《软件定义安全》之八:软件定义安全案例

第8章 软件定义安全案例

1.国外案例

1.1 Fortinet:传统安全公司的软件定义方案

Fortinet的软件定义安全架构强调与数据中心的结合,旨在将安全转型为软件定义的模式,使安全运维能够与数据中心的其他部分一样灵活、弹性。在Fortinet看来,安全本身就应该作为IT架构的一个功能层面。与SDN控制器或平台的结合能保障安全运维的灵活性,同时安全运维也要与Hypervisor和云平台管理相结合。

在这里插入图片描述

数据平面

主要实现设备和服务抽象,目的是通过灵活利用虚拟化的安全设备和服务,增强执行的安全性。除防火墙和其他网络安全设施向更大、更快的硬件演化之外,安全引擎和功能同样需要通过虚拟设施来呈现。虚拟设施主要是指将L4~L7的服务,如防火墙或负载均衡设备,在虚拟机中封装成软件引擎。虚拟防火墙可以向下部署到虚拟交换层,即离虚拟机工作更近的地方,以得到虚拟机东西向流量和数据更高的可视性。硬件设施虽然仍需要提前部署,但其部署可以通过虚拟域(VDOM)和VLAN而变得更灵活。

控制平面

即平台编排和自动化,主要实现平台的协作和自动化,通过与底层网络和平台架构的协作体现系统的灵活性和弹性。安全平台需要支持运算、网络和其他基础设施层的动态变化。

管理平面

利用物理设备、虚拟设备和云平台架构提供统一的管理策略和分析。无论工作负载在何处运行,以何种方式运行,安全管理需要提供安全策略和事件的统一的显现窗口。更进一步,安全管理自身也可以更多地作为一种服务来呈现。例如,在虚拟机上运行策略和日志引擎,甚至作为云中的SaaS应用。


Fortinet的软件定义安全架构认为软件定义安全中安全应用和管理产品不应完全与其他基础设施孤立,而要使安全应用与管理能够实时掌握数据中心的变化,安全运维必须建立在一个可扩展的平台上。可扩展性具体体现在:
❋ 通过可编程API与其他交互点和其他基础设施整合与交互。但目前用于扩展的API接口是使用开放的标准化接口还是私有的接口尚存争议,它们在互用性、上市时间和其他因素上各有利弊。
❉ 供应商需要致力于让它们的平台更灵活,以便服务提供商、企业和其他技术伙伴能够将其他SDN控制器、编排平台、云管理和可视化分析工具整合进来。
✺ 安全供应商及其合作方必须为先进的基础设施平台提供开箱即用的安全解决方案,使大多数公司不需要本地编程和其他附着措施就可完成配置和部署。

1.2 Embrane Heleos:软件定义的NFV方案

Embrane是一家虚拟设备提供商,由Cisco公司前员工创立,该公司致力于实现网络功能实体的软件化,旨在研发出多服务、分布式软件架构的网络服务产品。它于2015年4月被Cisco公司收购。
Embrane的软件定义架构称为Heleos,利用虚拟通信设备代替原有基于专有硬件平台的设备,通过一个集中的控制台对虚拟设备进行管理和控制。Heleos与原来的应用交付网络(ADN)产品较为接近,是基于软件的L4~L7虚拟设备,包括负载均衡产品、防火墙、VPN产品和SSLOffload Engine。其中最著名的是防火墙实现。
Embrane将这些以软件形式存在的网络功能命名为Heleos分布式虚拟设备(Distributed Virtual Appliance,DVA),受统一的Heleos弹性服务管理器(Elastic Service Manager,ESM)管理,对外提供RESTfulAPI接口。理论上,DVA可以部署到任何Hypervisor平台上。DVA架构如下:
①数据平面是实际的网络功能执行体,接收ESM下发的策略;
②数据调度平面是和网络接口直接进行信息交互的平面,负责L2转发逻辑处理,以及将报文分发到相应的数据平面,当一个DVA动态增加数据平面时,数据调度平面可以感知,并将报文分发到相应的数据平面实例上;
③数据管理平面是一个DVA的本地控制面。一个DVA可以配置多个数据平面,以扩充系统的性能。

特点
DVA可并充分利用X86架构下分布式体系结构来提高可扩展性和灵活性。利用Heleos的分布式体系结构,企业和服务提供商可以快速部署功能齐全、敏捷的L3~L7网络服务。从软件、硬件设备的性能和规模上来说,这些服务速度快,具有灵活性和弹性。

Embrane被Cisco收购后,产品已经融入进思科的体系内:

