压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

《軟件定義邊境及行業(yè)趨勢》

我是來自于云安全聯(lián)盟的許舟平，今天跟大家一起分享的是我們對于軟件定義邊界的一些認(rèn)識以及我們對于云安全行業(yè)上一些趨勢的理解。本來這個演講是由我的一個朋友李雨航過來，但是因為他的簽證問題，今天沒有到場。

云安全聯(lián)盟其實是一個國際的組織，在中國和在美國都有一些關(guān)注于在云安全領(lǐng)域的一些專家去做。今天跟大家分享的是我們在去年年底和今年上半年推出來的一個軟件定義邊界的這樣一個概念，以及我們看一看軟件定義邊界，能夠幫助我們在云按尤其是現(xiàn)在日新月異的，基于一些企業(yè)級和SDN領(lǐng)域能夠有些什么樣的應(yīng)用。什么是軟件定義邊界？以及它面臨的是哪些方面的東西？我們看到其實在互聯(lián)網(wǎng)領(lǐng)域，尤其在手機移動端有很多不同的應(yīng)用，我們很多企業(yè)，以及企業(yè)的用戶在自己的手機上安裝相應(yīng)的App，還有我們這種支付，還有物聯(lián)網(wǎng)的一些應(yīng)用，以及這種私有云，這些東西其實都是有相關(guān)的安全需求。軟件定義邊界，其實是幫助我們?nèi)?gòu)建一個端到端的高度安全的可信網(wǎng)絡(luò)。其實它的技術(shù)和適用的領(lǐng)域還是更廣泛的，并且我們可以看到，它其實也可以保護我們虛擬的私有云去做，對于混合云有一些場景，后面我們會跟大家一起分析來看一看。

軟件定義邊界的目的是用這種機密的網(wǎng)絡(luò)模式保護我們的應(yīng)用，傳統(tǒng)的邊界，以及對于這種傳統(tǒng)的，我們對于物理機的影響其實已經(jīng)在網(wǎng)絡(luò)內(nèi)部移動和遷移到我們的云計算里面，其實變成了一種阻礙。我們知道，尤其是對于高度安全的網(wǎng)絡(luò)，其實我們可以看到，最好的方式是讓我們的企業(yè)服務(wù)器以及我們相應(yīng)部署這些應(yīng)用數(shù)據(jù)的服務(wù)器是不可見的，這其實是一個思路。我們知道是有很大的難度的，包括如何做授權(quán)，網(wǎng)絡(luò)拓?fù)湓趺醋觯W(wǎng)關(guān)如何設(shè)置。其實軟件定義邊界是定義一種模型，是利用知道模型這種概念去幫助我們查看，以及去定義好我們在云計算領(lǐng)域中如何能夠把這樣一個點對點，以及我們看到對于服務(wù)器授權(quán)的網(wǎng)絡(luò)能夠進行管理。其實在這個領(lǐng)域我們可以看到，我們請求的設(shè)備可能是移動端，包括我們智能手機、Pad，包括虛擬的桌面，以及包括我們在物聯(lián)網(wǎng)領(lǐng)域用的一些傳感器，其實這個領(lǐng)域能應(yīng)用的范圍很多。

軟件定義邊界有什么特點？我們看到它的特點，如果大家了解像軟件定義網(wǎng)絡(luò)，SDN等等，軟件定義網(wǎng)絡(luò)其實是我們通過這種轉(zhuǎn)發(fā)和控制來做分離。對于軟件定義邊界來講，它其實是通過這種控制的信道和數(shù)據(jù)的信道進行分離，來保證所有的服務(wù)器在某種請求下，數(shù)據(jù)軸和控制軸是完全分開的，并且有一個設(shè)計，服務(wù)器在默認(rèn)的初始狀態(tài)下完全是不可見的，并且不接受外面任何的連接，你完全可以認(rèn)為是一個非常黑的盒子，甚至于你都不知道盒子的存在。其實我們知道，控制區(qū)去維護我們客戶端是需要有一些技術(shù)來做實現(xiàn)的。本來其實我給大家準(zhǔn)備了兩個不同場景中的文檔，今天可能沒有辦法跟大家一起看，我們只能用這個PPT去看后面的一些我們對于在不同的場景中我們?nèi)绾巫龊脭?shù)據(jù)的控制，以及在我們連接相應(yīng)數(shù)據(jù)過程中我們?nèi)绾文軌虮ＷC發(fā)起主機以及接受主機來通過我們的軟件定義邊界的控制器來做實現(xiàn)。

