压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

《軟件定義邊境及行業(yè)趨勢(shì)》

我是來(lái)自于云安全聯(lián)盟的許舟平，今天跟大家一起分享的是我們對(duì)于軟件定義邊界的一些認(rèn)識(shí)以及我們對(duì)于云安全行業(yè)上一些趨勢(shì)的理解。本來(lái)這個(gè)演講是由我的一個(gè)朋友李雨航過(guò)來(lái)，但是因?yàn)樗暮炞C問(wèn)題，今天沒(méi)有到場(chǎng)。

云安全聯(lián)盟其實(shí)是一個(gè)國(guó)際的組織，在中國(guó)和在美國(guó)都有一些關(guān)注于在云安全領(lǐng)域的一些專家去做。今天跟大家分享的是我們?cè)谌ツ昴甑缀徒衲晟习肽晖瞥鰜?lái)的一個(gè)軟件定義邊界的這樣一個(gè)概念，以及我們看一看軟件定義邊界，能夠幫助我們?cè)谠瓢从绕涫乾F(xiàn)在日新月異的，基于一些企業(yè)級(jí)和SDN領(lǐng)域能夠有些什么樣的應(yīng)用。什么是軟件定義邊界？以及它面臨的是哪些方面的東西？我們看到其實(shí)在互聯(lián)網(wǎng)領(lǐng)域，尤其在手機(jī)移動(dòng)端有很多不同的應(yīng)用，我們很多企業(yè)，以及企業(yè)的用戶在自己的手機(jī)上安裝相應(yīng)的App，還有我們這種支付，還有物聯(lián)網(wǎng)的一些應(yīng)用，以及這種私有云，這些東西其實(shí)都是有相關(guān)的安全需求。軟件定義邊界，其實(shí)是幫助我們?nèi)?gòu)建一個(gè)端到端的高度安全的可信網(wǎng)絡(luò)。其實(shí)它的技術(shù)和適用的領(lǐng)域還是更廣泛的，并且我們可以看到，它其實(shí)也可以保護(hù)我們虛擬的私有云去做，對(duì)于混合云有一些場(chǎng)景，后面我們會(huì)跟大家一起分析來(lái)看一看。

軟件定義邊界的目的是用這種機(jī)密的網(wǎng)絡(luò)模式保護(hù)我們的應(yīng)用，傳統(tǒng)的邊界，以及對(duì)于這種傳統(tǒng)的，我們對(duì)于物理機(jī)的影響其實(shí)已經(jīng)在網(wǎng)絡(luò)內(nèi)部移動(dòng)和遷移到我們的云計(jì)算里面，其實(shí)變成了一種阻礙。我們知道，尤其是對(duì)于高度安全的網(wǎng)絡(luò)，其實(shí)我們可以看到，最好的方式是讓我們的企業(yè)服務(wù)器以及我們相應(yīng)部署這些應(yīng)用數(shù)據(jù)的服務(wù)器是不可見(jiàn)的，這其實(shí)是一個(gè)思路。我們知道是有很大的難度的，包括如何做授權(quán)，網(wǎng)絡(luò)拓?fù)湓趺醋觯W(wǎng)關(guān)如何設(shè)置。其實(shí)軟件定義邊界是定義一種模型，是利用知道模型這種概念去幫助我們查看，以及去定義好我們?cè)谠朴?jì)算領(lǐng)域中如何能夠把這樣一個(gè)點(diǎn)對(duì)點(diǎn)，以及我們看到對(duì)于服務(wù)器授權(quán)的網(wǎng)絡(luò)能夠進(jìn)行管理。其實(shí)在這個(gè)領(lǐng)域我們可以看到，我們請(qǐng)求的設(shè)備可能是移動(dòng)端，包括我們智能手機(jī)、Pad，包括虛擬的桌面，以及包括我們?cè)谖锫?lián)網(wǎng)領(lǐng)域用的一些傳感器，其實(shí)這個(gè)領(lǐng)域能應(yīng)用的范圍很多。

