《软件定义安全》之八:软件定义安全案例

第8章 软件定义安全案例

1.国外案例

1.1 Fortinet:传统安全公司的软件定义方案

Fortinet的软件定义安全架构强调与数据中心的结合,旨在将安全转型为软件定义的模式,使安全运维能够与数据中心的其他部分一样灵活、弹性。在Fortinet看来,安全本身就应该作为IT架构的一个功能层面。与SDN控制器或平台的结合能保障安全运维的灵活性,同时安全运维也要与Hypervisor和云平台管理相结合。

在这里插入图片描述

数据平面

主要实现设备和服务抽象,目的是通过灵活利用虚拟化的安全设备和服务,增强执行的安全性。除防火墙和其他网络安全设施向更大、更快的硬件演化之外,安全引擎和功能同样需要通过虚拟设施来呈现。虚拟设施主要是指将L4~L7的服务,如防火墙或负载均衡设备,在虚拟机中封装成软件引擎。虚拟防火墙可以向下部署到虚拟交换层,即离虚拟机工作更近的地方,以得到虚拟机东西向流量和数据更高的可视性。硬件设施虽然仍需要提前部署,但其部署可以通过虚拟域(VDOM)和VLAN而变得更灵活。

控制平面

即平台编排和自动化,主要实现平台的协作和自动化,通过与底层网络和平台架构的协作体现系统的灵活性和弹性。安全平台需要支持运算、网络和其他基础设施层的动态变化。

管理平面

利用物理设备、虚拟设备和云平台架构提供统一的管理策略和分析。无论工作负载在何处运行,以何种方式运行,安全管理需要提供安全策略和事件的统一的显现窗口。更进一步,安全管理自身也可以更多地作为一种服务来呈现。例如,在虚拟机上运行策略和日志引擎,甚至作为云中的SaaS应用。


Fortinet的软件定义安全架构认为软件定义安全中安全应用和管理产品不应完全与其他基础设施孤立,而要使安全应用与管理能够实时掌握数据中心的变化,安全运维必须建立在一个可扩展的平台上。可扩展性具体体现在:
❋ 通过可编程API与其他交互点和其他基础设施整合与交互。但目前用于扩展的API接口是使用开放的标准化接口还是私有的接口尚存争议,它们在互用性、上市时间和其他因素上各有利弊。
❉ 供应商需要致力于让它们的平台更灵活,以便服务提供商、企业和其他技术伙伴能够将其他SDN控制器、编排平台、云管理和可视化分析工具整合进来。
✺ 安全供应商及其合作方必须为先进的基础设施平台提供开箱即用的安全解决方案,使大多数公司不需要本地编程和其他附着措施就可完成配置和部署。

1.2 Embrane Heleos:软件定义的NFV方案

Embrane是一家虚拟设备提供商,由Cisco公司前员工创立,该公司致力于实现网络功能实体的软件化,旨在研发出多服务、分布式软件架构的网络服务产品。它于2015年4月被Cisco公司收购。
Embrane的软件定义架构称为Heleos,利用虚拟通信设备代替原有基于专有硬件平台的设备,通过一个集中的控制台对虚拟设备进行管理和控制。Heleos与原来的应用交付网络(ADN)产品较为接近,是基于软件的L4~L7虚拟设备,包括负载均衡产品、防火墙、VPN产品和SSLOffload Engine。其中最著名的是防火墙实现。
Embrane将这些以软件形式存在的网络功能命名为Heleos分布式虚拟设备(Distributed Virtual Appliance,DVA),受统一的Heleos弹性服务管理器(Elastic Service Manager,ESM)管理,对外提供RESTfulAPI接口。理论上,DVA可以部署到任何Hypervisor平台上。DVA架构如下:
①数据平面是实际的网络功能执行体,接收ESM下发的策略;
②数据调度平面是和网络接口直接进行信息交互的平面,负责L2转发逻辑处理,以及将报文分发到相应的数据平面,当一个DVA动态增加数据平面时,数据调度平面可以感知,并将报文分发到相应的数据平面实例上;
③数据管理平面是一个DVA的本地控制面。一个DVA可以配置多个数据平面,以扩充系统的性能。

特点
DVA可并充分利用X86架构下分布式体系结构来提高可扩展性和灵活性。利用Heleos的分布式体系结构,企业和服务提供商可以快速部署功能齐全、敏捷的L3~L7网络服务。从软件、硬件设备的性能和规模上来说,这些服务速度快,具有灵活性和弹性。

Embrane被Cisco收购后,产品已经融入进思科的体系内:

