資料中心的安全威脅與進階防護 A10 Networks Taiwan System Engineer Jack Chien

Slides:



Advertisements
Similar presentations
104年網路攻防演練辦理情形 行政院資通安全辦公室 周智禾 諮議 中華民國104年12月21日.
Advertisements

簡 報 內 容 資安事件 資安防護 資安確保(Information Assurance) 資安服務 國家資通安全會報 結語.
中小學網管人員面對個資安全世代之探討 Location:台中市大甲區順天國小 Speaker:麥毅廷 Date:2012/06/06
Information Security Fundamentals and Practices 資訊安全概論與實務
校園資訊安全與防火牆架設 嘉義市育人國小 黃士騰.
第四章 内容提要: 电子商务的安全技术 本章从电子商务的安全要求入手,介绍电子商务的几种安全技术,从而说明电子商务安全问题有哪些,其根源何在、带来哪些风险、如何应用安全技术等。
Security Checking Systems for Mobile Devices
Curelan公司產品 網路日誌事件監控設備(Flowviewer)
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
本投影片部份內容 由成大資通安全研發中心 鍾沛原先生提供
第三章 網際網路和全球資訊網 : 電子商務基礎建設
實驗 9: 無線安全網路之建設.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
MIE-311 Mobile Network Security
第九章 無線網路.
BOTNET Detection and Prevention
网格 及其应用的一些相关技术 高能所计算中心 于传松
中小學網管人員面對個資安全世代之探討 Location:台中市北屯區東山高中 Speaker:麥毅廷(臺體大運管系)
UBLink集團 裕笠科技股份有限公司 遠豐科技股份有限公司 鉅創科技股份有限公司
企業如何建置安全的作業系統 Windows XP 網路安全
資訊安全管理概論 黃燕忠 (Jack Hwang) 中國文化大學副教授兼推資管系主任 捨得資訊股份有限公司 (藍色小舖) 總顧問
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
计算机网络 暨南大学计算机科学系 学年 第一学期.
Security and Encryption
WEB攻击与防护技术 徐 震 信息安全国家重点实验室.
Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23.
第一章 網路攻防概述.
21世紀網路之美麗與哀愁 Location:台中市南屯區惠文國小 Speaker:麥毅廷 Date:2012/05/30
计算机网络安全概述.
深信服NGAF下一代应用防火墙.
物聯網安全 物聯網的軟體安全分析.
Information Security Fundamentals and Practices 資訊安全概論與實務
从架构层面看Internet安全 江健
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
學術網站弱點檢測 演講者:魏宏吉 2012/05/25.
第9章 電子商務安全防範.
精誠資訊的企業電子化支援系統 指導老師: 王淑卿 教授 第六組組員名單: 許瑋麟 張勝彥 蔡孟翰
David liang 数据通信安全教程 防火墙技术及应用 David liang
利用 ISA Server 2004 建置應用層防護機制
第 13 章 DNS 著作權所有 © 旗標出版股份有限公司.
Server Load Balancing 飛雅高科技 李村.
(C) Active Network CO., Ltd
以網路可視化平台(Network Visibility Platform)為樞紐之網路安全設備佈署策略
網路安全 B 賴威志 B 項 薇.
臺東縣中小學資訊教育校園網路管理暨資訊安全防護計畫研習
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第四章 交換器/路由器之安全特性.
資電學院 計算機概論 F7810 第十七章 資訊安全 陳邦治編著 旗標出版社.
以SNMP偵測阻斷區域網路ARP欺騙行為
CS 網路安全 Network Security
第 2 章 TCP / IP 簡介.
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
中央大學 電子計算機中心 . 雲端服務介紹 李靜怡 105年5月SNMG會議.
什麼是網際網路? 面臨攻擊的網路 網路邊際 總結 網路核心
「寬頻匯流網路管理」教材 模組四: 第一章 網路管理架構
江西财经大学信息管理学院 《组网技术》课程组
恶意移动代码分析与研究 郑 辉 清华大学网络中心 CERNET Computer Emergency Response Team
校園網路架構介紹與資源利用 主講人:趙志宏 圖書資訊館網路通訊組.
NetST®防火墙培训教程 清华得实® 保留所有权利.
台大計資中心 李美雯 網路安全與管理 台大計資中心 李美雯 /4/6 臺灣大學計資中心網路組.
資料庫 靜宜大學資管系 楊子青.
網路建構實習課 從防火牆到封包分析 3/25.
Source: Journal of Network and Computer Applications, Vol. 125, No
網路安全管理 期末報告 A 許之青 24/04/2019.
期未報告:公眾無線網路的架構,比較 通訊所 鍾國麟 主要的內容還是S.Y.
DoS、DDoS網路攻擊 A 沈惇鈺 指導教授:梁明章.
資訊安全概論 樹德科技大學 資訊工程系 林峻立 助理教授.
SDN Security Introduction
信息安全防护技术—— 防火墙和入侵检测 万明
Presentation transcript:

