《软件定义安全》之八:软件定义安全案例

第8章 软件定义安全案例

1.国外案例

1.1 Fortinet:传统安全公司的软件定义方案

Fortinet的软件定义安全架构强调与数据中心的结合,旨在将安全转型为软件定义的模式,使安全运维能够与数据中心的其他部分一样灵活、弹性。在Fortinet看来,安全本身就应该作为IT架构的一个功能层面。与SDN控制器或平台的结合能保障安全运维的灵活性,同时安全运维也要与Hypervisor和云平台管理相结合。

在这里插入图片描述

数据平面

主要实现设备和服务抽象,目的是通过灵活利用虚拟化的安全设备和服务,增强执行的安全性。除防火墙和其他网络安全设施向更大、更快的硬件演化之外,安全引擎和功能同样需要通过虚拟设施来呈现。虚拟设施主要是指将L4~L7的服务,如防火墙或负载均衡设备,在虚拟机中封装成软件引擎。虚拟防火墙可以向下部署到虚拟交换层,即离虚拟机工作更近的地方,以得到虚拟机东西向流量和数据更高的可视性。硬件设施虽然仍需要提前部署,但其部署可以通过虚拟域(VDOM)和VLAN而变得更灵活。

控制平面

即平台编排和自动化,主要实现平台的协作和自动化,通过与底层网络和平台架构的协作体现系统的灵活性和弹性。安全平台需要支持运算、网络和其他基础设施层的动态变化。

管理平面

利用物理设备、虚拟设备和云平台架构提供统一的管理策略和分析。无论工作负载在何处运行,以何种方式运行,安全管理需要提供安全策略和事件的统一的显现窗口。更进一步,安全管理自身也可以更多地作为一种服务来呈现。例如,在虚拟机上运行策略和日志引擎,甚至作为云中的SaaS应用。


Fortinet的软件定义安全架构认为软件定义安全中安全应用和管理产品不应完全与其他基础设施孤立,而要使安全应用与管理能够实时掌握数据中心的变化,安全运维必须建立在一个可扩展的平台上。可扩展性具体体现在:
❋ 通过可编程API与其他交互点和其他基础设施整合与交互。但目前用于扩展的API接口是使用开放的标准化接口还是私有的接口尚存争议,它们在互用性、上市时间和其他因素上各有利弊。
❉ 供应商需要致力于让它们的平台更灵活,以便服务提供商、企业和其他技术伙伴能够将其他SDN控制器、编排平台、云管理和可视化分析工具整合进来。
✺ 安全供应商及其合作方必须为先进的基础设施平台提供开箱即用的安全解决方案,使大多数公司不需要本地编程和其他附着措施就可完成配置和部署。

1.2 Embrane Heleos:软件定义的NFV方案

Embrane是一家虚拟设备提供商,由Cisco公司前员工创立,该公司致力于实现网络功能实体的软件化,旨在研发出多服务、分布式软件架构的网络服务产品。它于2015年4月被Cisco公司收购。
Embrane的软件定义架构称为Heleos,利用虚拟通信设备代替原有基于专有硬件平台的设备,通过一个集中的控制台对虚拟设备进行管理和控制。Heleos与原来的应用交付网络(ADN)产品较为接近,是基于软件的L4~L7虚拟设备,包括负载均衡产品、防火墙、VPN产品和SSLOffload Engine。其中最著名的是防火墙实现。
Embrane将这些以软件形式存在的网络功能命名为Heleos分布式虚拟设备(Distributed Virtual Appliance,DVA),受统一的Heleos弹性服务管理器(Elastic Service Manager,ESM)管理,对外提供RESTfulAPI接口。理论上,DVA可以部署到任何Hypervisor平台上。DVA架构如下:
①数据平面是实际的网络功能执行体,接收ESM下发的策略;
②数据调度平面是和网络接口直接进行信息交互的平面,负责L2转发逻辑处理,以及将报文分发到相应的数据平面,当一个DVA动态增加数据平面时,数据调度平面可以感知,并将报文分发到相应的数据平面实例上;
③数据管理平面是一个DVA的本地控制面。一个DVA可以配置多个数据平面,以扩充系统的性能。

