2015年绿盟科技发布了《2015绿盟科技软件定义安全SDS白皮书》[1],阐述了软件定义安全的起源与发展。那么2016年业界在软件定义安全领域发生了什么变化,又有什么新的动态呢?本文将以去年的白皮书作为背景,重点阐述了2016年软件定义安全这一理念在行业内的发展情况,以及具体在落地过程中的实践。
软件定义安全本质上是一种理念,即数据与控制分离,安全管理与控制集中化,从这个意义上看其与所在环境关系不大。在《2015 SDS白皮书》中,我们主要关注面向云环境的软件定义安全,是因为软件定义安全的理念可能最早会在云计算系统的安全防护中得到体现,原因有如下四点:
- 云计算系统具备开放的应用接口(Application Programming Interface,API),安全控制平台容易与云平台对接,获取或操作云计算系统的资源,这使得安全控制平台做较少的定制,就可以演化为一个面向云环境的安全运营中心(Cloud SOC),支持面向云租户的各种安全应用;
- 云平台借助虚拟化技术,具备了敏捷、弹性的资源池能力,可以快速准备好(Provision)虚拟化的安全设备,也可灵活地调度底层的为安全功能服务的计算、存储、网络资源,为安全功能服务;
- 软件定义网络(Software Defined-Networking,SDN)近年来变得越来越热,很多云计算系统在规划时就加入了对SDN的支持,有些在实施时已部署了具有SDN能力的软硬件基础设施,具备了快速调度南北向和东西向流量的能力,为安全应用调整安全防护策略提供了更便捷的手段,为云环境中可实现的安全功能提供了更大的想象空间;
- 使用云计算的租户很多是中小型企业(Small and Midsize Business,SMB),不具备规范的安全管理流程和专业的安全运营水平,无法制定完整的防护方案或管理复杂专业的安全设备。这些用户在安全方面的投入往往是防护目的驱动,而非合规性,这样会更关注安全防护系统的有效性、便捷性和灵活性。软件定义安全、安全即服务(Security as a Service,Sec-aaS)天然地匹配到了这些用户的需求。
- 需要明确的是,软件定义安全与云计算安全无论从逻辑上还是架构上都没有必然的联系。软件定义的安全方案同样也可以部署在传统IT环境,如果能做到开放接口,通过软件驱动底层安全设备,通过软件编排上层应用,那么这套安全防护体系也是软件定义的。相反,即使在云环境中部署了大量的安全机制,但如果仅是简单堆砌,那并不是软件定义安全。
本篇白皮书仍会重点讨论软件定义安全体系在云环境中应用,着眼于其落地交付过程,此外也会讨该体系在BYOD、传统IT环境等场景可能的应用。
“软件定义”之百家论
软件定义安全是一种理念,业界有很多研究机构、企业借鉴了这种思想,依托软件定义的内涵,提出了自己的安全模型、架构、技术和标准,很多都体现了软件定义的内涵。我们在此列举若干,供读者参考。
自适应安全
Gartner[1]于2016年提出了“自适应安全”(Adaptive Security)的防护模型,其核心思想就是不再假设防护(Protection)能实现万无一失的安全,这也是因为Gartner的分析师们注意到很多大企业尽管购买了很多安全产品,部署了完备的安全机制,依然发生了数据泄露和恶意攻击。可见,以往重防守、堆设备的建设思路已然不能抵御复杂攻击。
自动化应用编排
自适应安全模型可以软件定义安全为支撑体系,利用北向应用编排机制进行安全资源和策略的灵活调配,实现多种防护手段的协同运作。
在2016年RSA大会的创新沙盒竞赛中,Phantom Cyber公司展示的自动化应用编排系统[1]得到评委的青睐,获得了优胜奖;在2016年2月29日,IBM安全收购了安全事件响应公司Resilient Systems,以强化其弹性的灾难恢复服务。这两家公司的技术特点有不少相似性,具有软件定义安全的特征。
零信任/微分段
在安全机制的实现层面,软件定义安全的安全控制平台进行集中管控,以统一的策略控制全局的安全资源和规则。以安全设备为中心的固定边界防护和内部区域信任的传统防护思路将会发生变化,一个明显的现象是近期零信任和微分段等技术路线的兴起。
体系标准化
软件定义安全是一种理念,强调安全控制与数据分离,但同时也是一种可实现的架构,强调的是安全应用、安全控制平台和安全设备。要实现这样的架构,就要求安全控制平台能够打破厂商锁定,通过一个安全策略就能驱动不同厂家的对应安全产品。
安全编排:一切防护皆软件定义
3.1应用编排:软件定义安全的灵魂
如果说软件定义安全与以往的安全架构有什么区别,那么最大的不同应该是它体现的软件化、自动化和随需而变的敏捷性,而这些特性都是通过面向不同场景的安全应用所体现的。
安全应用是以软件形态交付的,如Web应用、脚本或是后台守护进程等。通常每个安全应用实现一个或若干个安全功能,如Flow异常分析、系统脆弱性评估、用户和个体行为的画像。但在软件定义安全的设计中,安全应用对外提供可编程的应用接口,如RESTful API、Web Service接口、消息队列和管道等中间件接口,那么在一些复杂的场景中,可以存在更上层的安全应用,通过调用一系列其他应用的应用接口,快速有逻辑性地完成多种安全功能。
3.2在线商店:交付革命