資料中心的安全威脅與進階防護 A10 Networks Taiwan System Engineer Jack Chien jchien@a10networks.com August 2016

資料中心在哪裡 2

傳統機房與雲端服務

新一代雲端資料中心的考量 Data Center 自動化功能 使用API雲端自動部署 驅動網路應用服務,並確保工作正常 快速操作能力 支援自動化及快速操作功能,可以依需求擴充網路與應用服務的能力 對新使用者或應用服務快速啟動 SDN管理整合 Cloud管理流程功能與SDN整合 整體投資成本 節省手動變更管理的工作 自動化監控與管理 可隨選即用,並依照使用量付費 安全穩定可靠 Data Center NFV SDN Cloud

資訊安全在哪裡? 5

資料的安全性與隱私性 資料放在遠端雲端資料中心是否安全? 是否容易外洩? 如果資料儲存與其他企業共享同一個伺服器,是否妥當? 遭受攻擊時服務是否還可以使用?

2 1 3 4 世界正在改變—資安的問題也在進化 越來越多的流量 增加可靠性與自動化處理 越來越多的資安風險— 越來越多的連線與攻擊方式— Move to Cloud 2 增加可靠性與自動化處理 Explosion of Devices 越來越多的流量 1 SSL Traffic Tsunami 越來越多的資安風險— 需要更加重視的整體服務安全 3 Internet of Things 越來越多的連線與攻擊方式— 總是吸引有心人士的覬覦 4

漏洞和常見的攻擊 威脅Threat – 一種行為對資料中心帶來傷害或資源的損失 漏洞Vulnerability – 一種在系統或資源上的不足,常帶來實際上的威脅 攻擊Attack –針對漏洞的實際利用,並成了威脅的實現

漏洞和常見的攻擊(cont) 威脅Threats—常見的威脅種類: 阻斷服務攻擊DoS 勒索軟體 保密資料的外洩 資料被竊取或篡改 未經授權的使用計算機資源 身份盜用

資料外洩的影響 調查和通知費用 公司形象受損 收入減少 違規處罰 訴訟 Source: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ Source: Information Is Beautiful

隱藏在SSL流量的網絡威脅 67% 50% 80% of Internet traffic will be encrypted by 2016 of attacks will use encryption to bypass controls by 2017 of organizations with firewalls, IPS, or UTM do not decrypt SSL traffic Sources: Sandvine Internet Phenomena Report “Security Leaders Must Address Threats From Rising SSL Traffic,” 2013

漏洞和常見的攻擊(cont) 漏洞Vulnerabilities –現今大多數發現的漏洞都由於以下的一個或幾個方面: 安裝Implementation – 軟體與協定流程不正確或錯誤的設計,不完整的測試等 等. 配置Configuration –不正確的配置,使用預設的設定等等. 設計Design –無效或安全設計不完善,缺乏或不完善的備援設計等等.

弱點掃描 利用自動化工具檢查網路環境中設備和系統是否存在已知的弱點 可自我檢測或委外進行測試 並非一勞永逸,需要定期進行測試 從網際網路和區域網路測試的結果會有所不同 常見的類型包括:通訊埠掃描、弱點掃描、網站掃描、無線掃描及資料庫掃 描…等

常用漏洞掃描工具 工具類型 工具名稱 網路、主機弱點掃描 Nessus OpenVAS CoreImpact NeXpose GFI LanGuard QualysGuard 網站、網頁程式弱點掃描 Burp Suite Nikto w3af Paros proxy Acunetix WebInspect 無線網路弱點掃描 Aircrack Kismet NetStumbler inSSIDer KisMAC

漏洞和常見的攻擊(cont) 常見的攻擊attacks –以下是一些常見的攻擊方式. 掃描或偵測 Scanning or Probe– 在攻擊之前發現的有關於系統與網路的訪問. -偵測常常是個人的嘗試,而掃描包括了由自動化工具大量訪問的探測器. 網路攻擊– 目標為基礎網路而不是單一的系統或網路. Ex: SYN flood ( TCP ) , Ping flood, all kinds of DDoS. 應用程式攻擊– 目標為系統或應用程式. Ex: DNS Attack, HTTP Slowloris, HTTP Slow Attacks

漏洞和常見的攻擊(cont) 非法訪問–包括通過使用一個有效的帳號或後門方式獲得原本訪問受限的資源. - Ex: 網路入侵 (經由外部網路取得存取內部網路資源的權限), Backdoors, IP Spoofing. 竊聽 – 截取在網路上未經加密的訊息,這些訊息可能包含了帳號密碼等等. 病毒或蠕蟲 – 這兩種都是惡意的程式碼,隱藏在系統中直到它們的破壞被發現. - Ex: CodeRed, Nidma, SQL Slammer (are Examples to worms).

