软件定义安全2016幻灯片.pptVIP

1 软件定义安全（ 2016 ） Software Defined-Security 2016 绿盟科技 2 软件定义安全架构 SDS Architecture ? 背景介绍 ? 软件定义安全架构 ? 软件定义安全！ = 云 /SDN 安全 01 3 背景介绍 ? 网络空间安全受到了空前的重视 ? 网络安全已成为国家战略 ? 网络安全法，《网络产品和服务安全审查办法》，… ? 安全厂商层层防护，但互联网上的安全事件不减反增 ? 修复漏洞平均花费两周 ，而攻击者从发动攻击到窃取数据往往仅需数小时 ? Mirai ，乌克兰电力门， Ransomeware ， Swift 系统 $8100w 盗窃， OpenSSL ， Struct 2 ，…… ? 一个最好的时代，也是一个最坏的时代 4 软件定义安全理念 ? 连接协同 ? 有机结合多种安全机制，实现协同防护、检测和响应； ? 敏捷处置 ? 在出现异常时进行智能化的判断和决策，自动化地产生安全策略，并通过安 全平台快速分发到具有安全能力的防护主体； ? 随需而变 ? 当安全事件爆出后，攻击者的攻击方法更新很快，那么就要求防护者能紧跟 甚至超过攻击者，以快制快，在数据泄露的窗口期内阻止攻击者。 软件定义安全是将通过安全数据平面与控制平面分离，对物理及虚拟的网络安全设备与其接入模式、 部署方式、实现功能进行了解耦，底层抽象为安全资源池里的资源，顶层统一通过软件编程的方式进 行智能化、自动化的业务编排和管理，以完成相应的安全功能，从而实现一种灵活的安全防护。 在 2016 年 7 月 Gartner 发布的《 2016 年新兴技术成熟度曲线》报告中，软件定义安全在成熟度曲线上 已经有明显的移动，越过了成熟度曲线的最高点。对此，报告的评论是“安全供应商继续将更多策略 管理从个别硬件元素移动到一个基于软件的管理平面，以便保证指定安全策略的灵活性。因此，软件 定义安全为安全策略的执行带来速度和敏捷性”。 5 ? 不再假设防护（ Protection ）能 实现万无一失的安全 ? 更强调检测（洞见）和响应（敏 捷）的能力 ? 更重要的是将这四个步骤有机的 进行编排，实现针对不同攻击的 动态防御 百家论 之 自适应安全 6 ? Phantom ： RSAC 2016 创新沙盒 Winner ，从应用层入手，构建自动 化、可编排的安全应用体系，支持 多种数据源和主流的 SIEM 平台；同 时，可以让安全管理团队编写脚本 Playbook ，调用相应的安全服务， 实现安全运维自动化 ? Resilient System ：被 IBM 收购，推出 弹性的灾难恢复服务 ? 编排引擎可以软件定义安全为支撑 体系，利用北向应用编排机制进行 安全资源和策略的灵活调配，实现 多种防护手段的协同运作 百家论 之 应用编排 7 ? Google BeyondCorp ? 彻底打破内外网之别，通过统一的访问控制引擎，管理不同用户对不同资源 的访问，而不将用户和资源的位置作为决策依据 ? Skyport Systems ? 基于 TPM 的虚拟化零信任访问控制体系 ? CSA SDP ? 面向企业关键基础设施的集中访问控制体系 ? VMWare Micro-Segmentation ? 虚拟化环境中的东西向内部网络访问控制 百家论 之零信任 / 微分段 8 ? 软件定义安全！ = 云 /SDN 安全 ? 软件定义安全：安全数据控制分离的理念，实现安全运营自动化… ? 云 /SDN 安全：防护云中（ SDN 网络）的设施和业务安全 ? 软件定义安全的理念可能最早会在安全防护得到体现 ? 开放接口 ? 敏捷弹性的资源池助力 ? SDN/NFV 的支持 ? 安全及服务满足 SMB 客户 软件定义安全与云 /SDN 安全 9 软件定义安全架构与云 /SDN 安全控制平台 IPS 基础设施 管理平台 APP1 APP2 APPn … 服务编排 设备资源池 库 对接 运营平台 APPi APP1 应用商店 客户环境 IPS IPS WA WAF WAF FW FW FW Internet 安全资源池 SDN 控制器 对接 10 安全编排：一切防护皆软件定义 ? 应用编排 ? 在线商店 02 11 应用编排：软件定义安全的灵魂 ? 软件化、自动化和敏捷性都是通过面向不同场景的安全应用所体 现的 ? 多应用协同进行编排可实现复杂的安全功能 ? 例如，用户行为画像应用由以下应用组合而成 ? 网络流量分析应用，对收集到的流量进行格式化、建模，建立正常访问基线； ? 资产分析应用评估出企业的重要资产，结合企业已有的 ERP 和 CRM 系统的 API 获得员工 身份信息； ? 安全审计应用获得安全设备上传的实时日志； ? UEBA （ User