Security Fabric:软件定义的弹性安全云

软件定义安全的架构可成为对抗日益频繁安全事件的利器,但在云计算环境中存在诸多落地困难的问题,基于安全资源池的安全云方案可较好地解决软件定义的云安全解决方案在云计算中心部署的问题,并能提供弹性、按需和敏捷的安全服务。

软件定义:下一代的安全防护体系

随着近年来网络欺诈、恶意勒索、高级威胁、拒绝服务等越来越多的安全事件出现在我们的面前,大家纷纷意识到信息安全的本质是人与人的对抗,利益与利益的冲突。中国的黑产市场已达千亿规模,从业人员已超150 万,而国内信息安全市场大约为200 亿人民币左右,单个大型的信息安全公司的人数不过千余人,要覆盖的大客户却达万家。可见与黑产交锋,非协同不能与之对抗,结合各家的威胁情报知识库和专家调查机制,才能及时发现并阻止高级威胁;非软件定义无以实现运营规模化,借助百万规模的客户侧感知器获得无死角的实时安全状态,转换为云端的态势情报,进而利用自动化的安全运营基础设施,实现快速安全策略推送,完成自适应安全中的终极“预测”一环。

自从Gartner 提出了软件定义安全,这个概念已被越来越多的安全从业者所接受。与SDN 类似,将控制逻辑与数据处理分离,提供高效的防护、检测、响应和预警机制。绿盟科技也在一年前开始了软件定义安全SDS 的产品化之路,下图就是去年发布智慧安全2.0时的软件定义安全架构全景图。

图1 绿盟科技软件定义安全体系

在安全控制平台侧,ESPC V7 在设计伊始就贯彻了分布式、自动化等理念,形成安全控制平台的产品,结合BSA,可实现安全控制和数据分析的综合性平台;在安全设备侧,RSAS、NF、WAF、IPS、ADS等产品也提供了一系列RESTful 的应用接口,可执行自动配置、安全策略下发和日志报表上传等功能;在安全应用侧,也开发了如下一代威胁防护平台NTGP、态势感知,以及与云杉合作开发的Web 安全防护等应用。

云安全的银弹?

我们曾提到,产品从应用、控制和数据三个层面共同实现软件定义的安全防护体系,可与实际部署的IT 环境松耦合,以较小的定制成本完成集成。目前绿盟科技完成了图中众多云平台和SDN 网络的对接。

借助SDN 和服务链的先进技术,我们可以实现对任意方向的流量进行按需的防护,如图2中,在入侵防护和Web 安全防护的应用中,通过SDN 控制器的流量调度,可将物理节点内部的虚拟机VM1 的流量经过虚拟的IPS 和虚拟WAF,处理之后再发送到VM2。

图2 使用服务链和SDN 技术可实现对虚拟机的按需防护

一切看起来很美好,是不是这个架构会成为云安全防护的银弹,一举解决云平台内部流量不可见、防护不可控的难题呢?就目前我们的实践中来看,SDS 虽然解决了安全体系中控制与数据平面的解耦,以及安全体系控制平面与云平台的计算、存储控制的解耦合,但是不能解决安全体系中数据平面与云平台数据平面的解耦合,也不能解决安全控制平面与云平台网络控制的解耦合。

之所以说不能解决安全体系中数据平面与云平台数据平面的解耦合,是因为如果利用云平台的应用接口管理安全设备生命周期,就势必要让虚拟化的安全设备适配不同的云平台Hypervisor,如主流的ESXi、KVM 和Xen,以及基于以上并经过各种厂商定制化的Hypervisor,包括驱动适配、应用接口开发、虚拟机各项配置等,其中定制开发的成本是非常昂贵的。

例如,VMWare有使用虚拟交换机的原生模式,也有使用NSX 的SDN 方案,Openstack 就更多了,传统一些的CSP(Cloud Service Provider,云服务商)使用网络虚拟化组件Neutron 的方案,激进一些的CSP 使用DragonFlow、OpenDove 等与Neutron 集成的SDN方案,还有一些厂商自成一体,集成自家的网络虚拟化和SDN 的方案,使得安全厂商要花大量的精力制定和实施相应的适配方案。

这两个问题造成的结果就是,安全厂商往往缺乏一种统一的部署模式,而是需要一家一家地去谈集成方案,做定制需求,经过一定开发周期后进行测试,边际成本非常高。

安全资源池

云计算的本质是将各种计算、存储和网络变成了一个个资源池,并对外提供相应的能力,所以用户并不关心阿里云上的虚拟机到底在哪个物理位置。那么我们同样可以借鉴这样的思想,在云计算中心部署一个标准的专有安全区域,在这个区域内,我们可以创建虚拟的安全设备,也可以利用现有的硬件安全设备,在这些设备的基础之上,构建一个个具有不同能力的安全资源池。

那么我们的安全控制平台,就可以利用这些池化的能力,提供诸如入侵防护、访问控制、Web 防护等安全功能。

图3 各种形态的设备组成安全资源池

当然,安全控制平台要利用好这些资源,自身也应具备很多分布式、弹性的机制,如高可用、失效恢复、负载均衡和可扩展性等。同时安全控制平台可以在安全区域内部,利用SDN 和NFV 技术实现服务链功能,完成多种复合的安全功能。

例如我们可以在数据中心的入口,部署一个由若干物理安全节点组成的安全资源池,处理南北向流量,如图4 所示。流量一到数据中心就进入了资源池的入口,进而可以对这些从外向内流量进行如抗拒绝服务攻击、访问控制和Web 防护等处理。

同样的,可以在数据中心内部通过安全资源池的方式实现东西向流量的安全防护,如在每个机架上放置一到两个物理安全节点,那么该机架中的虚拟机流量可以进入安全节点,进行处置后再被发送到目的地。

当然,为了平衡投资和效率,需要考虑某机架上的安全节点过载时,是将流量牵引到其他机架的安全节点,还是在该机架上事先部署更多的安全节点,或是限制安全防护能力,这是资源池管理平台需要考虑的问题。

不过通过设计恰当的池化系统,是可以保证资源池既能处理南北向流量,也能处理东西向的内部流量,实现对云计算系统的全方位防护。

结论

安全资源池解决了软件定义安全架构落地的最后一环:部署问题。借助池化技术,用户可以不关心安全设备如何配置,之前大量的网络拓扑规划、设备部署配置和系统联调,都可以得到极大地简化。

当然文中的一些设计,例如利用NFV和SDN 技术,是当前的方法,在今后还可能会使用其他技术,例如容器、线程池等,实现更高的性能。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369

如果您需要了解更多内容,可以
加入QQ群:570982169、486207500
直接询问:010-68438880-8669

发表评论