漏洞和常見的攻擊(cont) 緩衝區溢位攻擊 – 當程式所擁有的記憶體空間超過了所保留的大小. Ex: 在與系統互動的介面上(CLI/GUI)輸入大量的資料. 信任關係 – 這些攻擊方式利用了伺服器彼此的信任方式. 例如:同步,備份檔案或連接後端的資料庫都需要信任的權限,. 連線劫持 –包括偷竊目標和可信主機之間建立的一個合法連線 Ex: IP spoofing, MITM

漏洞和常見的攻擊(cont) Layer 2的攻擊– 利用Layer 2通訊協定的方式攻擊Layer 2 Switch或server的方式 . Ex: Address Resolution Protocol (ARP) Spoofing, MAC Flooding.

DDoS 攻擊的演進 單一方式 多重方式 多重方式的攻擊 網路層攻擊 應用程式攻擊 放大攻擊 Fragmentation SYN floods Ping floods … 應用程式攻擊 Slowloris HTTP GET floods R.U.D.Y. … 放大攻擊 DNS amplification NTP amplification SSDP amplification … 多重方式的攻擊 Simultaneous attacks on all levels Adaptive strategy

只要一個小小的應用程式! Tools like LOIC and HOIC are easy to download and install on computer or even smartphone. New DDoS attack uses smartphone browsers to flood site with 4.5bn requests Researchers have found that smartphone browsers can deliver a powerful flooding attack. Online stresser services are available and will launch an attack to anyone for little money

就能找到最脆弱的地方來攻擊 Internet Pipe Routers Firewall Server Application Networking Networking Attacks are targeting the server, but everything that goes down in the path to the server makes the attack successful from attacker’s perspective Bandwidth Bandwidth Bandwidth Internet Pipe Routers Firewall Server

建立安全的基礎網路以檢測並阻止攻擊 ATP IPS Firewall DLP Network Forensics Finance Engineering Sales & Marketing Alert Alert Block Block z

但加密的流量使得安全設備像瞎了一樣的無法看到攻擊行為 Anomalous Activity Data Exfiltration Network Forensics DLP Successful Attack Undetected Malware Finance Engineering Sales & Marketing IPS ATP Firewall z

滲透和攻擊 惡意廣告使用了SSL加密的技術 惡意軟體通過社交媒體分佈 惡意軟件發送的電子郵件附件和即時通訊應用程式 DDoS與網頁應用程式攻擊 Yahoo malvertising attack Facebook, Twitter, LinkedIn use SSL Koobface was a multimillion malware campaign that used Facebook Skype, Whatsapp, Snapchat encrypt IM Attackers can use SSL to bypass controls or overwhelm servers

DDoS 攻擊類型分析 (1) Source: IDG, 2016 All data based on list prices DDoS ! DDoS DDoS DDoS DDoS DDoS Internal LAN DMZ All data based on list prices DNS Apps Source: IDG, 2016

DDoS 攻擊類型分析 (2) Source: IDG, 2016 All data based on list prices DDoS ! DDoS DDoS DDoS DDoS DDoS Internal LAN DMZ All data based on list prices DNS Apps Source: IDG, 2016

DDoS 攻擊目標分析 Source: Akamai Q4 2014 All data based on list prices DDoS ! DDoS DDoS DDoS DDoS DDoS Internal LAN DMZ All data based on list prices DNS Apps Source: Akamai Q4 2014

案例分享 28

DNS 服務 DDoS 攻擊事件 Source: TeamViewer Web Portal ! DDoS DDoS DDoS DDoS DDoS Internal LAN DMZ All data based on list prices Source: TeamViewer Web Portal DNS Apps https://www.teamviewer.com/en/company/press/statement-on-service-outage/

HTTP 服務 DDoS 攻擊事件 DDoS 攻擊流量 多層次 DDoS 攻擊 (Multi-vector DDoS Attacks) ! DDoS 攻擊流量 300Mbps / 200K CPS / 2M Concurrent Sessions 多層次 DDoS 攻擊 (Multi-vector DDoS Attacks) Network Attack (網路層攻擊)(ICMP) Amplification Attack (放大攻擊)(UDP) Resource Attack (資源耗損攻擊) (TCP) Application Attack (應用層攻擊) (HTTP Slowloris) Application Attack (應用層攻擊)特性說明 : Attacker 透過殭屍網路(Botnet)(90% from TW)發起大量TCP連線及HTTP Request封包 (~1K conns per bot ) 對於防火牆而言屬於正常連線存取 防火牆效能下降及 Server 資源耗盡。 DDoS DDoS DDoS DDoS DDoS Internal LAN DMZ All data based on list prices ADC Web Apps Secure from Outside Customer Data