軟件定義邊界有什么特點(diǎn)？我們看到它的特點(diǎn)，如果大家了解像軟件定義網(wǎng)絡(luò)，SDN等等，軟件定義網(wǎng)絡(luò)其實(shí)是我們通過(guò)這種轉(zhuǎn)發(fā)和控制來(lái)做分離。對(duì)于軟件定義邊界來(lái)講，它其實(shí)是通過(guò)這種控制的信道和數(shù)據(jù)的信道進(jìn)行分離，來(lái)保證所有的服務(wù)器在某種請(qǐng)求下，數(shù)據(jù)軸和控制軸是完全分開(kāi)的，并且有一個(gè)設(shè)計(jì)，服務(wù)器在默認(rèn)的初始狀態(tài)下完全是不可見(jiàn)的，并且不接受外面任何的連接，你完全可以認(rèn)為是一個(gè)非常黑的盒子，甚至于你都不知道盒子的存在。其實(shí)我們知道，控制區(qū)去維護(hù)我們客戶端是需要有一些技術(shù)來(lái)做實(shí)現(xiàn)的。本來(lái)其實(shí)我給大家準(zhǔn)備了兩個(gè)不同場(chǎng)景中的文檔，今天可能沒(méi)有辦法跟大家一起看，我們只能用這個(gè)PPT去看后面的一些我們對(duì)于在不同的場(chǎng)景中我們?nèi)绾巫龊脭?shù)據(jù)的控制，以及在我們連接相應(yīng)數(shù)據(jù)過(guò)程中我們?nèi)绾文軌虮ＷC發(fā)起主機(jī)以及接受主機(jī)來(lái)通過(guò)我們的軟件定義邊界的控制器來(lái)做實(shí)現(xiàn)。

我們講SDP是什么？軟件定義邊界有什么樣的特點(diǎn)？我們先看看怎么樣去用。它的應(yīng)用場(chǎng)景其實(shí)很多，因?yàn)檫@個(gè)概念確實(shí)比較新，而且在國(guó)內(nèi)外，現(xiàn)在也在一個(gè)初步的使用階段。我想可能在明年，或者在今后幾年，大家就能夠慢慢看到軟件定義邊界的一些實(shí)際的廠商做支撐，因?yàn)樗暮芏鄬?shí)現(xiàn)方式是通過(guò)開(kāi)源方式來(lái)共享給大家的。本身用一些云計(jì)算技術(shù)，我們可以看到它對(duì)于IaaS、PaaS和移動(dòng)互聯(lián)網(wǎng)的支持，保證所有的路由和控制都是通過(guò)白名單的方式進(jìn)行管理。通過(guò)這種軟件定義邊界的網(wǎng)關(guān)來(lái)說(shuō)無(wú)論是從哪種模式上進(jìn)行靜態(tài)請(qǐng)求，可以通過(guò)我們移動(dòng)的手機(jī)，通過(guò)我們的Pad，能夠保證我們做好服務(wù)器和服務(wù)器之間的連接。因?yàn)檐浖x邊界的協(xié)議基于我們一些特定的協(xié)議，都通過(guò)網(wǎng)關(guān)的方式進(jìn)行路由轉(zhuǎn)發(fā)。但是初始只有一條，就是我拒絕一切。這一點(diǎn)還是比較極端的，我們要知道，其實(shí)軟件定義邊界的理念，包括這個(gè)申請(qǐng)一個(gè)專利，其實(shí)你會(huì)發(fā)現(xiàn)，其實(shí)所有的指令以及對(duì)于指令控制其實(shí)都是通過(guò)我們的主機(jī)以及訪問(wèn)，通過(guò)增加一種規(guī)則去運(yùn)作實(shí)現(xiàn)的。所以可以通過(guò)這種方式，來(lái)保證我的數(shù)據(jù)、服務(wù)以及應(yīng)用來(lái)去做好被管理。

