压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

引言

作為一種新興的計(jì)算模式，云計(jì)算能夠?qū)⒏鞣N各樣的資源以服務(wù)的方式通過(guò)網(wǎng)絡(luò)交付給用戶。這些服務(wù)包括種類繁多的互聯(lián)網(wǎng)應(yīng)用、運(yùn)行這些應(yīng)用的平臺(tái)，以及虛擬化后的計(jì)算和存儲(chǔ)資源。由于云計(jì)算應(yīng)用的用戶信息資源的高度集中，存在的風(fēng)險(xiǎn)以及帶來(lái)的安全事件后果也較傳統(tǒng)應(yīng)用高出很多。自“棱鏡門”事件以來(lái)，各國(guó)政府對(duì)云安全的重視也已上升為國(guó)家基礎(chǔ)設(shè)施安全的高度。對(duì)政府而言，提高云服務(wù)的安全防護(hù)能力，提高事中檢測(cè)能力和事后追責(zé)處置能力，是政府推動(dòng)云計(jì)算落地發(fā)展的所要面對(duì)的首要問(wèn)題之一；對(duì)普通用戶而言，其對(duì)云平臺(tái)的安全性的顧慮也是當(dāng)前制約云計(jì)算發(fā)展的主要因素之一，能否確保云計(jì)算平臺(tái)中用戶數(shù)據(jù)的機(jī)密性、完整性、可用性，將很大程度影響用戶是否愿意將其數(shù)據(jù)和應(yīng)用向云計(jì)算平臺(tái)進(jìn)行遷移。

從技術(shù)的角度來(lái)看，云計(jì)算不僅僅是一種新的概念，并行計(jì)算和虛擬化是實(shí)現(xiàn)云計(jì)算應(yīng)用的主要技術(shù)手段。由于硬件技術(shù)的快速發(fā)展，使得一臺(tái)普通的物理服務(wù)器所具有的性能遠(yuǎn)遠(yuǎn)超過(guò)普通的單一用戶對(duì)硬件性能的需求。因此，通過(guò)虛擬化的手段，將一臺(tái)物理服務(wù)器虛擬為多臺(tái)虛擬機(jī)，提供虛擬化服務(wù)成為了構(gòu)建公有云和企業(yè)私有云的技術(shù)基礎(chǔ)。在以虛擬化技術(shù)為基礎(chǔ)構(gòu)建的公有云或私有云的服務(wù)系統(tǒng)中，傳統(tǒng)網(wǎng)絡(luò)安全的解決方案不能夠提供可隨被服務(wù)計(jì)算資源同步彈性擴(kuò)展的按需服務(wù)能力，并且多租戶問(wèn)題也使得在物理邊界消失的虛擬網(wǎng)絡(luò)很難為不同安全要求的用戶提供不同級(jí)別的安全服務(wù)。

云計(jì)算中的軟件定義概念

VMware在2012年提出了軟件定義數(shù)據(jù)中心（Software-defined DataCenter, SDDC）[1]的概念，是把數(shù)據(jù)中心所有的傳統(tǒng)物理硬件的資源進(jìn)行虛擬化、軟件化，目的是為了能夠通過(guò)統(tǒng)一的軟件管理平臺(tái)對(duì)所有虛擬化的資源進(jìn)行統(tǒng)一的動(dòng)態(tài)管理，從而真正實(shí)現(xiàn)NIST所定義的云計(jì)算[2]中的按需服務(wù)、彈性擴(kuò)展等特性。軟件定義網(wǎng)絡(luò)（Software-defined Networking, SDN）[3]是由美國(guó)斯坦福大學(xué)Clean Slate研究組的Emulex提出的一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)，利用OpenFlow協(xié)議，把路由器的控制平面（control plane）從數(shù)據(jù)平面（data plane）中分離出來(lái)，以軟件方式實(shí)現(xiàn)，這個(gè)架構(gòu)可以讓網(wǎng)絡(luò)管理員，在不改動(dòng)硬件設(shè)備的前提下，以中央控制方式，用程序重新規(guī)劃網(wǎng)絡(luò)，為控制網(wǎng)絡(luò)流量提供了新的方法，也提供了核心網(wǎng)絡(luò)及應(yīng)用創(chuàng)新的良好平臺(tái)。云安全聯(lián)盟（Cloud Security Alliance，CSA）則針對(duì)云計(jì)算環(huán)境中的邊界消失問(wèn)題提出了軟件定義邊界（Software Defined Perimeter，SDP）[4]的概念，SDP描述了一種加密安全架構(gòu)，該架構(gòu)采用了類似VPN的認(rèn)證和加密方法，利用一個(gè)安全流程便可確定云環(huán)境中服務(wù)和應(yīng)用的有效性，其使命是為云安全建立最佳實(shí)踐和相關(guān)標(biāo)準(zhǔn)。

