上元信安薛永刚:云环境下的自适应体系

 

薛永刚

薛永刚,来自上元信安,十年网络安全工作经验

在过去十年的工作经历中,我一直是跟各种各样的盒子打交道。这些盒子的形态各异,有桌面级的小盒子,有1U、2U的盒子,有机架的盒子,有的盒子上面有wifi,有的上面挂着硬盘。各式各样的盒子可能是大家对于网络安全的直观印象。

本来这个世界是挺美好的,但最近几年的一些新技术让我们觉得有些无所适从。一个是如火如荼都在讨论的“互联网+”,O2O,线上的企业拼命往线下走,线下的企业也在往线上去探。用户信息是检索惟有的高度集中。同时,企业都在往虚拟化、云计算的方向发展。无论是传统行业,还是互联网公司,大家都在用云,无论是公有云,还是私有云,还是混合云。从企业内部来说,云的应用也造成了企业内部信息的高度集中。这给网络安全带来了很大的障碍。

首先,《网络安全法》已经施行。以往的情况,网站泄露一点信息,被人脱库,公关部门要赶快处理。以后这种事情再发生,无论是做O2O,还是“互联网+”,只要信息泄露,都是非常严重的法律事件。很多公司去解决安全问题的时候,他可能发现自己的IT环境是一个虚拟化的环境,或者是云的环境,传统的安全设备怎么往里布?一边是一个硬件的盒子,这边是一个虚拟化的网络,它到底该怎么放进去呢?最简单的方法是在虚拟网络里,把流量引出来,引到盒子上。盒子上做一些过滤,再用一些方式把它引回去。当然,这个方式是可以实现效果的,但我们认为对客户业务来说,这并不是最适合的方式。因为我仍然尝试着用硬件的方式、用传统的方式去解决新面临的问题。

客户的云是非常弹性的环境,它是为了提高用户的生产效率。放一个盒子在那个地方,它就成了绊脚石,拖延了客户技术革新的脚步。

在我们看来,首先要解决这些新出现的安全挑战,第一步需要打开思路,从传统的盒子的思维转向云的思维,说白了,这些盒子只是它的载体,用户想要的东西,是它里面的安全能力。我们现在做的第一步尝试是将所有的安全能力,我们曾经做的下一代墙也好、IBS也好,IDS也好,把它抽离出来,组成一个通用化的软件,可以运行于标准的X86的机器上,也可以用于私有云,甚至可以在公有云上运行。无论用户的环境是数据中心,还是私有云,还是公有云,或者是混合云,都不会影响用户安全自己的意图去部署安全防护的方案。这是第一步,实际上很多友商已经做了。

作为创业公司,我们要走得更远更快一些。现在我们尝试的做法是让我们的安全能力跑到docker里面去,它是更加轻量级的虚拟环境。再把它结合到kubernetes上,这种尝试在国内的网络安全圈里还没有第二家。kubernetes是容器云编排和管理的框架。安全设备跑到了容器里,组成了容器云之后,它能做到什么?第一,我这个集群是可以动态扩展的。随着业务的变化,可以动态的起一些容器,对安全能力扩容;第二,我也可以在这个集群里做一些高可用的东西,跟我们传统做的HA、主主、主备不同的是,它是一个集群,它的可靠性比两点的可靠性更高;第三,以往处理多租户的问题非常复杂,无论是在虚拟系统上处理,还是单独的设备,都是很复杂的。放到kubernetes的框架下,我们可以直接打通。只要触发一个请求,就可以自动把整套做完,形成高度自动化的方案。

做完了两步以后,我们就得考虑一个问题,安全功能都做成软件化了,并且是docker,为什么我不把它做成整体的综合防御平台呢?我们现在可以成功地把这些安全设备整合成一个单一的平台。用户只需要通过这个平台,就可以在任何他需要安全防护能力的地方,部署任何他需要的安全设备,而且可以通过一个平台统一地管理起来。这就实现了从量变到质变的过程。

刚刚IBM的同事一直在讲威胁情报。实际上刚刚说到的第一个挑战,这些信息在企业内部高度集中的时候,我们如何保护这些信息。这就牵涉到安全的另外一个话题,就是APT攻击,或者是可持续的高级威胁。对于防护APT来说,目前网络安全圈的共识是这种攻击是没有办法通过单一设备来单点防护的,我们需要的是纵深防御体系。但是,我们往往又缺少这样一个体系,可以把企业安全的每一环,从边界安全到内网的安全、主机的安全、业务的安全,把它串联起来,成为一个体系。往往因为部署方式的限制,不能覆盖得很全,我只能覆盖物理网络,不能覆盖虚拟网络,或者只提供一部分的能力,跟其他合作伙伴整合的时候会比较困难。通过这个平台,很好的解决了这个问题。

