安全视角看虚拟网络和SDN .pptxVIP

潘柱廷、叶润国未来网络虚拟片层的安全安全视角看虚拟网络和SDN等启明星辰公司云安全摘要虚拟化是云计算等新兴计算技术实现的关键之一，包括服务器虚拟化、存储虚拟化、虚拟客户端、应用虚拟化、网络虚拟化等等。其中服务器、存储、客户端的虚拟化都可以被理解为空间节点的虚拟化，而常被提到的虚拟交换机技术还只是局部网络空间的虚拟化。而在软件定义网络SDN等技术所代表的发展趋势看，真正覆盖较大范围的虚拟化网络必将出现。本演讲试图探讨网络空间的根本性变化所带来网络安全理论、方法和技术的变化。几个不得不搞清楚的概念安全的本质安全服务网络的本质传统网络（非虚拟网络）的本质体现虚拟网络的本质体现安全、网络、虚拟安全、网络、虚拟首先我们先简单回顾一下那些不变的安全本质。安全的方方面面卫星通讯骨干网攻击检测渗透测试强认证文档安全业务大集中数据中心办公安全管理平台风险评估网站安全审计等级保护首席安全官业务逻辑冗余/备份监控/预警安全专家核心业务终端安全网上银行应急响应加密UTM防火墙入侵检测多功能网关涉密系统安全火灾/水灾ERP服务器安全制度/规则国家战略内部人员作案病毒/蠕虫组织体系合作/外包体系结构线路中断设备故障项目管理误操作分布式拒绝服务攻击垃圾信息安全事件网络渗透云模式工作流网络嗅探电磁泄漏规划/计划合规性要求三观论宏观/中观/微观漏洞/脆弱性管理理念量化/指标化黑客梳理手上的牌卫星通讯骨干网攻击检测渗透测试强认证文档安全业务大集中数据中心办公安全管理平台风险评估网站安全审计等级保护首席安全官业务逻辑冗余/备份监控/预警安全专家核心业务终端安全网上银行应急响应加密UTM防火墙入侵检测多功能网关涉密系统安全火灾/水灾ERP服务器安全制度/规则国家战略内部人员作案病毒/蠕虫组织体系合作/外包体系结构线路中断设备故障项目管理误操作分布式拒绝服务攻击垃圾信息安全事件网络渗透云模式工作流网络嗅探电磁泄漏规划/计划合规性要求三观论宏观/中观/微观漏洞/脆弱性管理理念量化/指标化黑客最精简的风险管理３要素资产措施 威胁不变的三类信息安全核心技术基于风险管理思想的体系化方法和措施基于攻防技术的检测响应技术措施基于密码技术的认证加密等技术措施安全的原则和思路…风险三要素需求驱动力矩阵PPT结构三大类安全技术PDR及PDCERF通用检测模型分层和分域，三观论Zachman(nW1H, 虚实层)流和时空安全域+业务流…基于时间和基于缓冲的安全结构和解构安全度量和安全可视化生命周期三大过程敏捷和瀑布模式君臣佐使的配伍思想可信与可控云模式、虚拟化大数据分析解决APT宏观态势感知…安全、网络、虚拟形形色色的网络交通运输网，邮政网，电话通信网，计算机网，互联网，万维网社会关系网，产品供销网，金融借贷网智能电网，无线网，传感网，物联网神经网，生物代谢网，食物链（网）攻守同盟网，恐怖主义网络人人网，新浪微博网，QQ，团购网…当我们想到“网络”这个词语...联系节点：vertex,point边：连接,链接,关系,联系；edge,link网络中的路径以点的关系为主，不关注路径社交网络路径不固定，会按需临时建立无线网络、物联网、无线传感网、DTN等路径连接着点，数据在路径上流动互联网、局域网更抽象更具体安全、网络、虚拟节点、连接结构(路径..)安全、网络、虚拟业务流业务流@网络结构安全、网络、虚拟虚拟化应用片层虚拟应用虚拟桌面虚拟服务器虚拟存储系统片层虚拟网络设备网络片层常被提到的虚拟化服务器虚拟化存储虚拟化桌面虚拟化应用虚拟化网络虚拟化网络虚拟化的不同范围节点域包网络虚拟化的不同范围节点域包网络虚拟化-虚拟交换机应用程序应用程序应用程序软件模块、VM数据交换；局限在物理服务器中与物理L2交换机兼容，可以构建VLAN代表：Vmware vSwitch、Linux Bridge存在的问题流量不可见问题网络隔离问题管理复杂问题策略一致性问题网络性能问题操作系统操作系统操作系统VM3VM2VM1虚拟化服务器VMM虚拟交换机物理交换机VM间流量不可见问题解决方案软件SPAN、RSPAN和netflow功能硬件交换机导流方案：VEPA和VN-TAG虚拟交换机环境下的安全产品部署部署串行网关部署旁路检测应用程序应用程序应用程序应用程序Tenant ATenant B操作系统操作系统操作系统操作系统Public Network混杂端口vSwitch1vSwitch2vSwitch3混杂端口Hypervisor网络虚拟化的不同范围节点域包网络虚拟化-分布式虚拟交换机应用程序应用程序应用程序应用程序应用程序应用程序应用程序应用程序应用程序操作系统操作系统操作系统操作系统操作系统操作系统操作系统操作系统操作系统数据平面虚拟交换机虚拟交换机虚拟交换机分布式虚拟交换机分布式虚拟交换机管理中心管理平面可扩展到多个