未来网络虚拟片层的安全__安全视角看虚拟网络和SDN等

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,#,潘柱廷、叶润国,启明星辰公司,未来网络虚拟片层的安全,安全视角看虚拟网络和,SDN,等,云安全,摘要,虚拟化是云计算等新兴计算技术实现的关键之一，包括服务器虚拟化、存储虚拟化、虚拟客户端、应用虚拟化、网络虚拟化等等。其中服务器、存储、客户端的虚拟化都可以被理解为空间节点的虚拟化，而常被提到的虚拟交换机技术还只是局部网络空间的虚拟化。而在软件定义网络,SDN,等技术所代表的发展趋势看，真正覆盖较大范围的虚拟化网络必将出现。本演讲试图探讨网络空间的根本性变化所带来网络安全理论、方法和技术的变化。,几个不得不搞清楚的概念,安全的本质,安全服务,网络的本质,传统网络（非虚拟网络）的本质体现,虚拟网络的本质体现,4,网络的本质,传统网络,(,非虚拟网络,),虚拟网络片层,(,虚拟点和连接,),安全、网络、虚拟,安全本质,安全服务,5,网络的本质,传统网络,(,非虚拟网络,),虚拟网络片层,(,虚拟点和连接,),安全、网络、虚拟,安全本质,安全服务,6,首先我们先简单回顾一下那些不变的安全本质。,安全的方方面面,加密,强认证,防火墙,入侵检测,国家战略,攻击检测,渗透测试,组织体系,制度,/,规则,多功能网关,UTM,工作流,审计,管理平台,风险评估,等级保护,体系结构,规划,/,计划,云模式,项目管理,监控,/,预警,冗余,/,备份,应急响应,合规性要求,首席安全官,安全专家,三观论,宏观,/,中观,/,微观,量化,/,指标化,合作,/,外包,管理理念,涉密系统安全,病毒,/,蠕虫,分布式,拒绝服务攻击,办公安全,网上银行,骨干网,网站安全,ERP,服务器安全,火灾,/,水灾,设备故障,内部人员作案,网络渗透,网络嗅探,核心业务,电磁泄漏,终端安全,文档安全,误操作,垃圾信息,安全事件,漏洞,/,脆弱性,黑客,业务逻辑,卫星通讯,业务大集中,数据中心,线路中断,涉密系统安全,病毒,/,蠕虫,分布式,拒绝服务攻击,办公安全,网上银行,骨干网,网站安全,ERP,服务器安全,火灾,/,水灾,设备故障,内部人员作案,网络渗透,网络嗅探,核心业务,电磁泄漏,终端安全,文档安全,误操作,垃圾信息,安全事件,漏洞,/,脆弱性,黑客,业务逻辑,卫星通讯,业务大集中,数据中心,线路中断,梳理手上的牌,加密,强认证,防火墙,入侵检测,国家战略,攻击检测,渗透测试,组织体系,制度,/,规则,多功能网关,UTM,工作流,审计,管理平台,风险评估,等级保护,体系结构,规划,/,计划,云模式,项目管理,监控,/,预警,冗余,/,备份,应急响应,合规性要求,首席安全官,安全专家,三观论,宏观,/,中观,/,微观,量化,/,指标化,合作,/,外包,管理理念,资产,威胁,措施,最精简的风险管理要素,不变的,三,三类信,息,息安全,核,核心技,术,术,基于密,码,码技术,的,的,认证加,密,密等技,术,术措施,基于攻,防,防技术,的,的,检测响,应,应技术,措,措施,基于风,险,险管理,思,思想的,体系化,方,方法和,措,措施,安全的,原,原则和,思,思路,风险三,要,要素,需求驱,动,动力矩,阵,阵,PPT,结构,三大类,安,安全技,术,术,PDR,及,PDCERF,通用检,测,测模型,分层和,分,分域，,三,三观论,Zachman(nW1H,虚实层,),流和时,空,空,安全域,+,业务流,基于时,间,间和基,于,于缓冲,的,的安全,结构和,解,解构,安全度,量,量和安,全,全可视,化,化,生命周,期,期三大,过,过程,敏捷和,瀑,瀑布模,式,式,君臣佐,使,使的配,伍,伍思想,可信与,可,可控,云模式,、,、虚拟,化,化,大数据,分,分析解,决,决,APT,宏观态,势,势感知,网络的本质,传统网络,(,非虚拟网络,),虚拟网络片层,(,虚拟点