务大集中 网上银行 ERP 服务器安全 卫星通讯 办公安全 核心业务 骨干网 终端安全 病毒/蠕虫 火灾/水灾 网络渗透 分布式 拒绝服务攻击 设备故障 安全事件 误操作 内部人员作案 线路中断 电磁泄漏 漏洞/脆弱性 垃圾信息 网络嗅探 黑客 应急响应 冗余/备份 安全专家 渗透测试 攻击检测 审计 风险评估 加密 入侵检测 等级保护 监控/预警 多功能网关 UTM 首席安全官 强认证 管理平台 防火墙 花色一旦理清楚,就不乱了。 方块代表业务和资产,黑桃代表各种安全威胁,红桃则代表各种安全技术,梅花则代表各种安全规范和体系。 也就是说,在梳理时,首先要梳理系统中的业务和资产,然后,我们需要分析这些业务和资产可能面临哪些安全威胁,然后,我们需要考虑可以采用哪些安全技术来抵御这些威胁,从而可以确保系统中业务和资产的安全。最后,为了确保安全的正确实施,我们还应该有相应的安全技术体系和安全规范。 合规性要求 国家战略 组织体系 管理理念 工作流 规划/计划 云模式 项目管理 量化/指标化 制度/规则 体系结构 三观论 宏观/中观/微观 合作/外包
最精简的风险管理3要素 资产 威胁 措施
不变的三类信息安全核心技术 基于风险管理思想的 体系化方法和措施 基于攻防技术的 检测响应技术措施 基于密码技术的 认证加密等技术措施
安全的原则和思路… 风险三要素 需求驱动力矩阵 PPT结构 三大类安全技术 PDR及PDCERF 通用检测模型 分层和分域,三观论 Zachman(nW1H, 虚实层) 流和时空 安全域+业务流 … 基于时间和基于缓冲的安全 结构和解构 安全度量和安全可视化 生命周期三大过程 敏捷和瀑布模式 君臣佐使的配伍思想 可信与可控 云模式、虚拟化 大数据分析解决APT 宏观态势感知 …
安全、网络、虚拟 安全本质 安全服务 网络的本质 传统网络 (非虚拟网络) 虚拟网络片层 (虚拟点和连接)
形形色色的网络 交通运输网,邮政网,电话通信网,计算机网,互联网,万维网 社会关系网,产品供销网,金融借贷网 智能电网,无线网,传感网,物联网 神经网,生物代谢网,食物链(网) 攻守同盟网,恐怖主义网络 人人网,新浪微博网,QQ,团购网 …
事物、情况 事物 情况 当我们想到“网络”这个词语... 联系 节点:vertex,point 边:连接,链接,关系,联系;edge,link
网络中的路径 以点的关系为主,不关注路径 路径不固定,会按需临时建立 路径连接着点,数据在路径上流动 社交网络 无线网络、物联网、无线传感网、DTN等 路径连接着点,数据在路径上流动 互联网、局域网 更抽象 更具体
安全、网络、虚拟 安全本质 安全服务 网络的本质 传统网络 (非虚拟网络) 虚拟网络片层 (虚拟点和连接) 节点、连接 结构(路径..)