特点
DVA可并充分利用X86架构下分布式体系结构来提高可扩展性和灵活性。利用Heleos的分布式体系结构,企业和服务提供商可以快速部署功能齐全、敏捷的L3~L7网络服务。从软件、硬件设备的性能和规模上来说,这些服务速度快,具有灵活性和弹性。

Embrane被Cisco收购后,产品已经融入进思科的体系内:

在这里插入图片描述

1.3 CloudPassage:安全服务快速编排能力

CloudPassage是一家云安全服务开发商,其产品Halo是一个为云计算中心的服务器提供可视化的安全和合规性服务的平台,可将安全功能抽象成SaaS安全服务。其安全功能主要有:多因子认证、服务器访问管理、密钥管理、基于工作负荷的防火墙管理、基于日志的入侵检测、文件完整性监测、软件脆弱性评估和配置安全监测等
要在动态的、分布式的云计算中心提供如此敏捷的服务,在CloudPassage看来,软件定义主要体现如下五大特征。

⓵自动化意味着在系统部署、配置、操作、移除等方面减少人为参与,即一旦策略成功建立,在以后每个控制阶段都完全不再需要人为参与。
⓶抽象。CloudPassage将安全功能抽象成独立于底层硬件、网络环境的SaaS服务,可以部署于不同规模的硬件平台上;要保护的对象则被抽象成逻辑的工作负荷组,通过这种抽象可实现安全的自动化。
⓷编排通过动态、自动、集中管理将多个独立控制的安全功能重组成集成的、全方位的安全服务。
⓸按需弹性部署安全运维系统要根据云计算中心规模的变化自动进行调整。
⓹应用接口API这些接口应该在保障安全的条件下尽量给开发者提供更大的使用权限。利用API接口,还可以把非软件定义安全架构的系统接入软件定义安全架构的系统中。

Halo提供RESTful API接口,可以集成更多的安全和运维方案,开放接口包括独立控制的安全功能的开放以及平台层面的开放。在CloudPassage网站上列出了一些可通过API接口集成的安全服务、云提供商产品等。安全用户可通过安装Halo Agent访问Halo安全分析引擎的开放接口。
Halo的一个典型的编排过程是,管理员为不同的上下文定义关联的安全策略和服务,上下文信息包括:是私有云还是公有云,用户的地理位置是美国还是欧洲,数据的分类等;编排平台根据所定义的编排策略和用户上下文信息自动合成高层的安全服务。

1.4 Securosis:利用AWS和Chef的软件定义安全

Securosis公司给出了一种通过集成现有工具实现自动安全运维的软件定义安全实践。它通过集中管理系统Chef,将安全策略自动推送到云计算中心的所有实例并执行,并利用AWS的安全功能保证策略下发的安全性,利用云基础设施平台配置管理功能完成服务器自动化部署并执行安全策略。它的总体流程如下。
➀通过基础设施的配置管理,启动新的Amazon EC2实例,并运行cloud-init脚本。
➁利用Chef将策略推送到服务器,包括初始化策略和升级策略。
➂确保策略正确部署。
➃利用脚本不断监控离群系统,对离群系统进行孤立、整合或移除。

Chef是一款自动化服务器配置管理工具,可以对所管理的对象实行自动化配置,如系统管理、软件安装等。Chef由三大组件组成:

在这里插入图片描述

  1. Chef Server:核心服务器,维护了一套配置脚本(Cookbook),与每个被管节点(Chef Node)交互并给出配置指令。
  2. Chef Node:安装了Chef-client并注册了的被管节点。Chef Node每次运行Chef-client时都会从Chef Server端取得最新的配置脚本并按指令进行配置。
  3. Chef Workstation:提供了与Chef Server交互的接口,在Chef Workstation上创建定义配置脚本,并上传到Chef Server,以保证被管机器能从Chef Server取得最新的配置指令。

