XXX云资源池安全建设方案
1. 需求分析
等级保护管理规X和技术标准作为增强系统安全防护能力的重要政策, 是综合性的安全系统工程,等级保护制度同样适用于云环境,在云环境中,各私有云之间和各用户之间的边界模糊化,无法划分区域,从而导致无法根据不同区域面临的防护需求制定不同的安全策略,无法满足等保要求。
云和虚拟化的安全首先是要解决虚拟环境中网络流的调度,其次根据网络流所属的安全域,提供不同的检测和防护手段,最后应能满足云环境中弹性扩展对安全管理策略弹性迁移的的要求。
XXX云资源池对安全的需求为: ➢ 实现集中采集
根据XXX云资源池的网络结构和应用特点,应采用“流量集中采集、安全产品自主分流”的方式,避免多头采集带来的性能损耗。 ➢ 实现集中管理和部署
实现对安全产品的统一管理。使得网络的安全管理人员能在一个入口上完成不同安全产品的配置、修改和查询,而不必面对多个管理入口,从而有效提高管理效率。 ➢ 实现虚拟安全域可视化
能够直观的展现虚拟安全域的网络流连接情况,使得网络安全管理人员可以从不同层次查看虚拟安全域的IP资产情况,资产之间的实际流量连接关系拓扑等。从而有效的避免虚拟资产黑箱化的风险。 ➢ 实现虚拟流量的入侵检测
能够对虚拟流量中的病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)等威胁进行检测能力,防止利用虚拟机被作为攻击跳板的行为。 ➢ 实现虚拟流量的网络及数据库行为审计
能够对业务环境下的网络操作行为和数据库操作行为进行解析、分析、
1 / 18
记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,促进核心资产数据库、服务器等的正常运营。
➢ 实现虚拟环境下访问控制
能够提供针对租户南北向的访问控制,集防火墙、VPN等多种安全技术于一身,同时全面支持各种路由协议、QoS等功能,为租户网络边界提供了访问控制以及远程VPN接入实现数据的全程加密访问。
2. 设计原则
根据以上对XXX云安全需求的分析,XXX云安全资源池的建设应遵循以下原则:
➢ 多样产品组合,产生协同效应:单一的安全产品是无法满足高级别的安
全合规要求(例如等保),安全资源池支持多个虚拟安全产品并行运行,不同种类的安全产品组合在一起,产生协同效应,不但可以产生出新的安全价值,而且可以更好的满足安全合规要求。
➢ 高效利用资源,节省运维成本:安全资源池可以将多个安全产品以虚拟
机的方式运行在一台硬件设备中,充分发挥了硬件性能,提高了硬件使用效率。另外,在节约了硬件成本的同时,还节省了以往多台硬件消耗的机架租金、电力、人力维护等运维成本。多个安全产品部署在同一台设备中,可节约交换机物理端口资源的占用,缩短了产品上线时间。 ➢ 快速部署实现,即时应急响应:安全资源池可以从安全市场获得各种安
全产品虚机映像,通过虚机映像可以快速创建各种虚拟化的安全产品,这个过程最多十几分钟,最快甚至只需要1~2分钟,从而实现了快速部署安全产品。使得用户在面对安全威胁时,迅速以安全产品组织防御体系,帮助用户做到对安全事件的及时响应,维护用户利益。
➢ 产品平滑升级,保障系统稳定:安全产品会经常面临特征库或软件版本
的升级。有些谨慎的用户,希望在保障业务的前提下进行升级操作。如升级中发现问题,用户希望能迅速回退到最近的正常状态。使用安全资源池可开启多个虚拟机分别运行升级前后的软件。如升级后发现问题,
2 / 18
可迅速切换。保障业务稳定运行。
➢ 灵活扩展组件,持续提升能力:安全资源池既支持在单机硬件资源允许
