Download presentation
Presentation is loading. Please wait.
1
資料中心的安全威脅與進階防護 A10 Networks Taiwan System Engineer Jack Chien
August 2016
2
資料中心在哪裡 2
3
傳統機房與雲端服務
4
新一代雲端資料中心的考量 Data Center 自動化功能 使用API雲端自動部署 驅動網路應用服務,並確保工作正常 快速操作能力
支援自動化及快速操作功能,可以依需求擴充網路與應用服務的能力 對新使用者或應用服務快速啟動 SDN管理整合 Cloud管理流程功能與SDN整合 整體投資成本 節省手動變更管理的工作 自動化監控與管理 可隨選即用,並依照使用量付費 安全穩定可靠 Data Center NFV SDN Cloud
5
資訊安全在哪裡? 5
6
資料的安全性與隱私性 資料放在遠端雲端資料中心是否安全? 是否容易外洩? 如果資料儲存與其他企業共享同一個伺服器,是否妥當?
遭受攻擊時服務是否還可以使用?
7
2 1 3 4 世界正在改變—資安的問題也在進化 越來越多的流量 增加可靠性與自動化處理 越來越多的資安風險— 越來越多的連線與攻擊方式—
Move to Cloud 2 增加可靠性與自動化處理 Explosion of Devices 越來越多的流量 1 SSL Traffic Tsunami 越來越多的資安風險— 需要更加重視的整體服務安全 3 Internet of Things 越來越多的連線與攻擊方式— 總是吸引有心人士的覬覦 4
8
漏洞和常見的攻擊 威脅Threat – 一種行為對資料中心帶來傷害或資源的損失
漏洞Vulnerability – 一種在系統或資源上的不足,常帶來實際上的威脅 攻擊Attack –針對漏洞的實際利用,並成了威脅的實現
9
漏洞和常見的攻擊(cont) 威脅Threats—常見的威脅種類: 阻斷服務攻擊DoS 勒索軟體 保密資料的外洩 資料被竊取或篡改
未經授權的使用計算機資源 身份盜用
10
資料外洩的影響 調查和通知費用 公司形象受損 收入減少 違規處罰 訴訟
Source: Source: Information Is Beautiful
11
隱藏在SSL流量的網絡威脅 67% 50% 80% of Internet traffic will be encrypted by 2016 of attacks will use encryption to bypass controls by 2017 of organizations with firewalls, IPS, or UTM do not decrypt SSL traffic Sources: Sandvine Internet Phenomena Report “Security Leaders Must Address Threats From Rising SSL Traffic,” 2013
12
漏洞和常見的攻擊(cont) 漏洞Vulnerabilities –現今大多數發現的漏洞都由於以下的一個或幾個方面:
安裝Implementation – 軟體與協定流程不正確或錯誤的設計,不完整的測試等 等. 配置Configuration –不正確的配置,使用預設的設定等等. 設計Design –無效或安全設計不完善,缺乏或不完善的備援設計等等.
13
弱點掃描 利用自動化工具檢查網路環境中設備和系統是否存在已知的弱點 可自我檢測或委外進行測試 並非一勞永逸,需要定期進行測試
從網際網路和區域網路測試的結果會有所不同 常見的類型包括:通訊埠掃描、弱點掃描、網站掃描、無線掃描及資料庫掃 描…等
14
常用漏洞掃描工具 工具類型 工具名稱 網路、主機弱點掃描 Nessus OpenVAS CoreImpact NeXpose
GFI LanGuard QualysGuard 網站、網頁程式弱點掃描 Burp Suite Nikto w3af Paros proxy Acunetix WebInspect 無線網路弱點掃描 Aircrack Kismet NetStumbler inSSIDer KisMAC
15
漏洞和常見的攻擊(cont) 常見的攻擊attacks –以下是一些常見的攻擊方式.
掃描或偵測 Scanning or Probe– 在攻擊之前發現的有關於系統與網路的訪問. -偵測常常是個人的嘗試,而掃描包括了由自動化工具大量訪問的探測器. 網路攻擊– 目標為基礎網路而不是單一的系統或網路. Ex: SYN flood ( TCP ) , Ping flood, all kinds of DDoS. 應用程式攻擊– 目標為系統或應用程式. Ex: DNS Attack, HTTP Slowloris, HTTP Slow Attacks
16
漏洞和常見的攻擊(cont) 非法訪問–包括通過使用一個有效的帳號或後門方式獲得原本訪問受限的資源.