講到軟件定義邊界，Gartner做了一個(gè)調(diào)查，在這個(gè)調(diào)查當(dāng)中我們發(fā)現(xiàn)，它其實(shí)定義了三個(gè)階段，在這三個(gè)階段里面，我們可以了解到會(huì)有一些不同的領(lǐng)域和市場(chǎng)來(lái)覆蓋不同的層面。比如我們講的通過(guò)軟件定義的數(shù)據(jù)中心，以及通過(guò)集成軟件定義的基礎(chǔ)設(shè)施，還有包括演化到我們認(rèn)為這樣一個(gè)軟件定義的安全。這么說(shuō)是不是軟件可以做一切的事？其實(shí)也不盡然，因?yàn)楫吘鼓闶褂玫膱?chǎng)景和你的業(yè)務(wù)領(lǐng)域是非常關(guān)鍵的。所以我們可以看到，其實(shí)在保護(hù)軟件定義數(shù)據(jù)中心里面我們可以發(fā)現(xiàn)，包括我們的解碼，包括我們對(duì)于控制器和可編程函數(shù)的接口，這些東西其實(shí)都是基于我們的軟件定義網(wǎng)絡(luò)SDN，包括基于相應(yīng)的協(xié)議，以及提供策略，保證安全管理的控制平面和數(shù)據(jù)運(yùn)行平面是完全可以分離的。對(duì)于集成軟件定義的基礎(chǔ)設(shè)施來(lái)講，我們對(duì)于支撐和加強(qiáng)基于SDN的部署模式是非常重要的。因?yàn)槲覀冎溃绕涫菍?duì)于企業(yè)級(jí)的軟件定義網(wǎng)絡(luò)來(lái)講，如果你法國(guó)一個(gè)很好的安全策略，你部署的網(wǎng)絡(luò)，其實(shí)這個(gè)被攻擊的可能性是非常大的。

其實(shí)在軟件定義網(wǎng)絡(luò)里面我們有一個(gè)很重要的概念，我們是希望基于邏輯屬性做好安全策略，而不是基于物理屬性。這一點(diǎn)很重要，是因?yàn)槟憧梢酝ㄟ^(guò)邏輯的方式很好的去調(diào)整以及去做好軟件定義的邊界實(shí)施。在軟件定義安全里面，我們剛才一直提到，我們創(chuàng)建一個(gè)安全的管理器，這種安全的管理器其實(shí)是對(duì)于一個(gè)全局進(jìn)行管理，而不僅僅是通過(guò)以前的分層，通過(guò)不同的設(shè)備接入以及對(duì)于藍(lán)區(qū)、綠區(qū)、黃區(qū)的隔離方法去做。所以在全局策略里面我們可以發(fā)現(xiàn)一點(diǎn)，其實(shí)不僅僅可以通過(guò)控制器和控制之間結(jié)合，也能夠?qū)τ谥暗目刂瓶删幊獭＿@是一個(gè)軟件定義安全里面我們經(jīng)常見(jiàn)到的架構(gòu)示意圖。在這里面我們可以看到，安全的服務(wù)層、控制層和我們基礎(chǔ)設(shè)施層，其實(shí)包括Openflow交換機(jī)，以及SDN控制器，包括安全狀態(tài)表，以及認(rèn)證和涉及，這方面其實(shí)都是我們需要在服務(wù)層做好。

