基于真实应用的大数据仿真和云安全测试 曲博 思博伦通信 亚太区业务拓展高级经理 云计算带来的好处 开销从固定资本支出（购买）变为运营支出（租赁/订阅服务）：32% | 加速部署和配置：31% | 增加灵活性：28% | 提高性能：27% | 提高效率：26% | 增加地理覆盖：24% | 提高员工生产力：23% | 提高安全性：19% | 加速上市时间：18% | 不确定/其它：25% 源自：Linkedin信息安全组云安全焦点报告（2016） 云部署阶段 源自：Linkedin信息安全组云安全焦点报告（2016） 部署云过程中面临的问题 失去控制：23% | 管理复杂度：20% | 厂商锁定的担忧：18% | 内部阻力和惰性：18% | 缺乏员工资源：17% | 缺乏透明度和能见度：15% | 缺乏云服务模式的成熟度：14% | 成本/缺乏投资回报：13% | 预算不足：13% | 云应用的性能：12% | 缺乏管理层参与：10% 缺乏可定制性：9% | 对云服务/性能/定价不满意：7% | 计费和跟踪问题：7% | 缺乏云提供商的支持：6% | 可用性：5% | 不确定/其它：10% | 源自：Linkedin信息安全组云安全焦点报告（2016） 如何解决云部署过程中的问题？ • 云服务提供商 – 解决部署云过程中面临的问题 – 如何吸引企业购买云服务 • 企业 – 了解部署云时应如何评估安全风险 – 选择相应的安全产品 • 思博伦通信 – 使用专业的基于云的测试服务解决方案，为独立专业的第三方云安全 评测提供了具体的解决方案 • 云架构测试 • 基于真实应用的大数据仿真 • 云安全测试 无边界基础架构所带来的挑战 北/南（纵向）流量 – 从外部进入到虚拟化环境的 流量 – 该流量可能或者不可能通过 其它物理安全设备 – 对面向公众的应用程序和服 务进行访问限制 • 仅允许访问所需的协议/端 口 – 对进入的请求进行安全风险 检查，并阻止任何恶意流量 – 对恶意流量进行报警 无边界基础架构所带来的挑战 东/西（横向）流量 – 不同端口组或者安全区域中虚 拟机之间的通信 – 虚拟机可以位于同一虚拟主机 或者不同的虚拟主机上 – 限制可在各安全区域间进行通 信的应用程序和服务 – 确认该流量是实际的应用流量 – 对该流量进行安全风险检查 云基础架构测试 • • • • 确认仅允许通过进入受保护区域 的流量 确认不允许的流量，无论是被策 略限制，还是恶意流量，都被阻 止进入受保护区域 测量不同类型策略所带来的影响 – 到第一个字节的时间 – 部署中服务质量的影响 测试由管理程序（Hypervisor） 部署所带来的性能影响 – Hypervisor的配置 – 不同的Hypervisor 云基础架构测试 – IaaS 虚拟防火墙能够确保软件感染和恶意 软件不会从一个虚拟机扩散到其它虚 拟机吗？ 虚拟负载均衡能够提供虚拟应用所需 要的完全可用性和最大性能吗？ 虚拟设备平台可以达到线速吗？ 刀片服务器如何有效地支持多种应 用？需要多少内存？ Infrastructure as a Service 云基础架构测试 • • 云应用和安全测试方案：Virtual 三种测试模式：虚拟端口到虚拟端口、跨虚拟交换机间的虚拟端口、 虚拟端口到物理端口 云应用与安全测试 – SaaS和PaaS 如何将多个云服务平台合并？ 云平台有效地维持线性扩展，并且承载基于 需要的负载吗？ 业务如何确保那些云网络中可能的敏感信息 是安全的？ 现有应用在不做重新设计的前提下，可以被 部署在云网络中吗？ 高可用性应用，如何保障持久性和容错性？ Software As A Service Platform As A Service 如何保障云安全？ 