Chef的认证基于非对称加密机制。下图所示为Chef Server和客户端之间的认证过程。Chef Server为每个客户端生成一对独立的公钥和私钥,将私钥返回给客户端,而自己持有所有客户端的公钥。当持有私钥的客户端发送请求时,必须用自己的私钥对请求内容计算数字签名,并随同请求一起发送。Chef Server用该客户端的公钥对请求中的数字签名进行验证,如果成功,则认为请求发送方可以信任。

在这里插入图片描述

1.5 Catbird:软件定义分段

在这里插入图片描述

➊控制中心(Catbird Control Center):中心策略定义点,管理其他组件,将虚拟化、分析、告警和报告的数据进行中心化。
➋虚拟设备(Catbird VMA):旁路部署在虚拟网络中,用于收集数据和执行控制的节点。

Catbird的软件定义安全所实现的具体功能有:统计虚拟资产表并按要求划分组别,分析虚拟资产验证和安全策略调整方案,部署自动安全策略,实现系统向SDN的平滑过渡。它的具体应用领域包括:

  • 微分段(Micro-segmentation)
  • 对横向拓展攻击的保护(Protection Against Lateral Spread Attack)
  • 实现以应用为中心的安全防护(Implement Application-centric Security)
  • 为VDI的实行提供安全维护(Securing VDI Implementations)
  • 持续的监测追踪(Continuous Monitoring)

Catbird提出了“软件定义分段”(Software Defined Segmentation),可将内部网络流量可视化,并实现细粒度的按需防护。
首先,利用VMA收集到的访问控制、NetFlow和Hypervisor事件,可以自动持续地发现虚拟系统中的资产,并将其划分为一个个安全域,且通过可视化的方式使域间流量可见。
然后,Catbird Secure产品可在域间应用自动化的安全策略,使得安全团队可以对东西向流量进行访问控制、DPI防护等。

2 国内案例

2.1 绿盟科技:可软件定义的智慧安全

绿盟推出的安全控制器在南向可支持安全设备的资源池化管理,北向可部署各类安全控制和数据分析的安全应用;同时在东西向通过开放的API,适配VMware vSphere和基于OpenStack的各类云平台,也可与华为SNC、Cisco ACI和武汉绿网公司的GNFlush等SDN控制器平台进行整合。
目前这套软件定义安全体系支持抗APT、云环境Web安全、企业混合IT环境下的自适应访问控制、态势感知等安全应用
绿盟科技建立了面向安全的应用商店,客户可以查找、购买、下载和部署自己业务所需的安全应用。客户在线支付,并通过软件定义的安全控制平台部署和运行云端下载的软件,可使安全能力交付到客户的速度大大加快。

在这里插入图片描述

2.2 云杉LiveCloud:SDN起家的安全防护支撑

云杉网络(Yunshan Network)是清华大学从事SDN研究的学生团队创办的云计算服务商。
云杉网络本质上是一家SDN和云计算服务商,它本身不做安全防护。但为了支持第三方安全厂商的接入,云杉网络实现了“引流模型”,即在云端构建服务链,实现安全引流。
云杉的云计算平台2Cloud实现了满足安全需求的网络管理功能,如微分段和服务链,可与安全公司的软件定义安全体系很好地结合,很容易构建一个安全云:动态按需根据任意粒度划分安全域,将数据牵引到多个安全设备进行处理。其中,微分段技术可应用于私有云环境,而服务链可应用于私有云环境、传统环境,或混合云环境。

在这里插入图片描述
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/852427.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