和连接,),安全、,网,网络、,虚,虚拟,安全本质,安全服务,12,形形色,色,色的网,络,络,交通运,输,输网，,邮,邮政网,，,，电话,通,通信网,，,，计算,机,机网，,互,互联网,，,，万维,网,网,社会关,系,系网，,产,产品供,销,销网，,金,金融借,贷,贷网,智能电,网,网，无,线,线网，,传,传感网,，,，物联,网,网,神经网,，,，生物,代,代谢网,，,，食物,链,链（网,）,）,攻守同,盟,盟网，,恐,恐怖主,义,义网络,人人网,，,，新浪,微,微博网,，,，,QQ,，团购,网,网,13,当我们,想,想到“,网,网络”,这,这个词,语,语,.,事物、情况,事物,情况,14,节点：,vertex,point,边：连,接,接,链接,关系,联系；,edge,link,联系,网络中,的,的路径,15,以点的,关,关系为,主,主，不,关,关注路,径,径,社交网,络,络,路径不,固,固定，,会,会按需,临,临时建,立,立,无线网,络,络、物,联,联网、,无,无线传,感,感网、,DTN,等,路径连,接,接着点,，,，数据,在,在路径,上,上流动,互联网,、,、局域,网,网,更抽象,更具体,网络的本质,传统网络,(,非虚拟网络,),虚拟网络片层,(,虚拟点和连接,),安全、,网,网络、,虚,虚拟,安全本质,安全服务,16,节点、,连,连接,结构,(,路径,.),网络的本质,传统网络,(,非虚拟网络,),虚拟网络片层,(,虚拟点和连接,),安全、,网,网络、,虚,虚拟,安全本质,安全服务,17,业务流,业务流,网络结,构,构,网络的本质,传统网络,(,非虚拟网络,),虚拟网络片层,(,虚拟点和连接,),安全、,网,网络、,虚,虚拟,安全本质,安全服务,20,虚拟,化,化,常被,提,提到,的,的虚,拟,拟化,服务,器,器虚,拟,拟化,存储,虚,虚拟,化,化,桌面,虚,虚拟,化,化,应用,虚,虚拟,化,化,网络,虚,虚拟,化,化,21,虚拟,服务器,虚拟,存储,虚拟,桌面,虚拟应用,虚拟,网络设备,应用片层,系统片层,网络片层,网络,虚,虚拟,化,化的,不,不同,范,范围,不同的网络协议层,单网络节点虚拟化,虚拟交换机,多网络节点虚拟化,分布式虚拟交换机,网络区域虚拟化,在局域实现,SDN/Openflow,大范围网络虚拟化,？,22,包,节点,域,网络,虚,虚拟,化,化的,不,不同,范,范围,不同的网络协议层,单网络节点虚拟化,虚拟交换机,多网络节点虚拟化,分布式虚拟交换机,网络区域虚拟化,在局域实现,SDN/Openflow,大范围网络虚拟化,？,23,包,节点,域,网络,虚,虚拟,化,化,-,虚拟,交,交换,机,机,软件,模,模块,、,、,VM,数据,交,交换,；,；局,限,限在,物,物理,服,服务,器,器中,与物,理,理,L2,交换,机,机兼,容,容，,可,可以,构,构建,VLAN,代表,：,：,VmwarevSwitch,、,LinuxBridge,存在,的,的问,题,题,流量,不,不可,见,见问,题,题,网络,隔,隔离,问,问题,管理,复,复杂,问,问题,策略,一,一致,性,性问,题,题,网络,性,性能,问,问题,应用程序,操作,系统,应用程序,操作,系统,应用程序,操作,系统,VMM,虚拟化服务器,VM3,VM1,VM2,物理交换机,虚拟,交换机,VM,间流,量,量不,可,可见问题,解,解决,方,方案,软件,SPAN,、,RSPAN,和,netflow,功能,硬件交换,机,机导流方,案,案：,VEPA,和,VN-TAG,虚拟交换,机,机环境下,的,的安全产,品,品部署,部署串行,网,网关,部署旁路,检,检测,26,操作系统,应用程序,操作系统,应用程序,操作系统,应用程序,操作系统,应用程序,Hypervisor,vSwitch1,vSwitch2,vSwitch3,Tenant A,Tenant B,混杂端口,混杂端口,Public Network,网络虚拟,化,化的不同,范,范围,不同的网络协议层,单网络节点虚拟化,虚拟交换机,多网络节点虚拟化,分布式虚拟交换机,网络区域虚拟化,在局域实现,SDN/Openflow,大范围网络虚拟化,？