在这里插入图片描述

1.3 CloudPassage:安全服务快速编排能力

CloudPassage是一家云安全服务开发商,其产品Halo是一个为云计算中心的服务器提供可视化的安全和合规性服务的平台,可将安全功能抽象成SaaS安全服务。其安全功能主要有:多因子认证、服务器访问管理、密钥管理、基于工作负荷的防火墙管理、基于日志的入侵检测、文件完整性监测、软件脆弱性评估和配置安全监测等
要在动态的、分布式的云计算中心提供如此敏捷的服务,在CloudPassage看来,软件定义主要体现如下五大特征。

⓵自动化意味着在系统部署、配置、操作、移除等方面减少人为参与,即一旦策略成功建立,在以后每个控制阶段都完全不再需要人为参与。
⓶抽象。CloudPassage将安全功能抽象成独立于底层硬件、网络环境的SaaS服务,可以部署于不同规模的硬件平台上;要保护的对象则被抽象成逻辑的工作负荷组,通过这种抽象可实现安全的自动化。
⓷编排通过动态、自动、集中管理将多个独立控制的安全功能重组成集成的、全方位的安全服务。
⓸按需弹性部署安全运维系统要根据云计算中心规模的变化自动进行调整。
⓹应用接口API这些接口应该在保障安全的条件下尽量给开发者提供更大的使用权限。利用API接口,还可以把非软件定义安全架构的系统接入软件定义安全架构的系统中。

Halo提供RESTful API接口,可以集成更多的安全和运维方案,开放接口包括独立控制的安全功能的开放以及平台层面的开放。在CloudPassage网站上列出了一些可通过API接口集成的安全服务、云提供商产品等。安全用户可通过安装Halo Agent访问Halo安全分析引擎的开放接口。
Halo的一个典型的编排过程是,管理员为不同的上下文定义关联的安全策略和服务,上下文信息包括:是私有云还是公有云,用户的地理位置是美国还是欧洲,数据的分类等;编排平台根据所定义的编排策略和用户上下文信息自动合成高层的安全服务。

1.4 Securosis:利用AWS和Chef的软件定义安全

Securosis公司给出了一种通过集成现有工具实现自动安全运维的软件定义安全实践。它通过集中管理系统Chef,将安全策略自动推送到云计算中心的所有实例并执行,并利用AWS的安全功能保证策略下发的安全性,利用云基础设施平台配置管理功能完成服务器自动化部署并执行安全策略。它的总体流程如下。
➀通过基础设施的配置管理,启动新的Amazon EC2实例,并运行cloud-init脚本。
➁利用Chef将策略推送到服务器,包括初始化策略和升级策略。
➂确保策略正确部署。
➃利用脚本不断监控离群系统,对离群系统进行孤立、整合或移除。

Chef是一款自动化服务器配置管理工具,可以对所管理的对象实行自动化配置,如系统管理、软件安装等。Chef由三大组件组成:

在这里插入图片描述

  1. Chef Server:核心服务器,维护了一套配置脚本(Cookbook),与每个被管节点(Chef Node)交互并给出配置指令。
  2. Chef Node:安装了Chef-client并注册了的被管节点。Chef Node每次运行Chef-client时都会从Chef Server端取得最新的配置脚本并按指令进行配置。
  3. Chef Workstation:提供了与Chef Server交互的接口,在Chef Workstation上创建定义配置脚本,并上传到Chef Server,以保证被管机器能从Chef Server取得最新的配置指令。

Chef的认证基于非对称加密机制。下图所示为Chef Server和客户端之间的认证过程。Chef Server为每个客户端生成一对独立的公钥和私钥,将私钥返回给客户端,而自己持有所有客户端的公钥。当持有私钥的客户端发送请求时,必须用自己的私钥对请求内容计算数字签名,并随同请求一起发送。Chef Server用该客户端的公钥对请求中的数字签名进行验证,如果成功,则认为请求发送方可以信任。

在这里插入图片描述

1.5 Catbird:软件定义分段

在这里插入图片描述

➊控制中心(Catbird Control Center):中心策略定义点,管理其他组件,将虚拟化、分析、告警和报告的数据进行中心化。
➋虚拟设备(Catbird VMA):旁路部署在虚拟网络中,用于收集数据和执行控制的节点。

Catbird的软件定义安全所实现的具体功能有:统计虚拟资产表并按要求划分组别,分析虚拟资产验证和安全策略调整方案,部署自动安全策略,实现系统向SDN的平滑过渡。它的具体应用领域包括:

  • 微分段(Micro-segmentation)
  • 对横向拓展攻击的保护(Protection Against Lateral Spread Attack)
  • 实现以应用为中心的安全防护(Implement Application-centric Security)
  • 为VDI的实行提供安全维护(Securing VDI Implementations)
  • 持续的监测追踪(Continuous Monitoring)