可以看出，無(wú)論是哪種軟件定義的概念，都具有“業(yè)務(wù)實(shí)現(xiàn)軟件化”、“業(yè)務(wù)流程解耦合”、“業(yè)務(wù)策略集中可控”這三種特性，即滿足此三種特性的業(yè)務(wù)實(shí)現(xiàn)框架就可以認(rèn)為其具有軟件定義的能力。在實(shí)踐中，業(yè)務(wù)實(shí)現(xiàn)軟件化目的是能夠在業(yè)務(wù)實(shí)現(xiàn)過(guò)程中動(dòng)態(tài)的部署，比如動(dòng)態(tài)生成和部署執(zhí)行計(jì)算任務(wù)的虛擬機(jī)；業(yè)務(wù)流程解耦合目的是為了能夠精細(xì)化控制和業(yè)務(wù)流程的動(dòng)態(tài)組裝，比如虛擬機(jī)計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)資源的動(dòng)態(tài)裝配；業(yè)務(wù)策略集中可控目的是為了能夠基于全局視角，感知業(yè)務(wù)需求，實(shí)現(xiàn)按需和優(yōu)化，如SDN中的控制層對(duì)整個(gè)網(wǎng)絡(luò)中流轉(zhuǎn)發(fā)規(guī)則的管控。因此對(duì)于軟件定義X（Software-defined X, SDX），這里軟件定義對(duì)于X的價(jià)值在于使得X的業(yè)務(wù)實(shí)現(xiàn)對(duì)其所在環(huán)境具有更高的適配性，能夠動(dòng)態(tài)、按需、靈活的匹配環(huán)境變化帶來(lái)的對(duì)X的業(yè)務(wù)管控的需求，即軟件定義賦予了X能夠根據(jù)其所在環(huán)境和業(yè)務(wù)需求按需而變的能力。

軟件定義安全

在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中，安全解決方案在實(shí)施的過(guò)程中通常可以分為規(guī)劃、部署、采集、分析、響應(yīng)幾個(gè)過(guò)程。“規(guī)劃”是對(duì)用戶現(xiàn)有業(yè)務(wù)環(huán)境安全需求的獲取，并制定具有針對(duì)性的安全解決方案，包括選擇安全產(chǎn)品、選擇部署位置等；“部署”是基于安全解決方案把安全產(chǎn)品接入到用戶的業(yè)務(wù)環(huán)境中，并進(jìn)行相應(yīng)的配置；“采集”是在安全產(chǎn)品部署完成后，開(kāi)始從用戶的業(yè)務(wù)環(huán)境中獲取需要處理的信息，這些信息根據(jù)不同的安全產(chǎn)品可能包括用戶操作系統(tǒng)內(nèi)的進(jìn)程一級(jí)的信息、業(yè)務(wù)系統(tǒng)、操作系統(tǒng)和安全產(chǎn)品的日志信息、網(wǎng)絡(luò)流（netflow）和網(wǎng)絡(luò)數(shù)據(jù)包信息、用戶資產(chǎn)拓?fù)湫畔⒌龋弧胺治觥笔前踩a(chǎn)品對(duì)其所獲取到的信息執(zhí)行相應(yīng)的算法進(jìn)行處理的過(guò)程；“響應(yīng)”是對(duì)分析結(jié)果的響應(yīng)處理，包括展現(xiàn)、預(yù)警、配置安全策略等。