,27,包,节点,域,网络虚拟,化,化,-,分布式虚,拟,拟交换机,可扩展到,多,多个物理,服,服务器，,集,集中管理,平,平面，简,化,化网络管,理,理,典型代表,：,：,Vmware vDS,、,Cisco 1KV,和,Openvswitch,存在的问,题,题,大二层扁,平,平网络：广播风,暴,暴，,VLAN,局限性,虚拟和物,理,理网络隔,离,离问题,MAC,表爆炸,跨子网迁,移,移问题,操作系统,应用程序,操作系统,应用程序,操作系统,应用程序,操作系统,应用程序,操作系统,应用程序,操作系统,应用程序,操作系统,应用程序,操作系统,应用程序,操作系统,应用程序,分布式虚,拟,拟交换机,虚拟交换,机,机,虚拟交换,机,机,虚拟交换,机,机,分布式虚,拟,拟交换机,管,管理中心,管理平面,数据平面,分布式交,换,换机环境,下,下的安全,部,部署,29,vDS1,vDS2,APP,OS,APP,OS,APP,OS,Tenant A(VLAN101),public network,ESX1,ESX2,APP,OS,Tenant B(VLAN102),旁路,IDS,串行网关,旁路,IDS,SPAN/RSPAN,SPAN/RSPAN,网络虚拟,化,化的不同,范,范围,不同的网络协议层,单网络节点虚拟化,虚拟交换机,多网络节点虚拟化,分布式虚拟交换机,网络区域虚拟化,在局域实现,SDN/Openflow,大范围网络虚拟化,？,30,包,节点,域,网络虚拟,化,化正在拖,云,云计算后,腿,腿,任意物理位置,计算资源,池,池,存储资源,池,池,计算和存,储,储虚拟化,物理网络,虚拟机和,客,客户业务,仍,仍然被物,理,理服务器,和,和物理网,络,络拓扑束,缚,缚,网络设备,虚,虚拟化,任意应用,/,数据,解耦合,虚拟机无,法,法跨网移,动,动，无法,高,高度共享,VLAN,只能提供,有,有限的租,户,户隔离能,力,力,缺乏可编,程,程的灵活,网,网络控制,能,能力,网络局部,虚,虚拟化导,致,致的问题,硬件依赖,问,问题（配,置,置虚拟网,络,络需要配,置,置硬件，,私,私有,API,）,网络隔离,问,问题（,MAC,表爆炸,/,虚拟,IP,不重叠,/VM,跨网迁移,）,）,服务升级,问,问题（硬,件,件服务依,赖,赖，升级,周,周期长，,成,成本高）,可扩展性,问,问题（虚,拟,拟域和应,用,用隔离需,求,求，,VLAN,数量有限,）,）,安服集成,困,困难（实,施,施点苛刻,，,，串行网,关,关，动态,虚,虚拟边界,）,）,云计算需,要,要全网络,域,域的虚拟,化,化,任意物理位置,计算资源,池,池,存储资源,池,池,计算虚拟化,/,存储虚拟,化,化,/,网络虚拟,化,化,物理网络,设,设备资源,池,池,虚拟网络,片,片层,（,NetworkHypervisor,）,任意应用,/,数据,解耦合,解耦合,两层独立,发,发展,软件定义,网,网络,VM,跨网迁移,底层硬件,维,维护,高共享资源,池,池,虚拟网络片,层,层,-,适合云的网,络,络虚拟化,上层虚拟网,络,络和底层网,络,络硬件分离,，,，硬件维护,简,简单，网络,资,资源共享,虚拟网络具,有,有物理,L2,网络全部功,能,能，无缝迁,移,移,虚拟网络和,物,物理网络地,址,址空间隔离,虚拟网络具,有,有完整生命,周,周期：创建,、,、调整、删,除,除,SDN/Openflow,：虚拟网络,片,片层实现核,心,心技术,Specialized Packet ForwardingHardware,App,App,App,Specialized Packet ForwardingHardware,App,App,App,Specializ