安全、网络、虚拟 安全本质 安全服务 网络的本质 传统网络 (非虚拟网络) 虚拟网络片层 (虚拟点和连接)
业务流
业务流@网络结构
安全、网络、虚拟 安全本质 安全服务 网络的本质 传统网络 (非虚拟网络) 虚拟网络片层 (虚拟点和连接)
虚拟化 常被提到的虚拟化 服务器虚拟化 存储虚拟化 桌面虚拟化 应用虚拟化 网络虚拟化 虚拟 服务器 存储 桌面 虚拟应用 网络设备 应用片层 系统片层 网络片层
网络虚拟化的不同范围 节点 域 包 不同的网络协议层 单网络节点虚拟化 多网络节点虚拟化 网络区域虚拟化 大范围网络虚拟化 虚拟交换机 分布式虚拟交换机 网络区域虚拟化 在局域实现SDN/Openflow 大范围网络虚拟化 ? 节点 域 包
网络虚拟化的不同范围 节点 域 包 不同的网络协议层 单网络节点虚拟化 多网络节点虚拟化 网络区域虚拟化 大范围网络虚拟化 虚拟交换机 分布式虚拟交换机 网络区域虚拟化 在局域实现SDN/Openflow 大范围网络虚拟化 ? 节点 域 包
网络虚拟化-虚拟交换机 软件模块、VM数据交换;局限在物理服务器中 与物理L2交换机兼容,可以构建VLAN 代表:Vmware vSwitch、Linux Bridge 存在的问题 流量不可见问题 网络隔离问题 管理复杂问题 策略一致性问题 网络性能问题 应用程序 操作 系统 VMM 虚拟化服务器 VM3 VM1 VM2 物理交换机 虚拟交换机
VM间流量不可见问题解决方案 软件SPAN、RSPAN和netflow功能 硬件交换机导流方案:VEPA和VN-TAG
虚拟交换机环境下的安全产品部署 部署串行网关 部署旁路检测 混杂端口 vSwitch1 vSwitch2 vSwitch3 混杂端口 Tenant A Tenant B Public Network 操作系统 应用程序 操作系统 应用程序 操作系统 应用程序 操作系统 应用程序 混杂端口 vSwitch1 vSwitch2 vSwitch3 混杂端口 Hypervisor
网络虚拟化的不同范围 节点 域 包 不同的网络协议层 单网络节点虚拟化 多网络节点虚拟化 网络区域虚拟化 大范围网络虚拟化 虚拟交换机 分布式虚拟交换机 网络区域虚拟化 在局域实现SDN/Openflow 大范围网络虚拟化 ? 节点 域 包
网络虚拟化-分布式虚拟交换机 大二层扁平网络:广播风暴,VLAN局限性 虚拟和物理网络隔离问题 可扩展到多个物理服务器,集中管理平面,简化网络管理 典型代表:Vmware vDS、Cisco 1KV和Openvswitch 存在的问题 大二层扁平网络:广播风暴,VLAN局限性 虚拟和物理网络隔离问题 MAC表爆炸 跨子网迁移问题 数据平面 操作系统 应用程序 虚拟交换机 虚拟交换机 虚拟交换机 分布式虚拟交换机 分布式虚拟交换机管理中心 管理平面 28 28
分布式交换机环境下的安全部署 旁路IDS 串行网关 旁路IDS vDS1 vDS2 Tenant A (VLAN101) public network Tenant B (VLAN102) APP OS APP OS APP OS APP OS SPAN/RSPAN vDS1 SPAN/RSPAN vDS2 ESX1 ESX2
网络虚拟化的不同范围 节点 域 包 不同的网络协议层 单网络节点虚拟化 多网络节点虚拟化 网络区域虚拟化 大范围网络虚拟化 虚拟交换机 分布式虚拟交换机 网络区域虚拟化 在局域实现SDN/Openflow 大范围网络虚拟化 ? 节点 域 包
网络虚拟化正在拖云计算后腿 任意应用 / 数据 计算和存储虚拟化 解耦合 计算资源池 存储资源池 虚拟机无法跨网移动,无法高度共享 VLAN只能提供有限的租户隔离能力 缺乏可编程的灵活网络控制能力 虚拟机和客户业务仍然被物理服务器和物理网络拓扑束缚 网络设备虚拟化 物理网络 任意物理位置
网络局部虚拟化导致的问题 硬件依赖问题(配置虚拟网络需要配置硬件,私有API) 网络隔离问题(MAC表爆炸/虚拟IP不重叠/VM跨网迁移) 服务升级问题(硬件服务依赖,升级周期长,成本高) 可扩展性问题(虚拟域和应用隔离需求,VLAN数量有限) 安服集成困难(实施点苛刻,串行网关,动态虚拟边界)
虚拟网络片层 (Network Hypervisor) 云计算需要全网络域的虚拟化 任意应用 / 数据 计算虚拟化/存储虚拟化/网络虚拟化 解耦合 计算资源池 存储资源池 两层独立发展 软件定义网络 VM跨网迁移 底层硬件维护 高共享资源池 虚拟网络片层 (Network Hypervisor) 解耦合 物理网络设备资源池 任意物理位置