Catbird提出了“软件定义分段”(Software Defined Segmentation),可将内部网络流量可视化,并实现细粒度的按需防护。
首先,利用VMA收集到的访问控制、NetFlow和Hypervisor事件,可以自动持续地发现虚拟系统中的资产,并将其划分为一个个安全域,且通过可视化的方式使域间流量可见。
然后,Catbird Secure产品可在域间应用自动化的安全策略,使得安全团队可以对东西向流量进行访问控制、DPI防护等。

2 国内案例

2.1 绿盟科技:可软件定义的智慧安全

绿盟推出的安全控制器在南向可支持安全设备的资源池化管理,北向可部署各类安全控制和数据分析的安全应用;同时在东西向通过开放的API,适配VMware vSphere和基于OpenStack的各类云平台,也可与华为SNC、Cisco ACI和武汉绿网公司的GNFlush等SDN控制器平台进行整合。
目前这套软件定义安全体系支持抗APT、云环境Web安全、企业混合IT环境下的自适应访问控制、态势感知等安全应用
绿盟科技建立了面向安全的应用商店,客户可以查找、购买、下载和部署自己业务所需的安全应用。客户在线支付,并通过软件定义的安全控制平台部署和运行云端下载的软件,可使安全能力交付到客户的速度大大加快。

在这里插入图片描述

2.2 云杉LiveCloud:SDN起家的安全防护支撑

云杉网络(Yunshan Network)是清华大学从事SDN研究的学生团队创办的云计算服务商。
云杉网络本质上是一家SDN和云计算服务商,它本身不做安全防护。但为了支持第三方安全厂商的接入,云杉网络实现了“引流模型”,即在云端构建服务链,实现安全引流。
云杉的云计算平台2Cloud实现了满足安全需求的网络管理功能,如微分段和服务链,可与安全公司的软件定义安全体系很好地结合,很容易构建一个安全云:动态按需根据任意粒度划分安全域,将数据牵引到多个安全设备进行处理。其中,微分段技术可应用于私有云环境,而服务链可应用于私有云环境、传统环境,或混合云环境。

在这里插入图片描述
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.xdnf.cn/news/1450906.html

如若内容造成侵权/违法违规/事实不符,请联系一条长河网进行投诉反馈,一经查实,立即删除!

相关文章

单链表经典算法题 1

前言 学习了单链表,我们就做一些题来巩固一下。还有就是解题方法不唯一,我就只讲述为自己的方法。 目录 前言 1.移除链表元素 思路 代码 2.反转链表 思路 代码 3.链表的中间节点 思路 代码 总结 1.移除链表元素 思路 我们创建一个新的表…

GUI初步开始(matlab)

GUI初步开始(matlab) (自用笔记) 打工人艰辛速成,花几个小时从零到能用,记录下details and problems: 甲方要求:GUI界面,读下位机,找到解码后格式中所需要的…

搭建WWW服务

1.实验环境的配置 【1】设置windows虚拟机server和test网络属性 打开虚拟机的【开始】菜单->【控制面板】->【网络连接】窗口。 1. 选中【本地连接】右击鼠标,选中【属性】,打开【本地连接属性】窗口。 2. 选择【网络】页签。 3. 在【此连接使…

基于文本和图片输入的3D数字人化身生成技术解析

随着虚拟现实、增强现实和元宇宙等技术的飞速发展,对高度逼真且具有表现力的3D数字人化身的需求日益增长。传统的3D数字人生成方法往往需要依赖大量的3D数据集,这不仅增加了数据收集和处理的成本,还限制了生成的多样性和灵活性。为了克服这些挑战,我们提出了一种基于文本提…

刚刚!彬川机器人社招校招入职Verify测评素质性格测评真题原题题库更新了【含答案】

一、测评环境 温馨提示 1.本次测评包含【素质性格测评】和【Verify测评】两部分,预计用时60min,请确保作答时周围环境无干扰、网络畅通; 2.请使用电脑完成作答,建议使用以下浏览器登录:IE9.0及以上版本,火…

5. 条件和递归

5. 条件和递归 本章主要话题是if表达式, 它根据程序的状态执行不同的代码. 但首先介绍两个操作符号: 向下取整除法操作符和求模操作符.5.1 向下取整除法操作符和求模操作符 向下取整除法操作符(//)对两个数除法运算, 并向下取整得到一个整数. 假设, 一个电影的播放时长为105分…

94. 二叉树的中序遍历(Swift实现, 迭代)

题目描述 使用迭代方法解题 class TreeNode {var val: Intvar left: TreeNode?var right: TreeNode?init(_ val: Int) {self.val valself.left nilself.right nil} }func inorderTraversal(_ root: TreeNode?) -> [Int] {var result [Int]() // 用于存储中序遍历…

day37| 435. 无重叠区间 763.划分字母区间 56. 合并区间 738.单调递增的数字

文章目录 前言435. 无重叠区间思路方法一方法二 763.划分字母区间思路方法二 补充内容 重叠区间 56. 合并区间思路方法一 我自己写的方法二 教程的思路【更巧妙😶】 738.单调递增的数字思路方法一方法二 使用list、不使用flag 总结 前言 435. 无重叠区间 注意&…