在傳統(tǒng)環(huán)境的安全解決方案中，安全防護(hù)的對(duì)象是物理的主機(jī)和網(wǎng)絡(luò)，安全任務(wù)的承擔(dān)者是相應(yīng)安全產(chǎn)品。在軟件定義的云計(jì)算環(huán)境中，被安全保護(hù)的對(duì)象通過(guò)軟件定義了，意味著這些對(duì)象在云計(jì)算環(huán)境中以虛擬化的方式存在，是軟件形態(tài)而非硬件形態(tài)，因此能夠被動(dòng)態(tài)的調(diào)整、彈性擴(kuò)展，這將導(dǎo)致被保護(hù)對(duì)象所需的安全服務(wù)能力和安全服務(wù)所保護(hù)的物理邊界都是動(dòng)態(tài)變化的。在這種環(huán)境中，安全需求的規(guī)劃過(guò)程不再是一次性完成的，而會(huì)隨著租戶業(yè)務(wù)域的變化而隨時(shí)變化；安全產(chǎn)品部署過(guò)程將隨著安全需求而改變，并且安全產(chǎn)品的部署位置、時(shí)間都需要能夠適應(yīng)動(dòng)態(tài)變化的被保護(hù)對(duì)象；物理邊界的消失使得信息的采集過(guò)程需要對(duì)軟件定義出的邊界具有識(shí)別能力，而不再是簡(jiǎn)單的鏡像端口；安全產(chǎn)品中的分析功能往往占用很高的計(jì)算資源，這使得把安全產(chǎn)品軟件化后部署在虛擬化環(huán)境中，也將消耗很多本該用于用戶業(yè)務(wù)系統(tǒng)的計(jì)算資源，這就要求分析功能需要盡可能的被從虛擬化環(huán)境中解耦合出來(lái)或者采取非7×24小時(shí)的方式按需啟動(dòng)；采集和分析的靈活性，不僅提高了對(duì)安全分析結(jié)果的響應(yīng)要求，也增加了智能響應(yīng)和協(xié)同可能，如通過(guò)網(wǎng)絡(luò)檢測(cè)和分析定位故障點(diǎn)后，按需啟動(dòng)主機(jī)檢測(cè)和掃描的協(xié)同響應(yīng)方式。由此可見(jiàn)，安全解決方案的整個(gè)實(shí)施過(guò)程中每個(gè)實(shí)踐環(huán)節(jié)都受到云計(jì)算環(huán)境的影響，具有隨需而變的需求，因此需要以軟件定義的框架去實(shí)施整個(gè)安全解決方案，使之能夠適應(yīng)云計(jì)算的彈性多變的環(huán)境，為云的用戶提供按需的、精準(zhǔn)的、可靠的安全服務(wù)能力。

在軟件定義的概念框架下實(shí)踐安全

為了讓安全解決方案在云計(jì)算環(huán)境中有效、可用，必須讓安全解決方案實(shí)施的所有過(guò)程具有軟件定義的特性，使之能夠適應(yīng)隨需而變的業(yè)務(wù)環(huán)境，因此軟件定義安全就要求能夠把安全實(shí)施的整個(gè)過(guò)程中不可管控的部分解耦合，并且將其中無(wú)法在硬件形態(tài)下被管控的部分進(jìn)行軟件化。那么在云計(jì)算環(huán)境下，若一個(gè)安全系統(tǒng)同時(shí)具有軟件定義規(guī)劃、軟件定義部署、軟件定義采集、軟件定義分析和軟件定義響應(yīng)的能力，則可以認(rèn)為該安全系統(tǒng)是一種具有軟件定義能力、符合軟件定義安全框架的安全系統(tǒng)。顯然這對(duì)于如殺毒、掃描等軟件類安全產(chǎn)品比較容易實(shí)現(xiàn)，而對(duì)于入侵檢測(cè)、防火墻等硬件類安全產(chǎn)品具有極高的挑戰(zhàn)，因此實(shí)現(xiàn)一個(gè)具有軟件定義安全能力的系統(tǒng)或產(chǎn)品，首先就需要考慮把硬件形態(tài)的安全產(chǎn)品進(jìn)行功能解耦合和組件軟件化。