虚拟网络片层-适合云的网络虚拟化 上层虚拟网络和底层网络硬件分离,硬件维护简单,网络资源共享 虚拟网络具有物理L2网络全部功能,无缝迁移 虚拟网络和物理网络地址空间隔离 虚拟网络具有完整生命周期:创建、调整、删除
SDN/Openflow:虚拟网络片层实现核心技术 App 应用层 Network Operating System 控制层 SDN解耦了数据、控制及应用平面,创造了一个可编程的网络。 数据层 App Operating System App Specialized Packet Forwarding Hardware Operating System App Specialized Packet Forwarding Hardware Operating System App Specialized Packet Forwarding Hardware Operating System Specialized Packet Forwarding Hardware App Operating System Specialized Packet Forwarding Hardware
SDN/Openflow:虚拟网络片层实现核心技术
虚拟网络片层:传统SDN/openflow网络 Controller PC OpenFlow Protocol OpenFlow Switch OpenFlow Switch OpenFlow Switch
虚拟网络片层:演进的虚拟覆盖网络 Controller PC OpenFlow vSwitch OpenFlow vSwitch VM1 Host1 VM2 VM4 Host2 VM1 VM3 Controller 虚拟网络孤岛1 PC L2OverL3 Tunnel OpenFlow vSwitch OpenFlow Protocol VXLAN NVGRE 虚拟网络孤岛2 OpenFlow vSwitch nicira的NVP N1KV-VXLAN 标准物理交换机
虚拟片层带来的独特安全问题和机会 独特安全问题 安全机会 集中控制节点问题,网络大脑,确保controller安全,提升controller可用性 App安全问题,恶意App,app可信,白名单 通信安全问题,伪造controller,数据交换安全 规则冲突问题,安全APP和其它App之间规则冲突,安全策略失效,需要可靠的安全策略实施框架 安全机会 数据平面和控制平面分离模式,集中控制平面 易实现PDP+PEP模式的动态安全策略
虚拟片层环境下的安全服务部署 安全服务实现模式与传统网络有些不同 两种安全服务部署模式 Proactive(静态openflow规则) Reactive (动态openflow规则)
Reactive模式安全服务 流过滤防火墙 全局网络视野 蠕虫扫描检测 一致安全策略 恶意流量牵引 在线安全决策 网络探测欺骗 策略分散执行 Openflow Security Apps Switch Switch Switch Host A Host B Switch
流过滤防火墙实例 业务安全策略 FlowTable FireWall App Controller openflow FlowTable (1.1.1.1) VM1 VM2 1.1.1.2 VM3 1.1.1.3 Web Server App DB HTTP, 80 HTTP, 8080 TDS, 443 业务拓扑 业务安全策略 Allow any to access WebServer at Port 80 with HTTP Allow WebServer to access AppServer at 8080 with HTTP Allow AppServer to access DBServer at 443 with TDS Deny all FlowTable FireWall App Controller openflow FlowTable Global Network View
网络虚拟化的不同范围 节点 域 包 不同的网络协议层 单网络节点虚拟化 多网络节点虚拟化 网络区域虚拟化 大范围网络虚拟化 虚拟交换机 分布式虚拟交换机 网络区域虚拟化 在局域实现SDN/Openflow 大范围网络虚拟化 ? 节点 域 包
云计算发展当前阶段的安全策略 【全局】基础设施和业务应用上的大变化 资产 随着虚拟化和云计算技术在【局部】基础设施和业务应用上的逐步变化 对于新的基础设施结构和业务结构,进行解构性的安全分析 虚拟化环境下的分域安全和域间安全 措施 威胁
安全本质 安全服务 网络的本质 传统网络 虚拟网络片层 谢谢