安全设备
资源池化如果将安全架构部署云计算
环境中,那就有可能使用虚拟化技术,实现安全设备的资源池化,并通过控制平台与 SDN控制 器的协同,对流量按需调度,实现服务链(Service Chain),此外根据应用所需的安全需求就可以从资源池中找到相应资源,而 不用关心物理上安全设备部署在哪里,也不需要考虑如何布线划区。 此外,通过控制与数据分离,安全设备可以做到逻辑简单、处理高效,并保证了系统的稳定性
。 要实现上述目标,就需要产品线从设备形态、设备部署形式和设备功能进行,实现以下的任务:- 面向设备引擎提供可适应多种环境的统一平台,最终交付安全设备形态,如图 1.6 中的可处理隧道协议的单引擎模式、 多类型虚拟设备组成的服务链、硬件虚拟化和 Hypervisor集成的虚拟化等。在提供了底层支撑平台后,各产品线只需 将自己的引擎部署在这些平台上,就可以快速交付可扩展的设备资源池;
图 1.6 多种形态的安全设备资源集成
安全设备重构
正如上节所述,当安全设备完成资源池化后,对上层应用呈现出的只有安全能力,表现形式就是应用接口 API。从设备的角 度看,当自身实现只需通过若干接口即可交付。
从功能上看,当安全控制平台实现了策略管理、安全分析、安全状态机和各类知识库和资产库,上层的应用就可以基于这些 公共中间件实现各种功能,满足客户的不同需求。
这种设计模式避免了很多出于各种原因所不得不做的定制开发,极大解放了研发团队的人力资源,以便集中资源强化和优化 设备自身的功能。
9 软件定义安全 SDS 004.png)软件定义安全体系的设计 « 安全设备资源池化
整体设计如图 1.7 所示,以防火墙为例,安全控制平台中的知识库中包含了各类地址的信誉、主机资产间的关系和资产归属 信息,并根据上下文决定当前的黑白名单。相应的规则通过控制平面的南向接口传输到设备的规则库,那么防火墙运行时只需要 判断逻辑匹配规则库的规则,当匹配时执行决策逻辑,所有规则都不匹配时执行默认决策逻辑。当判断逻辑和决策逻辑实现的非 常高效,且应用功能满足需求时,整个系统就能高效、可扩展的运行。
要完成上述体系,但还需研发团队对产品本身功能进行梳理,可能会对产品的实现架构进行重构,需要较多的人力投入,但 其带来的,后继的研发、测试和运维成本的节省无疑是巨大的。
图 1.7 面向安全控制平台的安全设备重构
软件定义的云安全实践
第三章中的软件定义的安全体系是较为通用的架构,在第四章中我们给出了一个可行的架构设计,绿盟科技利用该架构实现 了一个安全系统。本章将介绍该系统的部署和交付情况,以及该系统在若干常见的云环境场景中如何工作。
部署模式
本节主要阐述在在一个典型应用场景中,所需要的设备资源情况,以及如何将这些资源部署到整个项目。
假定在早期部署阶段有 100 位客户的控制平台接入,APPStore部署于绿盟的云端,需要 8 台服务器,其中包括 1 台前端 Web服务器,1台认证服务器, 5台后台处理服务器,1台磁盘阵列服务器作为机群。
在一个中等规模客户的云计算业务系统中,包括 25个机架,每个机架部署 2台安全节点,共需要 50台物理安全设备,这些 设备涵盖防火墙、入侵检测系统、入侵防护系统、Web防火墙、安全审计系统、数据库审计系统、抗拒绝服务检测和清洗系统等 方面。
在安全控制平台部署在客户环境中,以虚拟安全设备组成服务链为例,资源池规模在 500台安全虚拟设备左右,每个机架部 署 1-2个物理安全设备(即安全节点,下同)。安全控制平台通过分布式的方式部署,包括 1台数据库服务器、1台消息通信服 务器、1台负责策略、设备管理和应用管理的服务器,以及 1台部署安全应用的服务器。总体的部署方案如图 1.8 所示。
图 1.8 安全设备部署图
如图 1.9 所示,虚拟安全设备可以部署在计算节点上,也可以部署在独立的安全节点上,安全设备可以是工作在二层网络, 也可以工作在三层网络。域内计算节点和安全节点内 Hypervisor的虚拟交换机( Virtual Switch,VSwitch)连接到 SDN控制器, 安全管理平台通过 SDN控制器开放的北向接口与之连接。
图 1.9 使用 SDN技术的安全设备部署图
当接收并解析安全策略后,安全管理平台通过 SDN控制器,向虚拟交换机下发流表,依次在源节点的虚拟交换机、源目的 节点间的隧道和目的节点的虚拟交换机之间建立一条路径,这样原来虚拟机 VM1通过源节点虚拟交换机直接到 VM2的流量,就 沿着上述指定路径先到了目的节点的虚拟安全设备,当处理完毕之后,数据流从安全设备的输出网卡返回到最终的目的虚拟机 VM2。图 1.10 展示了在开源虚拟化系统 Openstack+开源 SDN控制器 Floodlight环境下部署 IPS的情况。
图 1.10 使用 SDN技术实现流量牵引的原理图
13 软件定义安全 SDS
软件定义的云安全实践 « 部署模式
当需要多种类型的安全防护时,数据流就会依次经过多个安全设备,形成一条服务链(Service Chain),如图 1.11 所示。 在这种部署模式下,安全设备的部署情况如下表所示。
图 1.11 使用 SDN技术实现服务链
13 软件定义安全 SDS
软件定义的云安全实践 « 部署模式
使用 SDN技术集成模式的设备部署
|设备类型 |安全设备 |部署模式 |说明 |
|检测防御 |防火墙 |二层防火墙 |通过 SDN控制器牵引流量 |
|||三层防火墙 |直接路由 |
||网络入侵防护系统 IPS |旁路部署 |通过 SDN控制器镜像流量 |
|||串联部署 |通过 SDN控制器牵引流量 |
||网络入侵检测系统 IDS |旁路部署 |通过 SDN控制器镜像流量 |
||高级威胁分析 |旁路部署 |通过 SDN控制器镜像流量 |
||Web防火墙 |反向代理 |正常部署在网络可达处 |
|||透明代理 |通过 SDN控制器牵引流量 |
||拒绝服务流量监测 NTA ||正常部署在网络设备可达处 |
||流量清洗系统 ADS |物理部署 |对于从外向内的恶意流量需部署在物理边界处;防护内部恶意流量|
|||串联部署 |通过 SDN控制器牵引流量 |
|安全评估 |系统扫描器 |独立部署 |需到物理或虚拟主机网络可达,在网络不直接可达处可通过 SDN|
||||控制器打通两点间路径 |
||WEB扫描器 |独立部署 |需到物理或虚拟主机网络可达,在网络不直接可达处可通过 SDN|
||||控制器打通两点间路径 |
||配置核查系统 |独立部署 |需到物理或虚拟主机网络可达,在网络不直接可达处可通过 SDN控|
||||制器打通两点间路径 |
|安全监管 |数据库审计 |旁路部署 |通过 SDN控制器镜像流量 |
||安全审计 |旁路部署 |通过 SDN控制器镜像流量 |
||堡垒机 |旁路部署 |通过 SDN控制器牵引流量 |
参考资料
绿盟 2015绿盟科技软件定义安全SDS白皮书
友情链接
GB-T 20988-2007 信息安全技术 信息系统灾难恢复规范