的条件下,用户通过创建安全产品虚拟机,快速扩展自己的安全能力;同时也要支持分布式系统架构,在单机硬件资源不够时,可将多台主机组成硬件资源池,通过在资源池中获得硬件资源并创建安全产品线虚拟机的方式,近乎无限扩展安全能力。
➢ 具备未来扩展到软件定义网络的能力:随着云平台网络虚拟化技术的升
级,安全资源池应具备扩展支持SDN的能力,能够与SDN网络对接,实现安全资源服务能力的业务编排,并统一虚拟安全资源和物理安全资源。
3. 整体架构
基于软件定义安全的思想,实现了网络安全设备与它们的接入模式、部署位置解耦合。智慧流安全平台由安全资源池、转发层、平台管理中心三部分组成。
安全资源池
由各种物理形态或虚拟形态的网络安全设备组成,兼容各家厂商的产品。这些安全设备不再采用单独部署、各自为政的工作模式,而是由管理中心统一部署、管理、调度,以实现相应的安全功能。安全资源可以按需取用,支持高扩展性、高弹性,就像一个资源池一样。
转发层
本方案中转发层实现可根据XXX云资源池实际情况提供两种部署模式,即SDN模式和虚拟导流模式。实现对IDC资源池虚拟流量的牵引。
➢ SDN模式:适用于云资源池采用SDN技术的环境,即软件定义网络
(Software Defined Network,SDN)中的硬件交换机。将网络安全设备接入转发层后,通过将流导入或绕过安全设备,即可实现安全设备的部署和撤销,采用该模式需要与各云资源池的SDN控制器进行联动,通过云资源池控制器对宿主机内部的虚拟流量进行牵引或复制。
➢ 虚拟导流模式:适用于云资源池采用非SDN技术的环境,支持Vmware和
KVM,通过虚拟导流技术实现对虚拟机流量复制并导出到外部安全资源
3 / 18
池进行检测和审计,采用该模式需要在每台物理主机上(宿主机)安装虚拟导流器。
平台管理中心
由侧重于安全方面的应用组成,包含用户交互界面,将用户配置的或运行中实时产生的安全功能需求转化为具体的安全资源调度策略下发给转发层予以实现,做到安全防护的智能化、自动化、服务化。提供北向API接口,接受上层综合管理系统的管理。
4 / 18
4. 安全资源池技术要求
安全产品虚拟化就是使软件和硬件相互分离,把软件从主要安装硬件中分离出来,使得安全产品的系统可以直接运行在虚拟环境上,可允许多个安全产品同时运行在一个或N个物理硬件之上,形成安全资源池,对外提供各项安全服务。如下图所示:
安全资源池系统架构图
安全资源池管理系统负责安全产品的虚机管理、授权管理以及系统的自身管理。具有可集成多种虚拟安全产品于一身的强大扩展能力,可根据云的实际需求动态调整相应的虚拟安全产品,而无需经过复杂的硬件产品上架过程。
安全资源池主要功能要求如下: ➢ 主机管理
支持对主机(宿主机Host)的CPU、内存、硬盘资源使用情况进行监控,支持监控主机运行时间,支持远程关机、重启等操作。
➢ 虚机管理
支持对虚机(安全产品虚机)创建、删除、启动、关闭、重启、暂停等操作,支持VNC(用于远程控制的软件)、串口、HTTP几种对虚机的管控方式。
支持虚机实时和24小时的CPU、内存、磁盘读写的监控。
支持虚机自定义设置CPU、内存、硬盘、网卡等资源,支持选择产品映像模板(安全市场中下载)创建对应的安全产品虚机实例,实现相应安全功能。虚机支持32位或64位CPU,支持共享和绑定CPU两种方式,网络接口支持桥、I/O
5 / 18
透传和I/O虚拟化三种应用方式。
➢ 产品市场
支持安全市场客户端,可以从安全市场源服务器下载各种安全产品映像和产品文档,用于创建虚机实例和配置虚机实例。安全市场客户端支持下载第三方ISO文件,用于安装第三方产品虚拟机(例如windows、Centos linux)。