- Ex: 網路入侵 (經由外部網路取得存取內部網路資源的權限), Backdoors, IP Spoofing. 竊聽 – 截取在網路上未經加密的訊息,這些訊息可能包含了帳號密碼等等. 病毒或蠕蟲 – 這兩種都是惡意的程式碼,隱藏在系統中直到它們的破壞被發現. - Ex: CodeRed, Nidma, SQL Slammer (are Examples to worms).
17
漏洞和常見的攻擊(cont) 緩衝區溢位攻擊 – 當程式所擁有的記憶體空間超過了所保留的大小.
Ex: 在與系統互動的介面上(CLI/GUI)輸入大量的資料. 信任關係 – 這些攻擊方式利用了伺服器彼此的信任方式. 例如:同步,備份檔案或連接後端的資料庫都需要信任的權限,. 連線劫持 –包括偷竊目標和可信主機之間建立的一個合法連線 Ex: IP spoofing, MITM
18
漏洞和常見的攻擊(cont) Layer 2的攻擊– 利用Layer 2通訊協定的方式攻擊Layer 2 Switch或server的方式 . Ex: Address Resolution Protocol (ARP) Spoofing, MAC Flooding.
19
DDoS 攻擊的演進 單一方式 多重方式 多重方式的攻擊 網路層攻擊 應用程式攻擊 放大攻擊
Fragmentation SYN floods Ping floods … 應用程式攻擊 Slowloris HTTP GET floods R.U.D.Y. … 放大攻擊 DNS amplification NTP amplification SSDP amplification … 多重方式的攻擊 Simultaneous attacks on all levels Adaptive strategy
20
只要一個小小的應用程式! Tools like LOIC and HOIC are easy to download and install on computer or even smartphone. New DDoS attack uses smartphone browsers to flood site with 4.5bn requests Researchers have found that smartphone browsers can deliver a powerful flooding attack. Online stresser services are available and will launch an attack to anyone for little money
21
就能找到最脆弱的地方來攻擊 Internet Pipe Routers Firewall Server Application
Networking Networking Attacks are targeting the server, but everything that goes down in the path to the server makes the attack successful from attacker’s perspective Bandwidth Bandwidth Bandwidth Internet Pipe Routers Firewall Server
22
建立安全的基礎網路以檢測並阻止攻擊 ATP IPS Firewall DLP Network Forensics Finance
Engineering Sales & Marketing Alert Alert Block Block z
23
但加密的流量使得安全設備像瞎了一樣的無法看到攻擊行為
Anomalous Activity Data Exfiltration Network Forensics DLP Successful Attack Undetected Malware Finance Engineering Sales & Marketing IPS ATP Firewall z
24
滲透和攻擊 惡意廣告使用了SSL加密的技術 惡意軟體通過社交媒體分佈 惡意軟件發送的電子郵件附件和即時通訊應用程式
DDoS與網頁應用程式攻擊 Yahoo malvertising attack Facebook, Twitter, LinkedIn use SSL Koobface was a multimillion malware campaign that used Facebook Skype, Whatsapp, Snapchat encrypt IM Attackers can use SSL to bypass controls or overwhelm servers
25
DDoS 攻擊類型分析 (1) Source: IDG, 2016 All data based on list prices DDoS
! DDoS DDoS DDoS DDoS DDoS Internal LAN DMZ All data based on list prices DNS Apps Source: IDG, 2016
26
DDoS 攻擊類型分析 (2) Source: IDG, 2016 All data based on list prices DDoS
! DDoS DDoS DDoS DDoS DDoS Internal LAN DMZ All data based on list prices DNS Apps Source: IDG, 2016
27
DDoS 攻擊目標分析 Source: Akamai Q4 2014 All data based on list prices DDoS
! DDoS DDoS DDoS DDoS DDoS Internal LAN DMZ All data based on list prices DNS Apps Source: Akamai Q4 2014
28
案例分享 28
29
DNS 服務 DDoS 攻擊事件 Source: TeamViewer Web Portal
! DDoS DDoS DDoS DDoS DDoS Internal LAN DMZ All data based on list prices Source: TeamViewer Web Portal DNS Apps
30
HTTP 服務 DDoS 攻擊事件 DDoS 攻擊流量 多層次 DDoS 攻擊 (Multi-vector DDoS Attacks)
