版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、安全视角看虚拟网络和SDN1潘柱廷、叶润国启明星辰公司未来网络虚拟片层的安全安全视角看虚拟网络和SDN等云安全摘要虚拟化是云计算等新兴计算技术实现的关键之一,包括服务器虚拟化、存储虚拟化、虚拟客户端、应用虚拟化、网络虚拟化等等。其中服务器、存储、客户端的虚拟化都可以被理解为空间节点的虚拟化,而常被提到的虚拟交换机技术还只是局部网络空间的虚拟化。而在软件定义网络SDN等技术所代表的发展趋势看,真正覆盖较大范围的虚拟化网络必将出现。本演讲试图探讨网络空间的根本性变化所带来网络安全理论、方法和技术的变化。几个不得不搞清楚的概念安全的本质安全服务网络的本质传统网络(非虚拟网络)的本质体现虚拟网络的本质
2、体现4安全、网络、虚拟5安全、网络、虚拟首先我们先简单回顾一下那些不变的安全本质。6安全的方方面面加密强认证防火墙入侵检测国家战略攻击检测渗透测试组织体系制度/规则多功能网关UTM工作流审计管理平台风险评估等级保护体系结构规划/计划云模式项目管理监控/预警冗余/备份应急响应合规性要求首席安全官安全专家三观论宏观/中观/微观量化/指标化合作/外包管理理念涉密系统安全病毒/蠕虫分布式拒绝服务攻击办公安全网上银行骨干网网站安全ERP服务器安全火灾/水灾设备故障内部人员作案网络渗透网络嗅探核心业务电磁泄漏终端安全文档安全误操作垃圾信息安全事件漏洞/脆弱性黑客业务逻辑卫星通讯业务大集中数据中心线路中断涉
3、密系统安全病毒/蠕虫分布式拒绝服务攻击办公安全网上银行骨干网网站安全ERP服务器安全火灾/水灾设备故障内部人员作案网络渗透网络嗅探核心业务电磁泄漏终端安全文档安全误操作垃圾信息安全事件漏洞/脆弱性黑客业务逻辑卫星通讯业务大集中数据中心线路中断梳理手上的牌加密强认证防火墙入侵检测国家战略攻击检测渗透测试组织体系制度/规则多功能网关UTM工作流审计管理平台风险评估等级保护体系结构规划/计划云模式项目管理监控/预警冗余/备份应急响应合规性要求首席安全官安全专家三观论宏观/中观/微观量化/指标化合作/外包管理理念资产威胁措施 最精简的风险管理要素不变的三类信息安全核心技术基于密码技术的认证加密等技术措
4、施基于攻防技术的检测响应技术措施基于风险管理思想的体系化方法和措施安全的原则和思路风险三要素需求驱动力矩阵PPT结构三大类安全技术PDR及PDCERF通用检测模型分层和分域,三观论Zachman(nW1H, 虚实层)流和时空安全域+业务流基于时间和基于缓冲的安全结构和解构安全度量和安全可视化生命周期三大过程敏捷和瀑布模式君臣佐使的配伍思想可信与可控云模式、虚拟化大数据分析解决APT宏观态势感知安全、网络、虚拟12形形色色的网络交通运输网,邮政网,电话通信网,计算机网,互联网,万维网社会关系网,产品供销网,金融借贷网智能电网,无线网,传感网,物联网神经网,生物代谢网,食物链(网)攻守同盟网,恐怖
5、主义网络人人网,新浪微博网,QQ,团购网13当我们想到“网络”这个词语.节点:vertex,point边:连接,链接,关系,联系;edge,link联系14网络中的路径以点的关系为主,不关注路径社交网络路径不固定,会按需临时建立无线网络、物联网、无线传感网、DTN等路径连接着点,数据在路径上流动互联网、局域网更抽象更具体15安全、网络、虚拟节点、连接结构(路径.)16安全、网络、虚拟17业务流业务流网络结构安全、网络、虚拟20虚拟化常被提到的虚拟化服务器虚拟化存储虚拟化桌面虚拟化应用虚拟化网络虚拟化虚拟服务器虚拟存储虚拟桌面虚拟应用虚拟网络设备应用片层系统片层网络片层21网络虚拟化的不同范围包
6、节点域22网络虚拟化的不同范围包节点域23网络虚拟化-虚拟交换机软件模块、VM数据交换;局限在物理服务器中与物理L2交换机兼容,可以构建VLAN代表:Vmware vSwitch、Linux Bridge存在的问题流量不可见问题网络隔离问题管理复杂问题策略一致性问题网络性能问题应用程序操作系统应用程序操作系统应用程序操作系统VMM虚拟化服务器VM3VM1VM2物理交换机虚拟交换机VM间流量不可见问题解决方案软件SPAN、RSPAN和netflow功能硬件交换机导流方案:VEPA和VN-TAG虚拟交换机环境下的安全产品部署部署串行网关部署旁路检测操作系统应用程序操作系统应用程序操作系统应用程序操
7、作系统应用程序HypervisorvSwitch1vSwitch2vSwitch3Tenant ATenant B混杂端口混杂端口Public Network26网络虚拟化的不同范围包节点域27网络虚拟化-分布式虚拟交换机可扩展到多个物理服务器,集中管理平面,简化网络管理典型代表:Vmware vDS、Cisco 1KV和Openvswitch存在的问题大二层扁平网络:广播风暴,VLAN局限性虚拟和物理网络隔离问题MAC表爆炸跨子网迁移问题操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序分布式虚拟交
8、换机虚拟交换机虚拟交换机虚拟交换机分布式虚拟交换机管理中心管理平面数据平面分布式交换机环境下的安全部署vDS1vDS2APPOSAPPOSAPPOSTenant A (VLAN101)public networkESX1ESX2APPOSTenant B (VLAN102)旁路IDS串行网关旁路IDSSPAN/RSPANSPAN/RSPAN29网络虚拟化的不同范围包节点域30网络虚拟化正在拖云计算后腿任意物理位置计算资源池存储资源池计算和存储虚拟化物理网络虚拟机和客户业务仍然被物理服务器和物理网络拓扑束缚网络设备虚拟化任意应用 / 数据解耦合虚拟机无法跨网移动,无法高度共享VLAN只能提供有限