更新安全市场源服务器上的内容,无需更新安全资源池系统版本,即可创建更多类型的安全产品虚机,满足日益增长的安全需求。
➢ 授权中心
支持对系统和安全产品虚机的授权管理,用户可以导入授权或追加授权。 ➢ 网络管理
支持以太网接口、桥接口、路由、DNS等常用网络配置管理。
支持对本地提供的服务http、https、ssh、ping、mysql、vnc提供访问控制,支持串口管理。
➢ 系统管理
系统具有丰富的自身配置管理功能,包括A或B双系统启动、补丁管理,支持NTP和手工时间同步。
➢ 日志查询
支持对系统日志、虚机日志、操作日志的查询,可根据时间、级别、模块等多种条件进行查询。
5. 安全资源池安全产品软件要求
安全产品需要部署在安全资源池的虚拟平台上,并满足以下需求:
5.1. 入侵检测
攻击检测基础能力,系统应支持IP碎片重组、TCP流重组、TCP流状态跟踪、2至7层的协议分析、超7层应用协议(如:HTTP Tunnel)识别与分析,系统应攻击检测能力 支持工作在非默认端口下的周知服务(如运行在8000端口下的Web Server)的协议识别与协议分析能力; 6 / 18
系统需要支持如下常见协议的解析:ETHER、ARP、RARP、IP、ICMP、IGMP、PPPoE、Vlan Tag、MPLS、TCP、UDP、NetBIOS、CIFS、SMB、FTP、TELNET、POP3、SMTP、IMAP、SNMP、MSRPC、SUNRPC、TNS、TDS、HTTP、QQ、MSN、BT、Thunder、CHARGEN、ECHO、AUTH、DNS、FINGER、IRC、MSPROXY、NFS、NNTP、NTALK、PCT、WHOIS等,协议覆盖面广,与之对应的事件库完备,需提供截图证明; 设备具有抗逃避检测机制,可以针对分片逃逸攻击、重叠逃逸攻击、加入多余或者无用字节逃逸攻击进行有效防X,并且能具体说明; 设备具有对为高级持续威胁检测设备的联动,并且能提供有效的界面截图; 能够对缓冲区溢出、网络蠕虫、网络数据库攻击、木马软件、间谍软件等各种攻击行为进行检测,需提供界面截图; 系统首页提供最近24小时内网络发生的展示界面,包括对拒绝服务事件、扫描事件、蠕虫事件、木马病事件、网络整体状况等展示,需提供界面截图; 系统需具备对针对Web系统(包括浏览器、服务器)的攻击具备检测能力:SQL注入(包括各种变形)、XSS(包括存储式XSS、反射式XSS)及其各种语法变形、Webshell、网页挂马、语义变形、编码等环境下的精确检测能力,需提供界面截图; 系统需提供对IM(即时消息)通信、P2P通信、在线视频、在线音频、在线游戏、在线炒股,需提供截图; 系统提供的攻击特征不应少于3600条有效最新攻击特征,并且根据协议类型、安全类型、流行程度、影响设备等方式做有效分类,需提供截图; 具备协议自识别功能,具备规则用户自定义功能,可以对应用协议进行用户自定义,并提供详细协议分析变量; 系统需提供对事件的二次检测能力,即对已生成的事件进行二次分析与统计,并根据统计结果进行报警,同时,系统需支持对统计阈值进行设定的图形化用户接口,通过该图形化接口,用户可以选择需要统计的基础事件并对阈值进行设置与调整; 系统需具备针对如下几种拒绝服务攻击的检测能力:针对特定主机的TCP(SYN)FLOOD、针对特定主机的TCP (STREAM)FLOOD、针对特定主机的UDP FLOOD、针对特定主机的ICMP FLOOD;对上述所有攻击检测都可通过控制界面配置统计时间、报警阈值(投标时需提供加盖原厂商公章的产品界面截图); 