海博网论坛科技携手武汉绿网 实现全局网络流量可视可控
2015-07-07
近年来互联网已发生巨大的变化,无论是基础设施还是终端设备,无一不在重构我们的生活。随着云计算的普及和网络恶意攻击的产业化,数据泄露的风险不断加大,云计算信息系统中计算、网络和数据安全等方面的各种威胁也日渐突出。
传统的网络安全防护方法应用到如今复杂的网络环境中已明显表现出其局限性,借鉴软件定义网络(SDN Software-Defined Networking)的思想,一种灵活的网络安全防护方法——软件定义安全(SDS,Software-Defined Security)应运而生,在对复杂网络的安全防护上表现出更强的适应性。
软件定义安全的架构通过将安全控制平面与安全数据平面分离,标准化南向安全控制通道,并通过安全控制器(Security Controller)保护信息系统。在云计算系统和软件定义网络环境中,更能通过虚拟资源调度和流量控制手段,实现安全威胁快速响应和多种安全手段结合的方法中断攻击链(Kill Chain)。
软件定义安全体系的核心是安全控制平台(Security Controller)。在南北方向,安全控制器根据通过解析定制化的北向安全应用逻辑,协同控制南向资源池中的安全设备,实现预期安全功能;在东西方向,控制知识库构建了多种虚拟化解决方案租户、虚拟机和虚拟网络等资产关系,且通过松耦合的方式与多种SDN的网络控制器集成,可获取拓扑和流数据等信息,并下发网络流量控制的命令,实现网络流量实时感知和控制。
图1安全控制器的交互图
安全控制平台的优势:
(1)控制与数据分离简化了安全设备的处理引擎,使得安全设备更稳定高效。
(2)借助虚拟化技术,实现安全设备的资源池化,并通过安全控制平台与SDN控制器的协同,对流量按需调度,实现服务链(Service Chain),根据应用所需的安全需求就可以从资源池中找到相应资源,而不用关心物理上安全设备部署在哪里,也不需要考虑如何布线划区。
得益于南北向的松耦合结构,安全控制平台适用于多种场景,借助不同场景下的安全应用,安全控制平台可实现如BYOD访问控制、DDoS检测清洗、软件定义的抗APT攻击、软件定义的WEB安全等功能。
此外,东西向安全控制平台也采用松耦合结构,在大量网络业务分析后整理出了若干安全业务相关的SDN控制器北向接口和虚拟化系统接口,通过利用或开发相关接口,安全控制平台与不同的SDN和虚拟化系统集成,可部署在多种不同业务类型的客户环境中。
海博网论坛科技软件定义安全方案与武汉绿网控制器GNFlush的协同工作,正是这种架构多种优点的体现。经过双方技术上的配合协作,安全控制平台可借助GNFlush对全局网络流量具有可视可控的能力,并在BYOD场景中进行了验证。
图2软件定义的BYOD访问控制
软件定义的BYOD访问控制方案可支持多种认证方式:如LDAP、OpenID和手机号验证等,进而基于访问者的角色、属性与被访问资源的关系实现访问控制。借助GNFlush控制器,可以实现流级别的细粒度控制,且无论访问者物理位置在何处,底层网络设备都执行同样的控制规则。这种全局、细粒度、强制且一致的访问控制机制可认为是云安全联盟提出的软件定义边界(Software Defined Perimeter)在BYOD场景中的实现。
此外,当使用GNFlush可实现基于上下文环境的自适应访问控制,安全控制平台通过GNFlush获得全局流视图,利用用户、终端、资产和网络环境等上下文信息形成动态的、基于风险的访问决策,建立访问安全基线,当存在异常访问时,向GNFlush下发流指令,将可疑流量牵引到安全资源池组成的安全服务链,进行DPI、代码和行为检测,并进一步对确认的威胁进行处理。
武汉绿网研制的高性能SDN控制器GNflush每秒流表下发速率高达10M flow/s,能实现毫秒级的主备切换。控制器具备全局视野,可掌握整个管理域范围内的流信息,这与传统交换机只了解所转发的流量有很大的区别。通过和不同类型的安全功能进行结合,这个全局信息使得安全服务重构成为可能。例如,SDN可以为每个网络节点和流建立各种安全状态属性,并与安全信誉和异常发现系统等联动,实现更智能、灵活、高效的安全机制。高性能SDN控制器为各安全机制的自动化、联动、特别是跨厂商设备的联动,提供了新的机遇。
软件定义的理念正在改变IT基础设施的方方面面,如计算、存储和网络,最终成为软件定义一切(Software Defined Everything)。这“一切”必然包含安全,软件定义的安全体系将是今后安全防护的一个重要前进方向。近日,海博网论坛科技将发布软件定义的云安全体系架构安全白皮书,敬请期待。
关于海博网论坛科技
北京神州海博网论坛信息安全科技股份有限公司(简称海博网论坛科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。有关海博网论坛科技的详情请参见:http://www.yoshangchina.com/
关于武汉绿网
武汉绿色网络信息服务有限责任公司(简称武汉绿网)——智能化网络设备和服务的领导者。创立于2003年专注于基于X86的高性能网络设备领域,是一家立足于提供电信级应用层网络设备解决方案的高新技术企业。公司先后获得多项资质认证拥有22项软件著作权和三项发明专利,开发的成果在电信运营商、企业、高校以及ICP/ISP中均得到广泛应用。