亿达四方:一站式SolidWorks代理服务,打造设计竞争力

在当今瞬息万变的设计与制造领域,高效、精准的3D设计软件已成为推动企业创新与发展的核心驱动力。作为业界知名的SolidWorks一站式代理服务商,亿达四方致力于为企业搭建从软件采购到技术应用的全方位桥梁,全面赋能设计团队,助力企…

stable-diffusion.cpp 文字生成图片

纯 C/C 中 [Stable Diffusion] 的推断 https://github.com/CompVis/stable-diffusion ## 特点 - 基于 [ggml](https://github.com/ggerganov/ggml) 的普通 C/C 实现,工作方式与 [llama.cpp](https://github.com/ggerganov/llam…

微信小程序请求request封装

公共基础路径封装 // config.js module.exports {// 测试BASE_URL: https://cloud.chejj.cn,// 正式// BASE_URL: https://cloud.mycjj.com };请求封装 // request.js import config from ../config/baseUrl// 请求未返回时的loading const showLoading () > wx.showLoadi…

蓝桥杯软件测试第十五届蓝桥杯模拟赛1期题目解析

PS 需要第十五界蓝桥杯模拟赛1期功能测试模板、单元测试被测代码、自动化测试被测代码请加🐧:1940787338 备注:15界蓝桥杯省赛软件测试模拟赛1期 题目1 功能测试用例1(测试用例)(15分) 【前期准备】 按步…

网页元素解析元素标签和style变更

前言 如何解析html标签&#xff1f; 如何给标签增加样式&#xff1f; <div class"related-tags"><span>相关主题推荐&#xff1a;</span>a<a hrefhttp://www.csdn.net/tag/标签 target"_blank">标签</a><a href"h…

【STM32】输入捕获应用-测量脉宽或者频率(方法1)

图1 脉宽/频率测量示意图 1 测量频率 当捕获通道TIx 上出现上升沿时&#xff0c;发生第一次捕获&#xff0c;计数器CNT 的值会被锁存到捕获寄存器CCR中&#xff0c;而且还会进入捕获中断&#xff0c;在中断服务程序中记录一次捕获&#xff08;可以用一个标志变量来记录&#…

CC攻击的有效应对方案

随着互联网的发展&#xff0c;网络安全问题愈发突出。CC攻击&#xff08;Challenge Collapsar Attack&#xff09;&#xff0c;一种针对Web应用程序的分布式拒绝服务&#xff08;DDoS&#xff09;攻击方式&#xff0c;已经成为许多网络管理员和网站拥有者不得不面对的重大挑战。…

Fantasy Icons Megapack(梦幻盔甲宝石图标魔法道具图标集)

所有图标都具备高质量&#xff0c;并以专业水平实施。任何幻想风格游戏的上佳选择。 - 可更新的超级资源包&#xff1b; - 每个图标的大小均为 256x256 像素 (PNG)&#xff1b; - 总计 2672 个独一无二的图标&#xff1b; - 所有图标均具有透明背景。 超级资源包内置&#xff1…

Redisson原理解析

Hi~&#xff01;这里是奋斗的小羊&#xff0c;很荣幸您能阅读我的文章&#xff0c;诚请评论指点&#xff0c;欢迎欢迎 ~~ &#x1f4a5;&#x1f4a5;个人主页&#xff1a;奋斗的小羊 &#x1f4a5;&#x1f4a5;所属专栏&#xff1a;C语言 &#x1f680;本系列文章为个人学习…

如何通过“小猪APP分发”轻松实现应用分发

你是否也在为应用分发发愁&#xff1f; 还记得那些日子吗&#xff1f;你花费了大量的时间和精力开发了一款出色的应用&#xff0c;但却在分发和推广环节遇到了瓶颈。是的&#xff0c;无论你的应用多么优秀&#xff0c;如果不能顺利分发给用户&#xff0c;那一切都是徒劳的。别…