系统需具备独立的专业查毒引擎,独立的病毒库,如AV引擎非自研,须出具第三方授权文件或者第三方防病毒厂商出具的授权许可影印件; 系统需具备独立的病毒报警、统计界面,需要提供该界面的截图; 需提供病毒库在线升级和手工下载的界面截图; 系统具备针对IPv6环境下网络数据包捕获、IPv6协议分析、协议异常状态检测、协议规则匹配和响应处理能力,需提供界面截图; 系统具备可以对IPv6实现事件日志采集和分析统计,需提供界面截图; 控制中心与引擎可以通过IPv6协议进行通信 根据黑的匹配,进行恶意URL的检测,需提供界面截图; 提供网关IP-MAC地址绑定的功能识别攻击,需提供界面截图; 系统提供自定义弱口令规则的能力,使用户可以灵活定义网络内的弱口令条件,7 / 18
需提供界面截图; 系统提供威胁的实时展示能力,可以将引擎检测到的威胁在威胁展示界面进行实时显示,现实内容需全面丰富,包括:威胁的中文名称、威胁的处理状态、威胁的等级、威胁流行程度、威胁的源ip、威胁的目标ip、威胁发生的时间段(今日该威胁第一条的发生时间、今日该威协最后一条发生时间)、该威胁今日发生次数、该威协最近十分钟的发生次数; 系统需提供威胁在展示界面的合并能力,并可根据相同IP合并、目的IP合并、目的IP加目的端口合并等多条件,并且可配置基于IPV6的前缀长度,需提供界面截图; 系统可配置过滤条件,可根据MAC过滤和IP过滤关系进行“与”“或”策略配置,需提供界面截图; 系统需要具备在引擎端合并事件的能力并提供合并的设置界面;在显示端需要提供在显示过程中的二次合并能力,以便进一步精简报警,系统需要提供不少于5种在显示端进行事件二次合并的模板,并且支持在实时事件显示界面中对每条上报事件选择各自的二次合并方式,需提供界面截图; 系统需具备入侵定位能力,需提供界面截图; 威胁展示能力 系统首页需提供如下关键报警及汇总数据:重点威胁的今日发生情况、历史日均发生情况、今日发生事件的Top5事件、今日流量曲线、流行情况发生情况、流行次数; 系统需提供设置用户关注事件的能力,通过设置,可以明确地将事件设置为需要关注或不需要关注,用户的设置结果将取代用户自动分析的结果,即:用户设置为需要关注的报警事件,直接在告警界面进行显示,用户设置为不需要关注的报警事件,不再在用户的事件报警展示界面进行展示; 系统需提供对历史事件进行查询的能力,通过历史事件查询功能,用户可以通过制定查询条件对历史告警事件进行查询,同时需提供至少3种默认的查询条件模板; 定制事件显示条件模板,通过事件所属的协议类型、事件所属的安全类型、事件的流行程度、事件的严重级别、事件的影响设备、事件影响的系统等条件定义事件过滤模板; 操作系统资产配置与报警自动关联,根据配置的目的地址、影响系统与影响设备进行上报事件的过滤; 针对达到识别策略的事件进行优化处理,包括对日志的处理和策略的处理; 针对阈值的设定,判定是否是新增事件; 系统支持多级部署,集中管理能力,可以添加组件(包括子控、引擎)提供各个组件(子控、引擎)的拓扑图,并在图中动态显示组件之间的实时连接状态; 至少支持五级以上部署环境,每单级节点至少支持五十台以上设备的同时管理; 系统首页呈现本级控制中心与各引擎的拓扑图,并且可设定显示或隐藏,需提供界面截图; 系统需支持采用可拖拽的拓扑图展示全网的设备及管理节点,同时该图还应该对设备与管理节点、管理节点与管理节点之间的连接状态进行实时显示; 系统多级分布的流量统计,控制中心下直接管理的所有引擎的总流量速率与分类流量速率,需提供界面截图; 上级节点可以跨级为下级节点发送策略、支持对引擎批量下发策略;下级节点可以将报警日志逐级上报,同时,下级节点也可以设置向上级管理节点上报事8 / 18