9、的租户隔离能力缺乏可编程的灵活网络控制能力网络局部虚拟化导致的问题硬件依赖问题(配置虚拟网络需要配置硬件,私有API)网络隔离问题(MAC表爆炸/虚拟IP不重叠/VM跨网迁移)服务升级问题(硬件服务依赖,升级周期长,成本高)可扩展性问题(虚拟域和应用隔离需求,VLAN数量有限)安服集成困难(实施点苛刻,串行网关,动态虚拟边界)云计算需要全网络域的虚拟化任意物理位置计算资源池存储资源池计算虚拟化/存储虚拟化/网络虚拟化物理网络设备资源池虚拟网络片层(Network Hypervisor)任意应用 / 数据解耦合解耦合两层独立发展软件定义网络VM跨网迁移底层硬件维护高共享资源池虚拟网络片层-适合云
10、的网络虚拟化上层虚拟网络和底层网络硬件分离,硬件维护简单,网络资源共享虚拟网络具有物理L2网络全部功能,无缝迁移虚拟网络和物理网络地址空间隔离虚拟网络具有完整生命周期:创建、调整、删除SDN/Openflow:虚拟网络片层实现核心技术Specialized Packet Forwarding HardwareAppAppAppSpecialized Packet Forwarding HardwareAppAppAppSpecialized Packet Forwarding HardwareAppAppAppSpecialized Packet Forwarding HardwareAppA
11、ppAppSpecialized Packet Forwarding HardwareOperatingSystemOperatingSystemOperatingSystemOperatingSystemOperatingSystemAppAppAppAppAppApp应用层Network Operating System控制层数据层SDN解耦了数据、控制及应用平面,创造了一个可编程的网络。SDN/Openflow:虚拟网络片层实现核心技术36ControllerOpenFlow SwitchPC虚拟网络片层:传统SDN/openflow网络OpenFlow SwitchOpenFlow S
12、witchOpenFlowProtocolControllerOpenFlow vSwitchPC虚拟网络片层:演进的虚拟覆盖网络OpenFlow vSwitchOpenFlowProtocolHost1VM2VM4Host2VM1VM3标准物理交换机L2OverL3 TunnelVXLANNVGRE虚拟网络孤岛1虚拟网络孤岛2nicira的NVPN1KV-VXLAN虚拟片层带来的独特安全问题和机会独特安全问题集中控制节点问题,网络大脑,确保controller安全,提升controller可用性App安全问题,恶意App,app可信,白名单通信安全问题,伪造controller,数据交换安全
13、规则冲突问题,安全APP和其它App之间规则冲突,安全策略失效,需要可靠的安全策略实施框架安全机会数据平面和控制平面分离模式,集中控制平面易实现PDP+PEP模式的动态安全策略39虚拟片层环境下的安全服务部署安全服务实现模式与传统网络有些不同两种安全服务部署模式Proactive(静态openflow规则)Reactive (动态openflow规则)40Reactive模式安全服务SwitchHost BHost ASwitchSwitchSwitchOpenflow Security Apps全局网络视野一致安全策略在线安全决策策略分散执行流过滤防火墙蠕虫扫描检测恶意流量牵引网络探测欺骗41流过滤防火墙实例VM1()VM2VM3 WebServerAppServerDBServerHTTP, 80HTTP, 8080TDS, 443业务拓扑Allow any to access WebServer at Port 80 with HTTPAllow WebServer to access AppServer at 8080 with HTTPAllow AppServer to access DBServer at 443 w
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025年林芝货运从业资格证模拟考试题库
- 农业银行员工激励与合规文化培育
- 信息技术与小学写作教学的深度融合研究
- 以家庭为基础的孩子情绪教育创新路径
- 农村家禽养殖的商业模式创新研究
- 教科版二年级上册科学期末测试卷及参考答案ab卷
- 健康饮食塑造幸福人生
- 企业安全文化与员工福利的协同发展
- 创新教学方法在小学生法治意识培养中的应用
- 从办公室到自然-企业员工健康管理的创新方式探索
- 小学二年级道德与法制上册《家乡物产养育我》教学教案
- 吊篮安装合同范文
- 【甲乳外科-甲状腺-课件-幻灯】超声引导下甲旁亢热消融治疗
- 软件开发项目的监理规划
- 送教上门情况记录表送教活动记录六篇.doc
- 戴炜栋英语语言学概论Chapter 1
- 2020年广东省中考数学试卷
- 广东省义务教育阶段学生学籍卡
- 小区会所经营方案(开业投资分析)
- 加气混凝土砌块施工方法
- 销售冠军团队销售职场培训动态PPT
评论
0/150
提交评论