以入侵檢測(cè)產(chǎn)品為例，傳統(tǒng)的物理硬件入侵檢測(cè)系統(tǒng)在云計(jì)算網(wǎng)絡(luò)環(huán)境中已經(jīng)難以找到合適的接入點(diǎn)，硬件入侵檢測(cè)系統(tǒng)通常只能靜態(tài)地接入到物理網(wǎng)絡(luò)中的一個(gè)固定的位置上，通過(guò)端口鏡像獲得固定物理鏈路上的網(wǎng)絡(luò)流量。而在云計(jì)算環(huán)境中，入侵檢測(cè)系統(tǒng)所需要檢測(cè)的目的虛擬機(jī)可能會(huì)分布在不同的物理主機(jī)內(nèi)，虛擬機(jī)的位置還將受到虛擬機(jī)遷移策略的影響，而隨時(shí)有可能發(fā)生改變，并且虛擬交換機(jī)的存在也使得部分同屬一個(gè)物理主機(jī)上的虛擬機(jī)間的網(wǎng)絡(luò)流量可以不通過(guò)物理網(wǎng)絡(luò)而直接在虛擬交換機(jī)內(nèi)部進(jìn)行交換，這都使得硬件入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)流量的監(jiān)控出現(xiàn)不完整性。

以虛擬機(jī)形態(tài)的安全產(chǎn)品來(lái)防護(hù)虛擬化網(wǎng)絡(luò)的安全是現(xiàn)在大多數(shù)安全廠商采用的方案之一，然而這種方案并非能真正到達(dá)軟件定義安全的目的，首先若采用虛擬機(jī)形態(tài)的入侵檢測(cè)系統(tǒng)來(lái)對(duì)目的虛擬機(jī)進(jìn)行“貼身防護(hù)”（即把入侵檢測(cè)虛擬機(jī)與被保護(hù)的業(yè)務(wù)虛擬機(jī)部署在同一個(gè)虛擬交換機(jī)上），雖然能夠解決虛擬交換機(jī)內(nèi)部流量的不可見(jiàn)問(wèn)題，但是完全功能的虛擬機(jī)入侵檢測(cè)產(chǎn)品將會(huì)消耗虛擬化平臺(tái)很高的資源，隨著其防護(hù)能力的加強(qiáng)，對(duì)資源的消耗也將進(jìn)一步加強(qiáng)；其次虛擬機(jī)形態(tài)的入侵檢測(cè)系統(tǒng)并不具有全局的拓?fù)湟暯牵虼巳肭謾z測(cè)虛擬機(jī)只能對(duì)其所在物理主機(jī)內(nèi)的業(yè)務(wù)虛擬機(jī)提供入侵檢測(cè)服務(wù)，如果其所需要檢測(cè)的對(duì)象（如一個(gè)邏輯的安全域內(nèi)的一組業(yè)務(wù)虛擬機(jī)）不全位于同一臺(tái)物理主機(jī)內(nèi)，將不得不在所有存在這些業(yè)務(wù)虛擬機(jī)的物理主機(jī)上都部署入侵檢測(cè)虛擬機(jī)，并且還需要同步匯總這些分布在不同物理主機(jī)上的安全虛擬機(jī)的信息才能夠得到完整的安全域的安全狀態(tài)；除此以外，另外一個(gè)從根本上難以得到解決的問(wèn)題是安全產(chǎn)品并不僅僅是入侵檢測(cè)系統(tǒng)，還包括了如入侵防御、Web應(yīng)用網(wǎng)關(guān)、審計(jì)等很多種不同的產(chǎn)品，顯然把這些功能都裝進(jìn)一臺(tái)虛擬機(jī)是不現(xiàn)實(shí)的，那么要想實(shí)現(xiàn)完整的安全解決方案，就需要多產(chǎn)品間的配合工作，這樣就需要把所有無(wú)法通過(guò)硬件的形態(tài)獲取虛擬化環(huán)境內(nèi)信息的安全產(chǎn)品都放入虛擬機(jī)內(nèi)，部署在虛擬化環(huán)境中，這顯然是不可行的方案，因?yàn)檫@些本身對(duì)計(jì)算資源需求極高的安全產(chǎn)品將搶占大量的本該屬于業(yè)務(wù)系統(tǒng)的虛擬化計(jì)算資源。