多级分布和全局预警
件所必须满足的条件; 级联环境中,上级针对下发策略的锁定,锁定子控的一些策略,锁定的事件是不允许进行配置、编辑、删除等操作的; 上级管理节点可以向下级管理节点自动下发升级包,包括引擎升级包、控制台升级包、事件库升级包,需提供界面截图; 系统需提供全局预警的能力,即:在多级部署环境中,其中一个控制中心监测到某一个攻击之后,可以通过全局预警功能将此攻击事件通告给其它的控制中心; 为了提高全局预警的预警级别,提高用户对全局预警事件的关注度,并能用高亮或报警灯等方式进行提醒; 全局预警需提供手工编辑预警内容的能力; 报警事件在显示时将标注源ip地址、目的ip地址是属于内网地址或外网地址; 系统需提供常用的内置策略模板,并可以将策略导入、导出、合并,同时支持用户自定义策略,自定义策略的时候,可以根据事件名称、协议类型、安全类型等维度进行事件的快速查询; 系统支持从威胁发现到威胁展示、威胁说明、分析帮助、处理过程帮助、处理过程记录、后继续自动处理的威胁全过程处理流程,帮助用户发现威胁、分析威胁、处理威胁,完成威胁管理工作的全流程闭环,需提供step by step界面截图; 支持如下报警响应方式:计入日志、页面报警、发送、发送SNMP Trap信息、发送SYSLOG信息、发送RST阻断报文、防火墙联动、全局预警、提取原始报文; 在检测到攻击事件之后,系统需提供向多个不同SYSLOG服务器发送报警信息的能力; 系统需提供防火墙联动的能力,支持的防火墙至少需要包括:天清FW 系统需支持在检测到攻击事件之后捕获攻击原始报文的能力,所捕获的攻击原始报文需保存成标准的cap格式,可以通过sniffer pro、whirshark、ethereal打开。 系统需提供完善的报表系统所提供的报表模板不应少于50个,能辅助用户分析一段时间内的威胁; 系统需提供事件名称+目的地址+源地址;事件名称+源地址+目的地址的三维交叉报表,能辅助用户快速定位问题; 系统需提供完善的报表系统,支持面向安全结论的分析报表;报表需支持如下格式:HTML、PDF、EXCEL、WORD,所生成的报表可以自动发送到多个,能辅助用户查阅; 报表需支持手动立即执行、周期性自动执行两种执行方式; 系统提供根据用户的组织结构定义“组织/部门”的能力,并且“组织/部门”之间可以嵌套,“组织/部门”可以通过:IP、IP段、引擎(加网口)、子控进行定义; 可以针对组织来查看历史事件与生成报表; 配置部署能力 支持分用户虚拟管里的能力,系统可以创建多个用户,每个用户可以与特定的引擎绑定,当此用户登录到系统之后,只能看到该引擎上报的事件,并仅能对该引擎进行配置; 系统需支持虚拟引擎的功能,支持按照抓包口、IP地址、IP地址X围、VLAN、MAC地址配置虚拟引擎,不同的虚拟引擎可以采用不同的事件集,需提供界面9 / 18
威胁响应能力 报表功能
截图; 提供系统升级、特征库升级的能力,支持在线和离线升级功能;支持通过HTTP代理服务器进行在线升级; 5.2. 网络审计
支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Teradata、Cache数据库审计 支持对Oracle数据库状态的自动监控,可监控会话数、连接进程、CPU和内存占用率等信息。 支持国产数据库人大金仓、达梦、南大通用、神通数据库的审计。需提供截图证明。 支持对针对数据库的XSS攻击、SQL注入攻击行为进行审计。需提供截图证明。 提供对数据库返回码的知识库和实时说明,帮助管理员快速对返回码进行识别。