在基础平台方面,我们的能力是比较强的。在威胁情报方面,我们也跟国内友商进行合作,像天际友盟。天际友盟跟IBM有非常密切的关系。

综合防御平台有几个方面的特点:首先是它的部署方式可以做到全覆盖。无论是物理环境、虚拟环境、公有云、私有云、混合云,全部可以把安全设备部署下去;第二,可以做到防护能力的全覆盖;第三,可以做到威胁情报的全覆盖。

后面我会着重介绍如何解决私有云的安全问题。

这是综合防御平台能力模型。最下面是安全能力层,包括各种各样的安全设备,它们以物理的方式、虚拟的方式部署在用户的场景里,实现全覆盖。

第二个层面,智能管控与分析层,我们提供了安全管理中心平台,它具备集中管控、智能响应、行为分析、动态检测的能力,可以跟私有云进行交互。

第三个层面是在Saas上提供的安全平台。不仅可以提供态势感知的能力。同时,我们引用了合作伙伴,云端的沙箱检测,可以检测未知的恶意软件。上元信安是通过公有云,携手合作伙伴,给用户提供更好的安全服务。

我们这个体系也是对应于Gandner的自适应防御体系。第一个层面是Prevent,对于已知的威胁、能判别的威胁,包括从威胁情报获取的规则,可以做一些阻断。更重要的是可以收集大量的基础信息,可以从主机层、网络层收集流量、进程等等方面的信息。在管理平台上,可以通过行为建模,在一个很长的时间段内,基于安全基线去分析这些可能是基于特征但又没有办法发现的事件。基于分析的结果,把第三方的威胁情报整合起来以后,再推回到基础防护层的设备。最后,通过这些数据,还可以对未来的趋势进行预测。通过威胁情报,我们知道了最近的攻击事件,可以提前的在一些关键点上做一些防护。基于现有的防护模型,可以预测未来的防护模型,提前配置合理的措施。

这套系统对应在私有云环境里是这样的模式。通过我们这个解决方案,在云之外,额外的提供了安全的资源池。这个资源池由安全管理平台来管理,涵盖了各种各样的安全能力。通过各种层级的对接关系,达到的效果就是用户可以在无感知的情况下,在同一个操作界面,完成安全能力的配置。简单来说是给私有云加上了类似于云盾这样的体验。

(PPT)这是在私有云环境下部署的示意图。资源池在画面的右侧,中间是通过API和虚拟网络连接起来。当用户有安全防护需求的时候,可以通过安全管理中心,把相应的安全服务运行起来。同时,把客户的业务流量引导到相应的防护设施上面去,从而实现防护的目的。

私有云首先是以容器的方式进行部署。安全设备部署之后,会在master节点进行初次的分发,分发到minion节点,再分发到租户的实例上。由实例处理之后,再分发到最终的业务系统。整个系统是通过数据库技术管理的,在使用的过程中可以动态的调整这些节点的数量、每个节点上运行的服务数量以及种类。在它们之间动态的进行负载的分担、流量的调配。这样就能实现多租户环境下便捷的调度,以及安全功能的实现。

在VMware环境下,我们提供的方式是在网络层面上,通过与分布式的虚拟交换机做整合。在流量流经虚拟交换机之前,我们可以做一次过滤和防护。再到虚拟交换机这一层,分发到各个虚拟机。

VMware是商业化程度比较高的平台,部署方式相对固定一些。Openstack是一个开源的平台,大家可以根据需要对其进行修改,我们的对接方案也是非常多的。

在Openstack里面有各种不同的网络模型。比如,经典网络,用户只有内网和外网的区别。在此之上,已经开始提供VPC的网络概念,用户可以编辑自己的网络拓扑。这是兼容性最好的一种部署方案。

这是Openstack官方提供的一个框架,他们叫做SWAS。这种方式的优缺点都是比较突出的。有点是Openstack官方提供的方案,跟Neutron是天然整合的。缺点就是提供的功能比较有限,意味着一个比较强大的安全设备,像下一代墙,它的功能从二层到七层都是全涵盖的。用这个框架只能使用到其中很小的一部分。在现在比较新的Openstack版本里,社区的开发者们,包括我们跟合作伙伴共同尝试的是通过NFV的方式去实现防护效果。无论是业务,还是网络功能,它终究只是一个软件,我们可以把它做成虚拟化的网源放在里面。我再提供一套机制,规定流量该怎么样运行。比如,我的流量是应该先经过IPS设备,还是先经过防火墙。可以通过流量编排的技术实现安全设备的部署。我们预计明年年初这个方案会比较成熟。

最后是一个非常工程化的方案,通过硬件层的SDN实现网络安全功能在私有云里的部署。它最大的特点是整个网络层都是通过SDN来完成的,并且是硬件的SDN。然后,通过接口做APP,实现流量的牵引,实现防护效果。它的好处是比较稳定,但是成本比较高。

上一篇:IBM刘璐莹:信息安全,快人一步——IBM安全免疫系统

下一篇:腾讯马劲松:WannaCry病毒事件的反思