两档网络安全 云计算环境下的网络安全透视 基于秩序的快档和基于知识的深档 潘柱廷 启明星辰 首席战略官 中国计算机学会 常务理事 2013.11.26 提纲和逻辑 云怎么改变 网络安全？ 云怎么改变网络 • 什么是网络？ 2 云里的两档 网络安全 关注网络的 【流】 两档网络 安全通用 原则 云怎么改变了网络安全？ 以前业界的主流安全 • 系统安全类  漏洞扫描、渗透测试  杀毒、终端安全  配置检查 • 网络边界安全类  安全域梳理  边界网关：FW、UTM、IPS  边界检测：IDS、网络审计 • 加密类 3 云环境下的困局 • 系统安全类  对系统对象不够了解  底层权限获取的差异 • 网络边界安全类  安全域不再是树形关系  边界模糊、动态  边界位置部署模式变化 • 加密类 拆解边界困局 4 云怎么改变了网络？ NIST云特性示意图 云的哪些特性大大地影响了 网络? • • • • • • 5 宽带网络接入 快速弹性 可测量服务 按需自服务 统一资源池 多租户 云怎么改变了网络？ 云的哪些特性大大地影响了 网络? 宽带 访问意图 • 服务资源 • 高度灵活 • • 资源 • “集中” • 资源结构 复杂 6 宽带网络接入 快速弹性 可测量服务 按需自服务 统一资源池 多租户 虚拟化怎么改变了网络？ 五大虚拟化 计算 存储 终端 终端 应用 网络 设备 7 网络 设备 • • • • • 服务器虚拟化 存储虚拟化 桌面虚拟化 应用虚拟化 网络虚拟化  网络节点虚拟化 SDN怎么改变了网络？ 节点虚拟化和网络结构虚拟化 计算 存储 终端 网络 设备 网络 设备 • • • • • 服务器虚拟化 存储虚拟化 桌面虚拟化 应用虚拟化 网络虚拟化  网络节点虚拟化 • SDN软件定义网络 8 不得不问:“什么是网络？” 网、静态结构 • 节点、连接、拓扑结构、域… 流、传输和访问 • 路径、流(SDN)、服务、路由… 包、协议和标识 • IP地址、DNS、Session结构… 内容和语义 • 包解析、指令语义… 9 什么在改变网络？ 网、静态结构 • 虚拟网络设备的生成、迁移… • 服务器和终端节点的生成、迁移、消失… 流、传输和访问 • SDN将静态结构隔离于流和应用 • 静态结构的变化导致流变化 包、协议和标识 • … 内容和语义 • 希望对应用透明… 10 区别处置“变”与“不变” 网、静态结构 • … 流、传输和访问 变 • … 包、协议和标识 • … 内容和语义 • … 11 相对不变 区别处置“变”与“不变” 网、静态结构 网关安全设备的部署 • … 基于N元组的过滤 流、传输和访问 • … 变 …… 包、协议和标识 包攻击特征解析 • … 病毒解析 用户认证 内容和语义 内容过滤 …… • … 相对不变 12 引申两个层面的网络问题 拆分两个层面的安全问题 网、静态结构 • … 流、传输和访问 • … 包、协议和标识 • … 内容和语义 • … 13 流安全 包安全 【流安全解决方案示例】 软件定义虚拟网络安全检测边界 14 虚拟环境下的旁路检测问题 • 旁路检测要部署在边界 • 边界问题的根本是什么？ 边界是静态结构层面的问题 • 用流的视角来规避并解决复杂边界问题 用相对清晰的流问题替换复杂而动态的边界 问题 15 检测需要解决的问题 ① 内在信道 ② 虚拟机位置 ③ 网络边界消失 ④ 链路流量混杂 ⑤ 端口镜像负载过大 业务子网1 服务器1 业务子网2 服务器2 网卡1 服务器3 网卡2 服务器4 网卡3 端口B 端口C …... 端口A 上行端口 接入物理交换机 端口B 镜像 端口C 端口C 上行端口 汇聚物理交换机 ② immigration 服务器2 虚拟端口A 虚拟网卡2 服务器4 服务器3 虚拟网卡4 虚拟网卡3 虚拟端口B 虚拟端口C 虚拟端口A 虚拟交换机1 上行端口 ① ③ 虚拟端口B 虚拟端口C ③ 物理网卡1 服务器3 服务器6 虚拟网卡6 虚拟网卡3 上行端口 物理网卡2 虚拟化服务器2 ④ 端口A 服务器5 虚拟网卡5 虚拟交换机2 虚拟化服务器1 1000Mb? 端口B 镜像 镜像 1000Mb 1000Mb 端口C …... 上行端口 …... 虚拟化前的网络拓扑 隐蔽信道： NIDS不可见流量 16 端口B 1000Mb 端口A 服务器1 安全设备 NIDS 网卡6 接入物理交换机 1000Mb 虚拟网卡1 ⑤ 服务器6 网卡5 1000Mb 安全设备 NIDS(监控业务子网1) 端口A 服务器5 网卡4 端口D 端口E 物理交换机 虚拟化后的网络拓扑 端口F 端口G …... 上行端口 边界1 • 物理网络边界 防护安全域1 安全域2边界流量汇聚点 安全域1边界流量汇聚点 NIDS1 网络1 PC1 uplink PC3 Audit1 NIDS2 Audit2 汇聚交换机 镜像 PC2 防护安全域2 镜像 网络2 镜像 镜像 接入交换机 uplink PC4 PC5 PC6 接入交换机 物理流量汇聚管道（物理网络边界） 安全域1 • 安全域2 业务流边界 业务网络2 业务网络1 PC1 PC2 汇聚交换机 PC3 uplink uplink 接入交换机 接入交换机 业务网络3 17 PC4 PC5 PC6 边界2 • 虚拟化以后的网络物理边界 业务网络2 业务网络1 边界？ PC1 PC2 PC3 PC4 PC5 PC6 → → → → → → VM1 VM2 VM3 VM4 VM5 VM6 VM1 边界？ ESXi1 VM4 VM5 VM2 vSwitch ESXi2 uplink 边界？ VM3 VM6 边界？ vSwitch uplink pSwitch • 用业务流的视角去观察 VM1 VM2 VM3 VM4 业务网络3 18 VM5 VM6 以业务流的视角重构边界 • • 网络虚拟化后物理边界意义弱化、逻辑边界意义加强 虚拟化技术提供了软件定义一切的可能：软件定义的安全检测边界 NIDS1 VM1 NIDS2 VM2 NIDS3 NIDS4 VM3 VM4 业务网络3 19 VM5 VM6 安全检测边界的划分方法 安全检测边界→安全监控域 域1 域3 • 域1、域2：包含 • 域2、域3：交叠 域2 20