需提供截图证明。 支持数据库账号登陆成功、失败的审计。 支持对数据库绑定变量方式访问的审计 支持对超长SQL语句的审计 支持Select操作返回行数和返回内容的审计 支持访问数据库的源主机名、源主机用户、SQL操作响应时间、数据库操作成功、失败的审计; 支持数据库操作类、表、视图、索引、触发器、存储过程、游标、事物等各种对象的SQL操作审计。 支持数据库存储过程自动获取及内容审计。 支持Telnet协议的审计,能够审计用户名、操作命令、命令响应时间、返回码等; 支持对FTP协议的审计,能够审计用户名、命令、文件、命令响应时间、返回码等 支持审计网络邻居的用户名、读写操作、文件名等 支持审计NFS协议的用户名、文件名等 支持审计Radius协议的认证用户MAC、认证用户名、认证IP、NAS服务器IP 支持IP-MAC绑定变化情况的审计 数据库异常行为智能审计 支持自动建立数据库操作行为基线 数据库操作行为基线包括数据库账号、操作类型、频率等行为特征 对超出数据库操作行为基线的操作可自动识别,并及时告警 系统应自带不少于100个缺省的审计规则库,方便用户选择使用。 用户可自定义审计策略,审计策略支持时间、源IP、目的IP、协议、端口、登陆账号、命令作为响应条件 审计策略支持 数据库审计策略支持数据库客户端软件名称、数据库名、数据库表名、数据库字段名、数据库返回码作为响应条件(非正则表达式方式) 审计策略支持字段名称和字段值作为分项响应条件(非正则表达式方式) 响应方式 支持记录审计日志 支持对违规行为实时阻断 10 / 18
数据库审计 网络协议审计
界面告警 Syslog告警 SNMP trap告警 短信告警 告警 支持按时间、级别、源\\目的IP、源\\目的MAC、协议名、源\\目的端口为条件进行查询 支持查询、统计的条件模板编辑与应用 支持多个查询、统计任务同时进行 数据库访问日志,支持按数据库名、数据库表名、字段值、数据库登陆账号、数据库操作命令、数据库返回码、SQL响应时间、数据库返回行数作为查询和统计条件 支持按自定义关键字作为查询和统计条件 支持查询统计条件之间的与、或、非逻辑组合 提供缺省的报表模板库,供用户选择使用。 支持根据自定义关键字自动生成报表 支持按每天、每周、每月、时刻生成报表 支持生成CSV、Word、PDF、xls、HTML格式的报表导出 支持方式定期自动发送报表 日志查询统计 5.3. 安全域流量审计
提供管理员权限设置和分权管理,提供三权分立功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身安全审计功能 管理员登陆支持静态口令认证,支持密码的复杂性管理,比如大小写、数字、特殊字符、长度等 提供审计数据管理功能,能够实现对审计日志、审计报告的自动备份 提供系统升级功能,能够通过升级包的方式实现升级 提供审计策略和配置的导入导出 能够采集流经交换机、路由器的全流量镜像网络流 能够将流量转化成服务器、设备间的业务互联关系事件 互联关系事件中能够提供业务互联发生时的应用层协议名称 提供设置业务互联事件发生时记录原始会话内容的功能 能够将相同源设备、目的设备间的业务互联事件归并成一条事件 基本功能要求 提供管理员对业务互联事件的黑白确认功能 提供确认后的黑名信息的展示和导出功能 提供全网设备间的业务互联关系实时监控拓扑图功能 提供私自接入网络的设备发现功能 提供内部与境外发生互联的事件监控功能 自身管理 11 / 18