【PL理论】(22) 函数式语言:多参数 | 柯里化 (Currying) : 将多参数函数实现为返回一个函数的函数

💭 写在前面:本章我们将继续讲解函数式语言,介绍多参数,着重讲解柯里化的概念,将多参数函数实现为返回一个函数的函数。 目录 0x00 多参数(Multiple Arguments) 0x01 柯里化(Curr…

【车载音视频电脑】双卡式行车记录仪,带AI识别分析,支持4路AHD 1080p高清输入

一、产品外观 外观专利设计,铝合金材质,散热好、小巧、易安装;塑胶前面板,美观简洁大方,有独立锁。 二、产品特点 支持4路AHD高清输入1080P*30FPS、720P、D1、CIF分辨率等;支持接IPC,用网口&a…

Java | Leetcode Java题解之第149题直线上最多的点数

题目&#xff1a; 题解&#xff1a; class Solution {public int maxPoints(int[][] points) {int n points.length;if (n < 2) {return n;}int ret 0;for (int i 0; i < n; i) {if (ret > n - i || ret > n / 2) {break;}Map<Integer, Integer> map ne…

VScode中连接并使用docker容器

前提条件&#xff1a; 1.在windows下安装Docker Desktop(方法可见下面的教程) Docker Desktop 安装使用教程-CSDN博客 2.在vscode安装3个必备的插件 3.先在ubuntu中把docker构建然后运行 4.打开vscode&#xff0c;按下图顺序操作 调试好之后上传到git上&#xff0c;然后后面…

算法day29

第一题 695. 岛屿的最大面积 本题解法&#xff1a;采用bfs的算法&#xff1b; 本题使用象限数组的遍历方法和定义布尔数组vis来遍历每一个元素的上下左右元素&#xff0c;防治被遍历的元素被二次遍历&#xff1b; 本题具体分析如上题故事&#xff0c;但是由于要求区域的最大面…

5.7 Python内置函数

文章目录 1. 内置模块Aabs()all()any()ascii() Bbin()bool()bytearra()bytes() Ccallable()chr()classmethod()compile()complex() Ddelattr()dict()dir()divmod() Eenumerate()eval()exec()execfile() Ffile()filter()float()format()frozenset() Ggetattr()globals() Hhasatt…

django学习入门系列之第二点《浏览器能识别的标签3》

文章目录 列表表格往期回顾 列表 无序列表 <!-- <ul </ul> 无序列表 --> <ul><li> 内容1 </li><li> 内容2 </li><li> 内容3 </li><li> 内容4 </li> </ul>有序列表 <!-- <ol> &…

自动控制理论---零点和极点、单位脉冲响应

1、实验设备 PC计算机1台&#xff0c;MATLAB软件1套。 2、实验目的 研究四个具有相同极点分布但不同零点分布的二阶系统对单位脉冲响应的影响。绘制各系统的零点和极点分布图。计算并绘制各系统的单位脉冲响应波形。分析零点分布对单位脉冲响应的影响。 3、实验原理说明&am…

x64-linux下在vscode使用vcpkg

1.使用vscode远程连接上对应的linux &#xff0c;或者直接在图形化界面上使用。 2.安装vcpkg 插件&#xff0c;然后打开插件设置。 注意&#xff1a;defalut和host的主机一定和你自己的主机一致&#xff0c;且必须符合vcpkg三元组格式&#xff0c;其中你可以选择工作台的设置&a…

UITableView初识之分组显示数据Demo

基本介绍 继承自UIScrollView&#xff0c;因此可以滚动。 需要Datasource 遵循UITableViewDataSource协议的OC对象&#xff0c;都可以是UITableView的数据源&#xff0c;该协议中的方法告诉UITableView如何显示数据。 关于UITableView UITableView显示分组数据&#xff0c;对应…

C++设计模式——Proxy代理模式

一&#xff0c;代理模式简介 代理模式是一种 结构型设计模式&#xff0c;该模式通过引入一个新的代理对象Proxy&#xff0c;来间接访问原始对象&#xff0c;从而使访问方式变得灵活和可控。 代理对象的设定减少了客户端与真实对象之间的直接交互。 通过引入代理对象来间接访问原…

VRChat 2024年裁员原因与背景深度分析

VRChat&#xff0c;作为2022年元宇宙/VR社交领域的巨头&#xff0c;近期在2024年宣布裁员计划&#xff0c;其背后原因和背景值得业界尤其是仍在纯元宇宙虚拟空间创业的同仁们重点关注。 一、创始人决策失误 根据CEO的邮件披露&#xff0c;VRChat的创始人因缺乏经验和过度自信…