我們講SDP是什么？軟件定義邊界有什么樣的特點？我們先看看怎么樣去用。它的應(yīng)用場景其實很多，因為這個概念確實比較新，而且在國內(nèi)外，現(xiàn)在也在一個初步的使用階段。我想可能在明年，或者在今后幾年，大家就能夠慢慢看到軟件定義邊界的一些實際的廠商做支撐，因為它的很多實現(xiàn)方式是通過開源方式來共享給大家的。本身用一些云計算技術(shù)，我們可以看到它對于IaaS、PaaS和移動互聯(lián)網(wǎng)的支持，保證所有的路由和控制都是通過白名單的方式進行管理。通過這種軟件定義邊界的網(wǎng)關(guān)來說無論是從哪種模式上進行靜態(tài)請求，可以通過我們移動的手機，通過我們的Pad，能夠保證我們做好服務(wù)器和服務(wù)器之間的連接。因為軟件定義邊界的協(xié)議基于我們一些特定的協(xié)議，都通過網(wǎng)關(guān)的方式進行路由轉(zhuǎn)發(fā)。但是初始只有一條，就是我拒絕一切。這一點還是比較極端的，我們要知道，其實軟件定義邊界的理念，包括這個申請一個專利，其實你會發(fā)現(xiàn)，其實所有的指令以及對于指令控制其實都是通過我們的主機以及訪問，通過增加一種規(guī)則去運作實現(xiàn)的。所以可以通過這種方式，來保證我的數(shù)據(jù)、服務(wù)以及應(yīng)用來去做好被管理。

講到軟件定義邊界，Gartner做了一個調(diào)查，在這個調(diào)查當(dāng)中我們發(fā)現(xiàn)，它其實定義了三個階段，在這三個階段里面，我們可以了解到會有一些不同的領(lǐng)域和市場來覆蓋不同的層面。比如我們講的通過軟件定義的數(shù)據(jù)中心，以及通過集成軟件定義的基礎(chǔ)設(shè)施，還有包括演化到我們認(rèn)為這樣一個軟件定義的安全。這么說是不是軟件可以做一切的事？其實也不盡然，因為畢竟你使用的場景和你的業(yè)務(wù)領(lǐng)域是非常關(guān)鍵的。所以我們可以看到，其實在保護軟件定義數(shù)據(jù)中心里面我們可以發(fā)現(xiàn)，包括我們的解碼，包括我們對于控制器和可編程函數(shù)的接口，這些東西其實都是基于我們的軟件定義網(wǎng)絡(luò)SDN，包括基于相應(yīng)的協(xié)議，以及提供策略，保證安全管理的控制平面和數(shù)據(jù)運行平面是完全可以分離的。對于集成軟件定義的基礎(chǔ)設(shè)施來講，我們對于支撐和加強基于SDN的部署模式是非常重要的。因為我們知道，尤其是對于企業(yè)級的軟件定義網(wǎng)絡(luò)來講，如果你法國一個很好的安全策略，你部署的網(wǎng)絡(luò)，其實這個被攻擊的可能性是非常大的。

其實在軟件定義網(wǎng)絡(luò)里面我們有一個很重要的概念，我們是希望基于邏輯屬性做好安全策略，而不是基于物理屬性。這一點很重要，是因為你可以通過邏輯的方式很好的去調(diào)整以及去做好軟件定義的邊界實施。在軟件定義安全里面，我們剛才一直提到，我們創(chuàng)建一個安全的管理器，這種安全的管理器其實是對于一個全局進行管理，而不僅僅是通過以前的分層，通過不同的設(shè)備接入以及對于藍區(qū)、綠區(qū)、黃區(qū)的隔離方法去做。所以在全局策略里面我們可以發(fā)現(xiàn)一點，其實不僅僅可以通過控制器和控制之間結(jié)合，也能夠?qū)τ谥暗目刂瓶删幊獭＿@是一個軟件定義安全里面我們經(jīng)常見到的架構(gòu)示意圖。在這里面我們可以看到，安全的服務(wù)層、控制層和我們基礎(chǔ)設(shè)施層，其實包括Openflow交換機，以及SDN控制器，包括安全狀態(tài)表，以及認(rèn)證和涉及，這方面其實都是我們需要在服務(wù)層做好。