最流行的云应用 • 最流行的云应用分类 – – – – – – – – – – – – – – Web应用 通信类应用 提高生产率类应用 IT运维应用 定制化业务应用 应用开发/测试 销售&市场 HR应用 商业智能/分析应用 灾难恢复/存储/归档应用 内容管理应用 财会应用 供应链管理应用 … 当前部署 未来部署 源自：Linkedin信息安全组云安全焦点报告（2016） 基于真实应用的大数据仿真 – TestCloud 基于真实应用的大数据仿真 – TestCloud • • • • • • • • • 每一种场景仿真都来自真实 数据 应用的不同版本 多种系统平台 多种手机平台 丰富的应用场景 动态生成交互流程图 可以修改场景内容 可以加入自定义的场景 支持内容通过变量动态替换 公有云最大的安全威胁 未授权访问 盗用帐户 不安全的接口/API 数据的外部共享 员工保密的专有数据泄密：33% | 恶意的内部人员：32% | 拒绝服务攻击：31% 外国赞助的网络攻击：30% | 恶意软件注入：25% | 云服务的滥用：24% | 共享内存攻击：18% | 威胁的横向移动（东-西流量，虚机与虚机之间）：16% | 服务窃取：15% | 丢失移动设备：12% | 自然灾害：5% | 不确定/其它：9% 源自：Linkedin信息安全组云安全焦点报告（2016） 云安全测试场景 • DDoS攻击和应用混合测试 – Volumetric DDoS、协议层DDoS、应用层 DDoS、混合DDoS… – ARPFlood, TearDrop, SYN Flood, UDP Flood, XmasTree, R.U.D.Y., HTTP GET Floods… • • • • • • • • 攻击和漏洞利用：操作系统漏洞、软件漏洞、 SQL注入、跨站攻击、目录遍历、缓冲区溢出等 恶意软件攻击： 僵尸、蠕虫、木马 未知的恶意软件，针对二代防火墙和APT攻击 协议模糊测试（Fuzzing） 单臂攻击测试 定制化攻击场景模拟 HTTPs流量加密 以上场景的组合 思博伦云安全测试解决方案 • PASS测试解决方案 – – – – – • 云性能测试（Performance） 云可用性测试（Availability） 云安全测试（Security） 云可扩展性测试（Scalability） 不同Hypervisor的性能测试 关键特性 – – – – – 客户端/服务器 用户真实性/应用真实性 攻击仿真 测试过程中调整负载 详细的统计分析 Avalanche CyberFlood Virtual Virtual 公有云部署 CyberFlood 思博伦云安全测试解决方案 • Virtual – 支持在VMware ESXi上部署 • Virtual Anywhere – 可被部署到Linux虚拟机的独立程序 – 基于Red Hat 的Linux虚拟机支持 • Red Hat ES、Fedora、CentOS – 可运行在任何支持Linux的Hypervisor上 • • • • • VMware ESXi KVM QEMU Xen HyperV • 基于公有云的CyberFlood – Amazon AWS、Microsoft Azure… 思博伦安全服务 – SecurityLabs • 具有丰富经验的安全专 家团队提供全面的安全 服务 免费检测 • 漏洞扫描服务 • 渗透测试服务（模拟 黑客入侵行为，进一 步评估被测系统的安 全问题） 一次性服务 (60天内检测和再检测) 包年服务 (全年四次检测) 界定范围 发现 安全测试 分析 生成报告 测试为云安全保驾护航 • 对云架构进行全面测试 – 公有云、私有云、混合云 – 纵向、横向测试：虚机与外部的通信、虚机之间的通信 – IaaS、PaaS、SaaS • 云性能测试 – 云基础架构性能测试 – 基于真实应用的大数据仿真 – 基于真实应用仿真下的性能评估 • 云安全测试 – 各种攻击仿真测试：DDoS、漏洞利用、恶意软件、模糊攻击… – 安全评估服务、渗透性测试服务