提供黑白灰事件报表功能 系统应具备对内部服务器与境外设备互联的自动发现能力。 系统设备的互联监控 系统能区分互联时的方向,即能够区分是内部服务器向外连接还是外部设备向用户内部服务器的连接。 内部服务器能够自动定位到设备名称、IP、所属业务系统、所属安全域。 境外设备能够自动定位到国家和所属企业。 应具备对未经审批或者私自违规接入网络的设备的自动发现能力 未知设备发现 新发现的设备能够自动识别IP地址和MAC地址。 能够列出未知设备的每次连入网络的详细情况。 应具备将内部服务器或者设备间的互联情况适用拓扑图的形式进行自动展示。 应具备自动区分服务器或者设备所属的安全域或者业务系统 内部设备间的互联拓扑展示 应具备按照域、子域、设备的不同层次对互联情况进行拓扑展示,并能在不同层次间进行下钻和后退。 能够使用不同颜色的线条将合法与非法的进行区分 能够在拓扑图上统计并显示域间、子域间、设备间的互联频次 互联事件归并处理 防火墙策略审计 内部傀儡设备挖掘 实时响应 应支持对互联事件的过滤功能。 采用B/S管理方式,全中文管理和使用界面 部署和管理 无需在被监控X围内的系统上安装任何代理 应具备将海量的互联事件按照“源IP+目的IP+目的端口”的方式进行归并和统计,方便管理员查看互联事件 支持防火墙策略的导入;防火墙冗余安全策略分析;防火墙安全策略收敛分析;防火墙策略命中频次分析;防火墙潜在冲突策略分析;并提供防火墙策略分析报表; 应支持对设备的连接频次进行统计和排名,以便挖掘内部傀儡设备 应具备对设备的连入、连出频次进行统计和排名,以便识别业务的正常和违规,同时为挖掘内部傀儡设备提供数据 应支持对互联事件的全流量抓包功能。 5.4. 安全网关
12 / 18
13 / 18
6. 虚拟导流器转发技术
网络安全产品通常部署在网络边界。如下图所示,传统网络环境下的安全域的边界就是安全域所在交换机的上行链路。对该链路上的网络流量进行监控,就
可以对安全域的边界进行防护。
防护安全域1防护安全域2安全域2边界流量汇聚点安全域1边界流量汇聚点NIDS1Audit1NIDS2Audit2汇聚交换机镜像镜像镜像镜像VM1VM2VM4uplinkuplinkVM3VM5VM6接入交换机接入交换机安全域1安全域2
传统网络边界防护原理图
而在虚拟网络环境中,同一个安全域内的虚拟机可能分布在不同的虚拟化服务器中。并不能通过一条物理或虚拟的链路就可以监听到安全域中的所有边界流量,即通常所说的“网络边界消失”了。“网络边界消失”后,基于网络边界进行防护的网络安全产品就无法部署到虚拟化环境中。
虚拟网络监控系统利用技术手段,梳理出虚拟网络的边界,使得利用物理网络安全产品对虚拟网络进行防护成为可能。虚拟网络监控系统在每个虚拟化服务器中部署一个导流虚拟机(AGT)。AGT本质上是一个虚拟机。它的主要功能是将虚拟交换机上的网络报文按照策略要求导引到指定的位置。如下图所示,在AGT的辅助下,可以将分散在多个虚拟化服务器中的安全域中(边界或内部)的网络流量分流汇聚到指定的物理交换机端口或物理设备上。通过这种方式就构造出了虚拟安全域中的网络流量汇聚点。基于这个汇聚点,就可以通过物理网络安全设备对虚拟网络安全域进行安全防护。
策略控制中心是虚拟网络监控系统的管理控制中心。通过策略控制中心可以划分和管理安全域,下发和管理安全域的安全防护策略,控制导流虚拟机的行为,查看导流虚拟机的工作状态和统计信息。
14 / 18
策略控制中心Rest APIvCenter抓包(VMXNet3)导流(PCI Passthrough)AGT1分流VM1VM2VM3AGT2分流VM4VM5VM6ESXi1汇聚vSwitch汇聚ESXi2汇聚vSwitchL2 Switch镜像汇聚镜像安全域1边界流量汇聚点NIDS1Audit1NIDS2Audit2安全域2边界流量汇聚点防护安全域1防护安全域2