圖1 符合軟件定義框架的安全實(shí)踐模型

圖2 軟件定義采集——導(dǎo)流分流匯聚

圖3 系統(tǒng)部署結(jié)構(gòu)圖

　　對(duì)比本文提出的軟件定義概念的特性，僅把入侵檢測(cè)產(chǎn)品放入虛擬機(jī)只做到了軟件化，并不是完整的軟件定義，因此我們需要從整個(gè)安全的實(shí)施過(guò)程來(lái)對(duì)其進(jìn)行改造，才能使之具有軟件定義的軟件化、解耦合和集中可控這三種特點(diǎn)。圖1給出了一種符合軟件定義框架的安全實(shí)踐模型，按照此模型把虛擬機(jī)形態(tài)的入侵檢測(cè)系統(tǒng)按照功能進(jìn)行解耦合，解耦合后的入侵檢測(cè)系統(tǒng)分成配置響應(yīng)層、網(wǎng)絡(luò)流操控層和業(yè)務(wù)分析層。其中，配置響應(yīng)層用于對(duì)入侵檢測(cè)系統(tǒng)策略配置和告警結(jié)果展示分析的功能，對(duì)應(yīng)于安全實(shí)施流程中的響應(yīng)過(guò)程。網(wǎng)絡(luò)流操控層作為流量采集器以虛擬機(jī)的方式部署在用戶的業(yè)務(wù)網(wǎng)絡(luò)中，每臺(tái)物理主機(jī)內(nèi)部署一個(gè)這樣的流量采集虛擬機(jī)，用于抓取該物理主機(jī)內(nèi)所有虛擬機(jī)間的網(wǎng)絡(luò)流量，并根據(jù)安全域的策略對(duì)流量進(jìn)行按需的分類導(dǎo)引。圖2給出了這個(gè)導(dǎo)流分類匯聚的原理圖，邊界混雜的流量被進(jìn)行統(tǒng)一的按軟件定義的域邊界分類、再以軟件定義的域邊界對(duì)應(yīng)的安全設(shè)備抓包口為目的進(jìn)行匯聚，從而實(shí)現(xiàn)了在安全實(shí)施流程中軟件定義采集的過(guò)程。通過(guò)網(wǎng)絡(luò)流導(dǎo)引技術(shù)把通過(guò)流量采集虛擬機(jī)采集到的網(wǎng)絡(luò)流量按照所屬安全域轉(zhuǎn)發(fā)到對(duì)應(yīng)的物理入侵檢測(cè)系統(tǒng)上，這里的物理入侵檢測(cè)系統(tǒng)承擔(dān)了對(duì)采集到的數(shù)據(jù)的分析和展現(xiàn)功能，對(duì)應(yīng)安全實(shí)施流程中的分析過(guò)程。在整個(gè)體系結(jié)構(gòu)的最上層，建立一個(gè)統(tǒng)一的安全管理中心，通過(guò)虛擬化管理中心提供的API接口收集全局拓?fù)湫畔ⅲ攒浖渲玫姆绞蕉x建立在物理拓?fù)湫畔⑸系陌踩颍鶕?jù)安全域中虛擬機(jī)的物理位置按需的部署采集器，并為安全域分配物理安全設(shè)備，實(shí)現(xiàn)安全實(shí)施流程中的規(guī)劃和部署過(guò)程。這樣就實(shí)現(xiàn)了一個(gè)完整的包括規(guī)劃、部署、采集、分析和響應(yīng)的軟件定義的安全解決方案的實(shí)施流程。圖3給出了整個(gè)系統(tǒng)的部署示意圖，被從物理硬件上解耦合出來(lái)的采集功能能夠被部署到虛擬化環(huán)境的內(nèi)部以獲得物理硬件設(shè)備無(wú)法采集到的流量，在解耦出去采集功能后，硬件的入侵檢測(cè)設(shè)備不再需要考慮具體的部署接入位置，而是可以接入在大二層的虛擬化環(huán)境中的任何位置上，其流量將不在是被動(dòng)的流經(jīng)其所監(jiān)控的交換機(jī)端口，而是被主動(dòng)推送到其抓包口上，租戶的安全策略管理門戶即安全管理中心，該設(shè)備可以以軟件或硬件的方式接入在虛擬化環(huán)境中，該設(shè)備作為整個(gè)軟件定義安全系統(tǒng)的大腦，控制著上整個(gè)軟件定義安全的規(guī)劃、部署、采集、分析和相應(yīng)的過(guò)程。