! DDoS 攻擊流量 300Mbps / 200K CPS / 2M Concurrent Sessions 多層次 DDoS 攻擊 (Multi-vector DDoS Attacks) Network Attack (網路層攻擊)(ICMP) Amplification Attack (放大攻擊)(UDP) Resource Attack (資源耗損攻擊) (TCP) Application Attack (應用層攻擊) (HTTP Slowloris) Application Attack (應用層攻擊)特性說明 : Attacker 透過殭屍網路(Botnet)(90% from TW)發起大量TCP連線及HTTP Request封包 (~1K conns per bot ) 對於防火牆而言屬於正常連線存取 防火牆效能下降及 Server 資源耗盡。 DDoS DDoS DDoS DDoS DDoS Internal LAN DMZ All data based on list prices ADC Web Apps Secure from Outside Customer Data
31
資訊安全: 花錢的工作? 控制增加成本與限制使用的資料與系統 資產應該被完全控管 更開放的 存取使用 完全封鎖 使用 û û 合理保護 平衡
32
資安解決方案 網站防火牆—網站安全的防護根本 32
33
OWASP Top 10十大網站安全弱點 A8 – Cross Site Request Forgery (CSRF)(跨站冒名請求)
A1 – Injection(注入攻擊) A2 – Broken Authentication and Session Management(身分驗證功能缺失) A3 – Cross Site Scripting (XSS)(跨站腳本攻擊) A4 – Insecure Direct Object References(不安全的物件參考) A5 – Security Misconfiguration(安全性設定疏失) A6 – Sensitive Data Exposure(敏感資料外洩) A7 – Missing Function Level Access Control(缺少功能等級的存取控制) A8 – Cross Site Request Forgery (CSRF)(跨站冒名請求) A9 – Using Components with Known Vulnerabilities(使用已被發現有漏洞的元件) A10 – Unvalidated Redirects and Forwards(未驗證的導向)
34
Web Application Firewall (WAF)介紹
價值: 保護Web Server應用程式 保護代碼的漏洞並符合PCI/HIPAA規範 防止損壞知識產權,資料和應用程式
35
資安解決方案 DNS應用程式防火牆—保護DNS服務的最佳方式 35
36
DNS Application Firewall (DAF)
對後端的服務器提供更高的安全性 隔離惡意流量進行檢查?(或拒絕) 保證正常運行時間 高級功能 DNS Cache Block not in list domain query Deny ANY Type DNS Request Rate Limit Deny Long Length FQDN DNS force to TCP Regular Clients Perform as Expected “Zombies” Infected Clients Generating Requests Malicious and Invalid Non-DNS Traffic on Port 53 Denied DNS Prefetching (or Pre-Resolving) – for example Chrome Surge Protection Allowed Standard CPU Usage Optional Malicious and Invalid Traffic Redirection
37
資安解決方案 防火牆—基礎網路安全的防護的根本 37
38
高效能的防火牆 高安全性功能 無與倫比的效能 卓越的價值 Secure from outside to inside
! DDoS Protection Stateful Firewall, ALG ADC Data Center Firewall Internal LAN DMZ Secure from outside to inside Apps 高安全性功能 無與倫比的效能 卓越的價值
39
Security Control Gateway Architecture
資安控制閘道器
40
Servers/Applications/Business
傳統企業的網路演進 DMZ Servers/Applications/Business Anti-Spam APT SSL Decrypt ADC IPS Anti-Virus APT SSL Decrypt IPS Anti-Virus DOS/DDOS Tier -2 Firewall Firewall IPS Anti-Virus IPS APT APT SSL Decrypt Internal Servers/Applications/Business SWG ADC Anti-Virus SSL Decrypt Internal Users Sales & Marketing Accounting Engineering
41
現今的挑戰 現在 從 管理複雜 已缺乏敏捷性和速度來滿足業務 需求或實施新技術 網路擴充變得很困難 整體利用效率變低和網絡資源的 浪費
網絡的能見度降低 從
42
Servers/Applications/Business
資安控制閘道器 DMZ Servers/Applications/Business IPS Anti-Virus APT SSL Decrypt Anti-Spam 資安控制閘道器功能 網路流量控制功能 – 流量管理 SSL – 可視性 防火牆負載均衡與DDoS功能 – FW,DDOS 防禦整合 ADC 整合 單點控制 – 簡化管理 最高的可用性 用戶的體驗提升 ADC IPS Anti-Virus APT SSL Decrypt DOS/DDOS Tier -2 Firewall Firewall APT SSL Decrypt IPS Anti-Virus IPS Anti-Virus SWG APT SSL Decrypt Security Zone IPS Anti-Virus APT SWG Anti-Spam SSL Decrypt ADC Internal Users Internal Servers/Applications/Business
43
資安控制閘道器 Now Then The Benefits 確保現有資安設備的投資回報 管理複雜 簡化網絡
功能整合 CAPEX 和 OPEX 降低 擴充變得更簡單 確保業務不中斷的風險管理 Now 管理複雜 已缺乏敏捷性和速度來滿足業務 需求或實施新技術 網路擴充變得很困難 整體利用效率變低和網絡資源的 浪費 網絡的能見度降低 Then
44
問題與討論! Thank you
Similar presentations