在控制層面和基礎(chǔ)設(shè)施層面，其實SDN的控制器，以及對于軟件定義邊界的策略，還有Openflow交換機，這方面其實也都是有異曲同工之處的，也就是轉(zhuǎn)發(fā)、控制和分離。這個場景其實是我們做APT的檢測，其實我們可以看到，對于數(shù)據(jù)，尤其是統(tǒng)計數(shù)據(jù)，通過安全控制器來去做控制。所以我們可以看到，當(dāng)你進來之后，可疑的數(shù)據(jù)做好訪問之后，我們可以通過檢測規(guī)劃來做好數(shù)據(jù)分析。通過定義檢測規(guī)則，其實我們可以看到，我們通過安全控制器來分析可能會被污染的。并且我們可以通過任務(wù)的實行，能夠幫助我們做好對于不同應(yīng)用的執(zhí)行，很多你要做的東西是依托于我們現(xiàn)在已有的，而不是要做新的開發(fā)。這是對于軟件定義邊界的一層架構(gòu)，對于像我們運用的庫，包括策略庫、設(shè)備庫和流庫，做好對于不同領(lǐng)域的網(wǎng)絡(luò)控制過程。首先第一步是需要我們注冊設(shè)備，比如假設(shè)我們拿一個Pad連接我們企業(yè)的內(nèi)網(wǎng)，來保證在企業(yè)內(nèi)網(wǎng)中做好VPN的動作。在這個里面，要通過一個硬件管理，來做好添加設(shè)備的事件。會通過注冊的應(yīng)用，來保證所有的應(yīng)用在這個里面，一定是通過這種方式做好運維管理。并且訂閱一些事件，來保證可以在同一個領(lǐng)域里面，通過安全控制器得到同樣事件的服務(wù)。通過這種代理的方式，來做好查詢和返回，通過添加事件的方式，做好事件分析，進行轉(zhuǎn)發(fā)命令和完成事件任務(wù)。其實我們可以看到，安全控制器可以做的事情在軟件定義邊界當(dāng)中是非常重要的。通過這種方式訪問，其實可以通過對于不同領(lǐng)域的隔離以及對于數(shù)據(jù)的應(yīng)用，來保證對于不同的設(shè)備以及不同的應(yīng)用來查看相關(guān)數(shù)據(jù)。

剛才跟大家介紹的是軟件定義邊界是怎么實現(xiàn)的，以及它的一些理念。其實我們可以看到，在軟件定義邊界里面，包括我們的軟件定義網(wǎng)絡(luò)，SDN以及網(wǎng)絡(luò)虛擬化技術(shù)來做。在這個領(lǐng)域我們發(fā)現(xiàn)，基于軟件定義邊界其實只是一種方式，剛出來的版本是1.0版本，本身它自己也有一些不完善的地方，包括控制器，其實你可以看到，如果所有的都是基于白名單的方式去控制，性能必須要考慮好，策略庫有沒有可能會被人攻擊，這個也要考慮。他是提供一個嚴(yán)格的黑盒的方式限制網(wǎng)絡(luò)，對于應(yīng)用的隔離和審查，其實遠遠比蘋果App Store嚴(yán)格很多，這是因為它所面臨的應(yīng)用，對于企業(yè)級應(yīng)用資產(chǎn)的保護是非常嚴(yán)格的。在軟件定義邊界的領(lǐng)域，通過它對于IaaS，尤其是PaaS這個領(lǐng)域做了之后，其實我們會發(fā)現(xiàn)，在這個領(lǐng)域能夠產(chǎn)生一些影響。至于影響到底有多深，能夠做什么，也要和業(yè)界其他一些技術(shù)結(jié)合在一起。比如容器技術(shù)，一些相關(guān)部署，以及對于軟件定義存儲，包括我們看到的軟件定義數(shù)據(jù)中心等等，在不同領(lǐng)域其實都是有不同的實現(xiàn)方式來去做。大家有興趣的話，其實可以在我們的云安全聯(lián)盟網(wǎng)站上，可以把相關(guān)的具體資料下載下來看一看，包括幾種實現(xiàn)形式。比如向網(wǎng)關(guān)轉(zhuǎn)變，跟Server轉(zhuǎn)變，基于移動互聯(lián)網(wǎng)的方式和保護場景。

這是我今天跟大家一起來分享的對于軟件定義邊界的概念以及一些特點和適用場景，感謝大家！