通過(guò)表1對(duì)比說(shuō)明符合軟件定義特性的入侵檢測(cè)系統(tǒng)和虛擬機(jī)形態(tài)的入侵檢測(cè)系統(tǒng)在解決虛擬化環(huán)境具體安全問(wèn)題上的能力區(qū)別：

表1兩種入侵檢測(cè)系統(tǒng)方案對(duì)比表

結(jié)束語(yǔ)

本文歸納總結(jié)了軟件定義模型的三個(gè)特征：軟件化、解耦合、集中可控。從安全實(shí)施的角度給出了一個(gè)軟件定義安全的實(shí)踐模型，該模型以軟件定義的規(guī)劃、部署過(guò)程來(lái)集中管控整個(gè)安全實(shí)施流程，通過(guò)解耦合采集、分析和響應(yīng)過(guò)程來(lái)配合集中管控策略的動(dòng)態(tài)變化能力，通過(guò)軟件化的采集器組件保證對(duì)虛擬化環(huán)境的監(jiān)控粒度，而利用硬件形態(tài)的分析組件保證安全業(yè)務(wù)的執(zhí)行效率。本文所提出的軟件定義安全的實(shí)踐方法以入侵檢測(cè)系統(tǒng)為例，但不僅僅適用于入侵檢測(cè)系統(tǒng)，同時(shí)也廣泛的適用于大多數(shù)硬件形態(tài)的網(wǎng)絡(luò)安全設(shè)備，可以作為云計(jì)算安全解決方案的實(shí)施模板。

在下期中，我們將繼續(xù)從軟件定義安全的角度討論：如何讓物理安全產(chǎn)品能夠以服務(wù)的方式提供按需的安全服務(wù)能力，如何讓軟件形態(tài)的安全產(chǎn)品也更加適應(yīng)云計(jì)算的動(dòng)態(tài)變化計(jì)算環(huán)境，如何對(duì)建立合理的云計(jì)算環(huán)境中的問(wèn)責(zé)追溯技術(shù)環(huán)境，如何確保安全產(chǎn)品在虛擬化環(huán)境中不對(duì)用戶業(yè)務(wù)系統(tǒng)產(chǎn)生資源競(jìng)爭(zhēng)威脅，如何強(qiáng)化傳統(tǒng)SOC在云計(jì)算環(huán)境中的能力，使之起到云計(jì)算安全管理中心的作用。

參考文獻(xiàn)

[1] SDDC – Software-defined Data Center. http://www.vmware.com/cn/software-defined-datacenter/index.html

[2] Robert B. Bohn, John Messina, Fang Liu, Jin Tong, Jian Mao, “NIST Cloud Computing Reference Architecture,” services, pp.594-596, 2011 IEEE World Congress on Services, 2011.

[3] Boris Koldehofe, Frank Dürr,Muhammad Adnan Tariq and Kurt Rothermel. The Power of Software-defined Networking: Line-rate Content-based Routing Using OpenFlow. In Proceedings of the 7th MW4NG Workshop of the 13th International Middleware Conference 2012.

[4] Software Defined Perimeter (SDP) Specification v1.0. https://cloudsecurityalliance.org/download/sdp-specification-v1-0/