資訊安全: 花錢的工作? 控制增加成本與限制使用的資料與系統 資產應該被完全控管 更開放的 存取使用 完全封鎖 使用 û û 合理保護 平衡

資安解決方案 網站防火牆—網站安全的防護根本 32

OWASP Top 10十大網站安全弱點 A8 – Cross Site Request Forgery (CSRF)(跨站冒名請求) A1 – Injection(注入攻擊) A2 – Broken Authentication and Session Management(身分驗證功能缺失) A3 – Cross Site Scripting (XSS)(跨站腳本攻擊) A4 – Insecure Direct Object References(不安全的物件參考) A5 – Security Misconfiguration(安全性設定疏失) A6 – Sensitive Data Exposure(敏感資料外洩) A7 – Missing Function Level Access Control(缺少功能等級的存取控制) A8 – Cross Site Request Forgery (CSRF)(跨站冒名請求) A9 – Using Components with Known Vulnerabilities(使用已被發現有漏洞的元件) A10 – Unvalidated Redirects and Forwards(未驗證的導向)

Web Application Firewall (WAF)介紹 價值: 保護Web Server應用程式 保護代碼的漏洞並符合PCI/HIPAA規範 防止損壞知識產權,資料和應用程式

資安解決方案 DNS應用程式防火牆—保護DNS服務的最佳方式 35

DNS Application Firewall (DAF) 對後端的服務器提供更高的安全性 隔離惡意流量進行檢查?(或拒絕) 保證正常運行時間 高級功能 DNS Cache Block not in list domain query Deny ANY Type DNS Request Rate Limit Deny Long Length FQDN DNS force to TCP Regular Clients Perform as Expected “Zombies” Infected Clients Generating Requests Malicious and Invalid Non-DNS Traffic on Port 53 Denied DNS Prefetching (or Pre-Resolving) – for example Chrome Surge Protection Allowed Standard CPU Usage Optional Malicious and Invalid Traffic Redirection

資安解決方案 防火牆—基礎網路安全的防護的根本 37

高效能的防火牆 高安全性功能 無與倫比的效能 卓越的價值 Secure from outside to inside ! DDoS Protection Stateful Firewall, ALG ADC Data Center Firewall Internal LAN DMZ Secure from outside to inside Apps 高安全性功能 無與倫比的效能 卓越的價值

Security Control Gateway Architecture 資安控制閘道器

Servers/Applications/Business 傳統企業的網路演進 DMZ Servers/Applications/Business Anti-Spam APT SSL Decrypt ADC IPS Anti-Virus APT SSL Decrypt IPS Anti-Virus DOS/DDOS Tier -2 Firewall Firewall IPS Anti-Virus IPS APT APT SSL Decrypt Internal Servers/Applications/Business SWG ADC Anti-Virus SSL Decrypt Internal Users Sales & Marketing Accounting Engineering

現今的挑戰 現在 從 管理複雜 已缺乏敏捷性和速度來滿足業務 需求或實施新技術 網路擴充變得很困難 整體利用效率變低和網絡資源的 浪費 網絡的能見度降低 從

Servers/Applications/Business 資安控制閘道器 DMZ Servers/Applications/Business IPS Anti-Virus APT SSL Decrypt Anti-Spam 資安控制閘道器功能 網路流量控制功能 – 流量管理 SSL – 可視性 防火牆負載均衡與DDoS功能 – FW,DDOS 防禦整合 ADC 整合 單點控制 – 簡化管理 最高的可用性 用戶的體驗提升 ADC IPS Anti-Virus APT SSL Decrypt DOS/DDOS Tier -2 Firewall Firewall APT SSL Decrypt IPS Anti-Virus IPS Anti-Virus SWG APT SSL Decrypt Security Zone IPS Anti-Virus APT SWG Anti-Spam SSL Decrypt ADC Internal Users Internal Servers/Applications/Business

資安控制閘道器 Now Then The Benefits 確保現有資安設備的投資回報 管理複雜 簡化網絡 功能整合 CAPEX 和 OPEX 降低 擴充變得更簡單 確保業務不中斷的風險管理 Now 管理複雜 已缺乏敏捷性和速度來滿足業務 需求或實施新技術 網路擴充變得很困難 整體利用效率變低和網絡資源的 浪費 網絡的能見度降低 Then

問題與討論! Thank you

反馈: 隐私 反馈
About project: SlidePlayer 条款

© 2024 slidesplayer.com Inc. All rights reserved.