互联网自诞生伊始就在深刻地改变世界,“工业4.0”、“物联网”、“O2O”、“BYOD”这些流行词都是互联网与工控体系、嵌入式系统、百姓日常生活和企业办公等场景结合后诞生的新模式,可以说互联网的敏捷、开放和丰富的资源给这些传统事物带来了新的变革。
软件定义安全本质是借助应用的灵活逻辑实现安全方案的“软化”,那么这些应用从何而来,这些应用的逻辑因何而变?在软件定义安全发展到应用成熟的阶段,这些问题就会被提出。
资源池:按需而变的安全能力
如3.1 节中所述,Gartner将软件定义安全移至技术成熟度曲线最高点右侧,也就是幻想破灭期,这表示其愿景虽好,但在应用中会遇到很多困难,迫使人们对其态度更加趋于实用。事实上,在国内的一些云安全的实验性项目中,我们发现研发和运营一个软件定义的安全系统是有难度的。经过了一系列的实践,我们发现安全资源池(Security Fabric)是实践软件定义安全理念一个比较好的途径。
4.1理想主义的困境
“软件定义”有敏捷、高效和开放等诸多优点,一个系统达到可以被软件所定义的程度显然是一种理想状态:软件定义网络SDN是网络运维的理想目标,软件定义数据中心(Software Defined Data Center,SDDC)是云计算的理想目标,软件定义安全(Software Defined Security,SDS)则是企业安全体系的理想目标。软件定义安全可能最早会在软件定义数据中心,特别是各种云计算信息系统中部署。因为软件化的安全体系与虚拟化、SDN化的云环境可以天然地互补:借助虚拟化的安全产品和SDN化的流量引导,安全平台很容易快速具备安全防护能力。
4.2资源池:打通最后一环
可以说,突破云环境中的虚拟化系统和网络控制体系的限制是实现云中软件定义安全的最重要一环,如何打破这个僵局,各家厂商也是八仙过海,各显其能。但有意思的是经过两年左右的探索,主流厂商都提出了基于安全资源池的方案,可见技术发展有其必然性。
4.3资源池架构
与数据中心中的计算、存储和网络资源相似,各种形态、各种类型的安全产品都能通过控制和数据平面的池化技术,形成一个个具有某种检测或防护能力的安全资源池。
基于资源池的安全体系
4.4云计算环境的安全防护
上节描述提到,云计算环境中存在南北向流量和东西向流量,资源池化的防护方案对这两种流量均可实现有效防护。本节将分别介绍这两种流量的防护方法。
4.5传统环境的安全防护
企业网络中部署的一般是传统安全设备,每个安全设备执行各自的安全功能,性能高但功能比较固定。当前企业面临快速、多变、持续性的安全威胁,亟需安全防护方案具有快速、强大、按需而变的能力,而这恰恰是传统单个安全设备所无法满足的。
软件定义安全实践
本章介绍安全应用如何借助安全控制平台进行多种环境下的快速安全防护。
5.1面向混合云和移动办公的自适应访问控制
随着降低办公和运营成本的需求越来越普遍,很多企业开始搭建私有云,也在尝试购买一些互联网上的基础设施即服务(Infrastructure as a Service,IaaS)(如阿里云Web服务器)和SaaS(如ERP等应用),或者部署无线网络,鼓励员工携带自有手机、平板电脑进行移动办公。所以可预计,混合云和BYOD会成为未来几年企业IT环境常见的基础设施。
5.2面向公有云的安全服务
公有云和私有云的安全需求有很大差异,所以对应的防护思路也是不同的。简单而言,私有云的安全聚焦于安全管理,管理员要考虑的一个重要安全需求是合规性,传统的安全机制也需要在私有云中有相应强度的部署;而公有云的安全主要集中在业务安全,用户考虑的重要需求是保证其对外提供的服务运行正常,以及采购安全产品过程的快捷性、使用安全产品的便捷性和整体防护流程的效率等。
5.3可编排的应急响应/弹性服务
随着互联网的快速发展,重量级的漏洞从曝光到大规模利用时间从以天计算到以小时计算,大企业的严重安全事件也是层出不穷,安全防护所遇到的挑战也越来越大。Gartner提出的自适应安全模型,基于的假设就是即便是安全防护体系完备的TOP500大企业,其IT基础设施也是会被攻破的。但即便如此,也可以通过增强检测和响应的安全机制,使系统在很短时间内恢复,数据最终不会被泄露。
结束语
软件定义安全已越过了技术成熟度曲线的最高点,国内外的关注度会越来越多。2016年是软件定义安全发展的重要一年,很多初创公司和成熟公司的安全产品很好地诠释了这一点。
软件定义安全从架构上看,北向的要点是安全应用的有效协作和快速交付,前者利用应用编排技术形成安全策略的灵活组合,适配于不同的场景;后者借助全新的在线应用商店构建良好的生态环境,加快安全应用的交付速度,应对日益激烈的攻防对抗。南向的要点是能根据多变的安全策略,快速输出相应的安全能力,资源池技术不仅解决了安全体系与云平台集成的可行性问题,还有助于将异构的安全设备抽象统一,形成可快速就绪、弹性的安全能力。可以预计,未来几年这三个技术将会得到快速的发展,成为推动软件定义安全的强大支撑动力。
本文从宏观角度分析了软件定义安全在2016年的新动向,文中更多技术细节可参考《软件定义安全:SDN/NFV新型网络的安全揭秘》一书。关于本领域的新进展可关注“绿盟创新中心”公众号。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。
更多内容下载:软件定义安全白皮书2016-1223
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880-8669