图 虚拟网络监控系统原理图
虚拟网络监控系统用于对虚拟化计算环境的虚拟安全域进行防护。虚拟化管理中心和虚拟化服务器(ESXi Server)是被保护的对象。虚拟网络监控系统对被保护对象几乎不做调整。在虚拟化计算环境的网络可达位置,需要部署一个策略控制中心,对虚拟化网络监控系统进行监控。
55.251AGT_里皮梅西C罗贝利AGT_穆里55.253内马尔埃尔克森马拉多纳vSwitchpassthroughuplinkvSwitchpassthroughuplinkvCenter策略中心 图虚拟网络监控系统典型部署场景
导流虚拟机是一个具有特定功能的虚拟机。导流虚拟机通常至少有3个网卡。一个网卡用于作为管理端口;一个网卡(通常是物理直通网卡)用于转发网络报文,将流量导引到指定的位置;其它的虚拟网卡都用于抓取网络报文。
15 / 18
虚拟网络监控系统需要在每一台虚拟化服务器中都部署一个导流虚拟机。导流虚拟机的抓包网卡需要连接到虚拟交换机的混杂端口组。每个需要被监控的虚拟机所在的虚拟交换机上都需要配置混杂端口组,并将导流虚拟机的一个抓包网卡连接到这个端口组中,用于抓取网络报文。
导流虚拟机的转发网卡可以是物理网卡通过PCI passthrough技术直接赋给导流虚拟机使用,也可以是虚拟网卡。基于性能和不影响业务系统的因素考虑,建议使用专用的物理网卡。导流虚拟机导流出来的网络报文,可以导流到业务网络所在的物理交换机(带内方式),也可以导流到专用的物理交换机(带外方式)。
7. SDN转发技术
安全资源池通过SDN接入到云环境中,能够提供用户友好的安全资源使用编排接口,使得用户能够方便的、按需的将特定的安全功能组合部署在网络中。支持负载均衡,并对自身系统以及资源池中的安全设备进行实时状态监控,当异常出现时,能够及时进行热备切换,确保不影响正常的网络通信、用户业务不中断,适用于网络流量大、安全需求细化、可靠性要求特别高的场景。
链路选择
➢ 多对一:将多条链路汇聚后从一个端口送出 ➢ 一对多:将一条链路数据复制后从多个端口送出
16 / 18
➢ 多对多:将多条链路数据汇聚,然后复制,从多个端口送出
负载分流
➢ 将大流量根据算法拆分成小流量送给安全处理能力有限的网关或检
测设备
数据某处理
➢ 添加、修改、去除VLAN头,便于接入设备直接处理数据包,提高效
率
设备监控
➢ 支持对接入安全设备端口监控 ➢ 支持对接入安全设备流量监控
➢ 支持对接入安全设备watchdog监控功能
数据监控可视化
➢ 可帮助用户方便的监控网络数据流,并将其可视化 ➢ 可提供接入安全设备的逻辑网络拓扑
高可靠管理
➢ 支持接入安全设备的双机热备功能 ➢ 支持安全平台自身双机热备功能
智能联动
➢ 安全平台提供对外的联动API接口(联动和watchdog)
➢ 安全设备提供对外的联动API接口
17 / 18
8. 方案总结
云资源池和网络虚拟化技术正在动态发展过程中,通过导流虚拟将需要监控的流量从虚拟网络环境中导出到外部的物理安全设备或虚拟安全设备中,可以极大的减小安全产品和虚拟化平台的耦合度,系统部署快捷简单,对用户业务和网络影响小;用外部处理安全业务可以获取极高的性能,使得导流虚拟机的处理逻辑变得很简单,只需要占用少量的虚拟化资源即可。
同时该方案具备平滑升级能力,即便是用户网络层升级到SDN网络,该方案仍然可以保护用户投资,能够利用SDN技术,实现安全能力的业务编排,为用户提供云环境下的安全增值服务能力。
18 / 18
因篇幅问题不能全部显示,请点此查看更多更全内容