在这里插入图片描述

1.3 CloudPassage:安全服务快速编排能力

CloudPassage是一家云安全服务开发商,其产品Halo是一个为云计算中心的服务器提供可视化的安全和合规性服务的平台,可将安全功能抽象成SaaS安全服务。其安全功能主要有:多因子认证、服务器访问管理、密钥管理、基于工作负荷的防火墙管理、基于日志的入侵检测、文件完整性监测、软件脆弱性评估和配置安全监测等
要在动态的、分布式的云计算中心提供如此敏捷的服务,在CloudPassage看来,软件定义主要体现如下五大特征。

⓵自动化意味着在系统部署、配置、操作、移除等方面减少人为参与,即一旦策略成功建立,在以后每个控制阶段都完全不再需要人为参与。
⓶抽象。CloudPassage将安全功能抽象成独立于底层硬件、网络环境的SaaS服务,可以部署于不同规模的硬件平台上;要保护的对象则被抽象成逻辑的工作负荷组,通过这种抽象可实现安全的自动化。
⓷编排通过动态、自动、集中管理将多个独立控制的安全功能重组成集成的、全方位的安全服务。
⓸按需弹性部署安全运维系统要根据云计算中心规模的变化自动进行调整。
⓹应用接口API这些接口应该在保障安全的条件下尽量给开发者提供更大的使用权限。利用API接口,还可以把非软件定义安全架构的系统接入软件定义安全架构的系统中。

Halo提供RESTful API接口,可以集成更多的安全和运维方案,开放接口包括独立控制的安全功能的开放以及平台层面的开放。在CloudPassage网站上列出了一些可通过API接口集成的安全服务、云提供商产品等。安全用户可通过安装Halo Agent访问Halo安全分析引擎的开放接口。
Halo的一个典型的编排过程是,管理员为不同的上下文定义关联的安全策略和服务,上下文信息包括:是私有云还是公有云,用户的地理位置是美国还是欧洲,数据的分类等;编排平台根据所定义的编排策略和用户上下文信息自动合成高层的安全服务。

1.4 Securosis:利用AWS和Chef的软件定义安全

Securosis公司给出了一种通过集成现有工具实现自动安全运维的软件定义安全实践。它通过集中管理系统Chef,将安全策略自动推送到云计算中心的所有实例并执行,并利用AWS的安全功能保证策略下发的安全性,利用云基础设施平台配置管理功能完成服务器自动化部署并执行安全策略。它的总体流程如下。
➀通过基础设施的配置管理,启动新的Amazon EC2实例,并运行cloud-init脚本。
➁利用Chef将策略推送到服务器,包括初始化策略和升级策略。
➂确保策略正确部署。
➃利用脚本不断监控离群系统,对离群系统进行孤立、整合或移除。

Chef是一款自动化服务器配置管理工具,可以对所管理的对象实行自动化配置,如系统管理、软件安装等。Chef由三大组件组成:

在这里插入图片描述

  1. Chef Server:核心服务器,维护了一套配置脚本(Cookbook),与每个被管节点(Chef Node)交互并给出配置指令。
  2. Chef Node:安装了Chef-client并注册了的被管节点。Chef Node每次运行Chef-client时都会从Chef Server端取得最新的配置脚本并按指令进行配置。
  3. Chef Workstation:提供了与Chef Server交互的接口,在Chef Workstation上创建定义配置脚本,并上传到Chef Server,以保证被管机器能从Chef Server取得最新的配置指令。

Chef的认证基于非对称加密机制。下图所示为Chef Server和客户端之间的认证过程。Chef Server为每个客户端生成一对独立的公钥和私钥,将私钥返回给客户端,而自己持有所有客户端的公钥。当持有私钥的客户端发送请求时,必须用自己的私钥对请求内容计算数字签名,并随同请求一起发送。Chef Server用该客户端的公钥对请求中的数字签名进行验证,如果成功,则认为请求发送方可以信任。

在这里插入图片描述

1.5 Catbird:软件定义分段

在这里插入图片描述

➊控制中心(Catbird Control Center):中心策略定义点,管理其他组件,将虚拟化、分析、告警和报告的数据进行中心化。
➋虚拟设备(Catbird VMA):旁路部署在虚拟网络中,用于收集数据和执行控制的节点。

Catbird的软件定义安全所实现的具体功能有:统计虚拟资产表并按要求划分组别,分析虚拟资产验证和安全策略调整方案,部署自动安全策略,实现系统向SDN的平滑过渡。它的具体应用领域包括:

  • 微分段(Micro-segmentation)
  • 对横向拓展攻击的保护(Protection Against Lateral Spread Attack)
  • 实现以应用为中心的安全防护(Implement Application-centric Security)
  • 为VDI的实行提供安全维护(Securing VDI Implementations)
  • 持续的监测追踪(Continuous Monitoring)