[c++刷题]贪心算法.N01

题目如上: 首先通过经验分析&#xff0c;要用最少的减半次数&#xff0c;使得数组总和减少至一半以上&#xff0c;那么第一反应就是每次都挑数组中最大的数据去减半&#xff0c;这样可以是每次数组总和值减少程度最大化。 代码思路:利用大根堆去找数据中的最大值&#xff0c;…

[数据集][实例分割]减速带分割数据集json+yolo格式5400张1类别

数据集格式&#xff1a;labelme格式(不包含mask文件&#xff0c;仅仅包含jpg图片和对应的json文件以及对应yolo格式txt) 图片数量(jpg文件个数)&#xff1a;5400 标注数量(json文件个数)&#xff1a;5400 标注数量(txt文件个数)&#xff1a;5400 标注类别数&#xff1a;1 标注…

体验版小程序访问不到后端接口请求失败问题解决方案

文章目录 解决方案一&#xff1a;配置合法域名解决方案二&#xff1a;开发调试模式第一步&#xff1a;进入开发调试模式第二步&#xff1a;启用开发调试 注意事项结语 &#x1f389;欢迎来到Java面试技巧专栏~探索Java中的静态变量与实例变量 ☆* o(≧▽≦)o *☆嗨~我是IT陈寒&…

牛客链表刷题(一)

目录 题目一&#xff1a;反转链表 代码&#xff1a; 题目二&#xff1a;链表内指定区间反转 代码&#xff1a; 题目一&#xff1a;反转链表 代码&#xff1a; import java.util.*;/** public class ListNode {* int val;* ListNode next null;* public ListNode(int …

2024 年最新 Python 使用 gewe 框架搭建微信机器人实现语音智能回复(详细教程)

Gewe 个微框架 GeWe&#xff08;个微框架&#xff09;是一个创新性的软件开发框架&#xff0c;专注于IPAD协议&#xff0c;为个人微信号以及企业信息安全提供了强大的功能和保障。GeWe的设计旨在简化开发过程&#xff0c;使开发者能够高效、灵活地构建和定制通信协议&#xff…

unity基础(五)地形详解

目录 一 创建地形 二 调整地形大小 三 创建相邻地形 四 创建山峰 五 创建树木 七 添加风 八 添加水 简介: Unity 中的基础地形是构建虚拟场景的重要元素之一。 它提供了一种直观且灵活的方式来创建各种地形地貌&#xff0c;如山脉、平原、山谷等。 通过 Unity 的地形…

力扣384. 打乱数组

Problem: 384. 打乱数组 文章目录 题目描述思路复杂度Code 题目描述 思路 打乱数组的主要算法&#xff1a; 从1 - n每次生成[i ~ n - i]的一个随机数字&#xff0c;再将原数组下标位置为i的元素和该随机数字位置的元素交换 复杂度 打乱数组的主要算法 时间复杂度: O ( n ) O(…

【Attack】拓扑缺陷图注入攻击

TDGIA: 图神经网络的有效注入攻击 图注入攻击下 GNN 的脆弱性TDGIA框架拓扑缺陷边选择平滑的对抗优化整体攻击流程 KDD’21 &#x1f604; 图注入攻击&#xff1a;攻击者无法修改输入图的现有link结构和节点属性&#xff0c;而是通过向其中注入对抗性节点来执行攻击。 图注入…

Linux操作系统学习路线

本文来自Qwen2大模型&#xff1a; Linux操作系统的全面学习是一个渐进的过程&#xff0c;涵盖从基础知识到高级特性的多个阶段。以下是一份详细的Linux操作系统学习路线图&#xff0c;包括各个阶段的学习目标、建议的学习资源和实践步骤。 1. Linux 基础知识与安装 学习目标&a…

vite构建的ts项目配置src别名@

一、安装types/node npm install types/node 二、vite.config.ts 文件中配置以下内容 resolve: {alias: {: path.resolve(__dirname, ./src),},}, 三、 tsconfig.json 文件中compilerOptions下配置以下内容 /* 配置 */"baseUrl": ".","paths":…