Catbird提出了“软件定义分段”(Software Defined Segmentation),可将内部网络流量可视化,并实现细粒度的按需防护。
首先,利用VMA收集到的访问控制、NetFlow和Hypervisor事件,可以自动持续地发现虚拟系统中的资产,并将其划分为一个个安全域,且通过可视化的方式使域间流量可见。
然后,Catbird Secure产品可在域间应用自动化的安全策略,使得安全团队可以对东西向流量进行访问控制、DPI防护等。

2 国内案例

2.1 绿盟科技:可软件定义的智慧安全

绿盟推出的安全控制器在南向可支持安全设备的资源池化管理,北向可部署各类安全控制和数据分析的安全应用;同时在东西向通过开放的API,适配VMware vSphere和基于OpenStack的各类云平台,也可与华为SNC、Cisco ACI和武汉绿网公司的GNFlush等SDN控制器平台进行整合。
目前这套软件定义安全体系支持抗APT、云环境Web安全、企业混合IT环境下的自适应访问控制、态势感知等安全应用
绿盟科技建立了面向安全的应用商店,客户可以查找、购买、下载和部署自己业务所需的安全应用。客户在线支付,并通过软件定义的安全控制平台部署和运行云端下载的软件,可使安全能力交付到客户的速度大大加快。

在这里插入图片描述

2.2 云杉LiveCloud:SDN起家的安全防护支撑

云杉网络(Yunshan Network)是清华大学从事SDN研究的学生团队创办的云计算服务商。
云杉网络本质上是一家SDN和云计算服务商,它本身不做安全防护。但为了支持第三方安全厂商的接入,云杉网络实现了“引流模型”,即在云端构建服务链,实现安全引流。
云杉的云计算平台2Cloud实现了满足安全需求的网络管理功能,如微分段和服务链,可与安全公司的软件定义安全体系很好地结合,很容易构建一个安全云:动态按需根据任意粒度划分安全域,将数据牵引到多个安全设备进行处理。其中,微分段技术可应用于私有云环境,而服务链可应用于私有云环境、传统环境,或混合云环境。

在这里插入图片描述
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/705456.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【最新鸿蒙应开发】——HarmonyOS沙箱目录

鸿蒙应用沙箱目录 1. 应用沙箱概念 应用沙箱是一种以安全防护为目的的隔离机制,避免数据受到恶意路径穿越访问。在这种沙箱的保护机制下,应用可见的目录范围即为应用沙箱目录。 对于每个应用,系统会在内部存储空间映射出一个专属的应用沙箱…

使用神卓互联来访问单位内部web【内网穿透神器】

在现代工作环境中,有时我们需要从外部访问单位内部的 web 资源,而神卓互联这款内网穿透神器就能完美地满足这一需求。 使用神卓互联来访问单位内部 web 其实并不复杂,以下是大致的使用步骤和配置方法。 首先,我们需要在单位内部的…

pointnet

train_classification.py 把第91行修改为自己的路径,就可以运行了 test_cla.py,需要训练完才能运行测试,我没训练完,所以报错显示我没有best.pth文件 网盘里面是我运行的训练和测试的视频,以及源代码,数…

YOLOv10在RK3588上的测试(进行中...)

1.代码源 国内镜像站在gitcode。这个镜像站也基本上包含了github上常用项目的镜像。然后它的主发布源在这里: GitCode - 全球开发者的开源社区,开源代码托管平台 yolov10是清华主导做的... 然后,在维护列表里看到了这个: 2024年05月31日&am…

【深度优先搜索 广度优先搜索】297. 二叉树的序列化与反序列化

本文涉及知识点 深度优先搜索 广度优先搜索 深度优先搜索汇总 图论知识汇总 LeetCode297. 二叉树的序列化与反序列化 序列化是将一个数据结构或者对象转换为连续的比特位的操作,进而可以将转换后的数据存储在一个文件或者内存中,同时也可以通过网络传…

Day 16:3040. 相同分数的最大操作数目II

Leetcode 相同分数的最大操作数目II 给你一个整数数组 nums ,如果 nums 至少 包含 2 个元素,你可以执行以下操作中的 任意 一个: 选择 nums 中最前面两个元素并且删除它们。选择 nums 中最后两个元素并且删除它们。选择 nums 中第一个和最后一…

1058 选择题(测试点1)

solution 把题目设置为结构体,记录题目的总分,做错该题的人数,题目编号(从1开始),正确答案。对于输入的学生答案提取每道题的回答,与答案对比是否相等,若相等则该同学的分数加上这一…

PHP和Mysql前后端交互效果实现

一、连接数据库基本函数 mysqli_connect(); 作用&#xff1a;创建数据库连接&#xff0c;打开一个新的mysql的连接。传参顺序&#xff1a;数据库地址、数据库账号、数据库密码 <?phpecho mysqli_connect("localhost",root,root) ?> /*结果&#xff1a;F…

Cloudflare 错误 1006、1007、1008 解决方案 | 如何修复

根据不完全统计&#xff0c;使用 Cloudflare 的网站比例已经接近 20%。因此&#xff0c;在日常工作中&#xff0c;比如进行网页抓取时&#xff0c;您可能经常会遇到一些因 Cloudflare 而产生的困难。例如&#xff0c;遇到 Cloudflare 错误 1006、1007 和 1008&#xff0c;这些错…

通过Stream流对集合进行操作

Stream Api是JDK8提供的新特性&#xff0c;可以更为方便地对集合进行操作&#xff0c;比如我今天遇到的一个场景&#xff1a; 将本地的一个视频文件分成多块上传到Minio服务器&#xff0c;现在上传功能已经完成&#xff0c;需要调用minioClient对已经上传的文件重新合并成一个新…

for循环结构

循环&#xff1a; 循环是一个重复执行一个代码的结构。只要满足循环的条件&#xff0c;会一直执行这个代码。 循环条件&#xff1a;在一定范围之内&#xff0c;按照指定的次数来执行循环。 循环体&#xff1a;在指定的次数内&#xff0c;执行的命令序列。只要条件满足&#…

C# 设置PDF表单不可编辑、或提取PDF表单数据

PDF表单是PDF中的可编辑区域&#xff0c;允许用户填写指定信息。当表单填写完成后&#xff0c;有时候我们可能需要将其设置为不可编辑&#xff0c;以保护表单内容的完整性和可靠性。或者需要从PDF表单中提取数据以便后续处理或分析。 之前文章详细介绍过如何使用免费Spire.PDF…

怎么改图片尺寸更方便?在线图片改大小的使用方法

图片怎么快速改尺寸呢&#xff1f;在网上传图或者做其他用途时&#xff0c;经常会对图片的尺寸有要求&#xff0c;当拍摄或者制作的图片太大或者太小时&#xff0c;都会导致图片的无法正常使用&#xff0c;那么就需要按照规定将图片改大小之后才能正常使用。 在遇到图片修改大…

调用腾讯智能云实现人脸融合

目录 1. 作者介绍2. 人脸识别内容介绍2.1 人脸识别简介2.2 技术原理 3. 实现流程及代码实现3.1 实现流程3.2 代码实现3.2.1 图片为url格式3.2.2 图片为base64格式 3.3 完整代码3.4 问题分析 1. 作者介绍 杨煜星&#xff0c;女&#xff0c;西安工程大学电子信息学院&#xff0c…

周四 A股震荡走低,行情总结

文章正文 周四&#xff0c;A股全日震荡走低&#xff0c;上证指数收跌0.28%&#xff0c;深成指跌近0.创业板指跌0.09%。猪肉、有色金属、中药、磷化工、煤炭、房地产、白酒行业跌幅靠前。科特估概念股掀起20cm涨停潮&#xff0c;半导体、机器人、消费电子、光伏、虚拟电厂概念股…

网络安全等级保护基本要求 第1部分:安全通用要求

基本要求 第三级 安全物理环境 物理位置选择 a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内&#xff1b; b) 机房场地应避免设在建筑物的顶层或地下室&#xff0c;否则应加强防水和防潮措施 物理访问控制 a) 机房出入口应配置电子门禁系统&#xff0c;控制、鉴…

电表抄表软件是什么?

一、电表抄表软件的概念和作用 电表抄表软件&#xff0c;是一种致力于电力企业定制的数字化工具&#xff0c;用以远程控制搜集、管理方法与分析电表数据信息。它取代了传统人工抄表方法&#xff0c;大大提高了工作效率&#xff0c;降低了人为失误&#xff0c;并且能实时监控系…

Ubuntu下使用`sysbench`来测试CPU性能

使用 sysbench 来测试 CPU 性能是一个常见的方法。sysbench 是一个模块化的跨平台基准测试工具&#xff0c;常用于评估系统的各个组件&#xff08;例如 CPU、内存、I/O 子系统等&#xff09;的性能。 下面是如何使用 sysbench 来测试 CPU 性能的基本步骤&#xff1a; 1. 安装…

HTML LocalStorage

文章目录 关于HTML本地存储localStorage介绍用法如何获取localStorage中存储的所有值浏览器中查看Local Storage页面输出 关于HTML本地存储 Window.localStorage localStorage介绍 只读的localStorage 属性允许你访问一个Document 源&#xff08;origin&#xff09;的对象 S…

vue富文本wangeditor加@人功能(vue2 vue3都可以)

依赖 "wangeditor/editor": "^5.1.23", "wangeditor/editor-for-vue": "^5.1.12", "wangeditor/plugin-mention": "^1.0.0",RichEditor.vue <template><div style"border: 1px solid #ccc; posit…