在控制層面和基礎(chǔ)設(shè)施層面，其實(shí)SDN的控制器，以及對(duì)于軟件定義邊界的策略，還有Openflow交換機(jī)，這方面其實(shí)也都是有異曲同工之處的，也就是轉(zhuǎn)發(fā)、控制和分離。這個(gè)場(chǎng)景其實(shí)是我們做APT的檢測(cè)，其實(shí)我們可以看到，對(duì)于數(shù)據(jù)，尤其是統(tǒng)計(jì)數(shù)據(jù)，通過(guò)安全控制器來(lái)去做控制。所以我們可以看到，當(dāng)你進(jìn)來(lái)之后，可疑的數(shù)據(jù)做好訪問(wèn)之后，我們可以通過(guò)檢測(cè)規(guī)劃來(lái)做好數(shù)據(jù)分析。通過(guò)定義檢測(cè)規(guī)則，其實(shí)我們可以看到，我們通過(guò)安全控制器來(lái)分析可能會(huì)被污染的。并且我們可以通過(guò)任務(wù)的實(shí)行，能夠幫助我們做好對(duì)于不同應(yīng)用的執(zhí)行，很多你要做的東西是依托于我們現(xiàn)在已有的，而不是要做新的開(kāi)發(fā)。這是對(duì)于軟件定義邊界的一層架構(gòu)，對(duì)于像我們運(yùn)用的庫(kù)，包括策略庫(kù)、設(shè)備庫(kù)和流庫(kù)，做好對(duì)于不同領(lǐng)域的網(wǎng)絡(luò)控制過(guò)程。首先第一步是需要我們注冊(cè)設(shè)備，比如假設(shè)我們拿一個(gè)Pad連接我們企業(yè)的內(nèi)網(wǎng)，來(lái)保證在企業(yè)內(nèi)網(wǎng)中做好VPN的動(dòng)作。在這個(gè)里面，要通過(guò)一個(gè)硬件管理，來(lái)做好添加設(shè)備的事件。會(huì)通過(guò)注冊(cè)的應(yīng)用，來(lái)保證所有的應(yīng)用在這個(gè)里面，一定是通過(guò)這種方式做好運(yùn)維管理。并且訂閱一些事件，來(lái)保證可以在同一個(gè)領(lǐng)域里面，通過(guò)安全控制器得到同樣事件的服務(wù)。通過(guò)這種代理的方式，來(lái)做好查詢和返回，通過(guò)添加事件的方式，做好事件分析，進(jìn)行轉(zhuǎn)發(fā)命令和完成事件任務(wù)。其實(shí)我們可以看到，安全控制器可以做的事情在軟件定義邊界當(dāng)中是非常重要的。通過(guò)這種方式訪問(wèn)，其實(shí)可以通過(guò)對(duì)于不同領(lǐng)域的隔離以及對(duì)于數(shù)據(jù)的應(yīng)用，來(lái)保證對(duì)于不同的設(shè)備以及不同的應(yīng)用來(lái)查看相關(guān)數(shù)據(jù)。

剛才跟大家介紹的是軟件定義邊界是怎么實(shí)現(xiàn)的，以及它的一些理念。其實(shí)我們可以看到，在軟件定義邊界里面，包括我們的軟件定義網(wǎng)絡(luò)，SDN以及網(wǎng)絡(luò)虛擬化技術(shù)來(lái)做。在這個(gè)領(lǐng)域我們發(fā)現(xiàn)，基于軟件定義邊界其實(shí)只是一種方式，剛出來(lái)的版本是1.0版本，本身它自己也有一些不完善的地方，包括控制器，其實(shí)你可以看到，如果所有的都是基于白名單的方式去控制，性能必須要考慮好，策略庫(kù)有沒(méi)有可能會(huì)被人攻擊，這個(gè)也要考慮。他是提供一個(gè)嚴(yán)格的黑盒的方式限制網(wǎng)絡(luò)，對(duì)于應(yīng)用的隔離和審查，其實(shí)遠(yuǎn)遠(yuǎn)比蘋果App Store嚴(yán)格很多，這是因?yàn)樗媾R的應(yīng)用，對(duì)于企業(yè)級(jí)應(yīng)用資產(chǎn)的保護(hù)是非常嚴(yán)格的。在軟件定義邊界的領(lǐng)域，通過(guò)它對(duì)于IaaS，尤其是PaaS這個(gè)領(lǐng)域做了之后，其實(shí)我們會(huì)發(fā)現(xiàn)，在這個(gè)領(lǐng)域能夠產(chǎn)生一些影響。至于影響到底有多深，能夠做什么，也要和業(yè)界其他一些技術(shù)結(jié)合在一起。比如容器技術(shù)，一些相關(guān)部署，以及對(duì)于軟件定義存儲(chǔ)，包括我們看到的軟件定義數(shù)據(jù)中心等等，在不同領(lǐng)域其實(shí)都是有不同的實(shí)現(xiàn)方式來(lái)去做。大家有興趣的話，其實(shí)可以在我們的云安全聯(lián)盟網(wǎng)站上，可以把相關(guān)的具體資料下載下來(lái)看一看，包括幾種實(shí)現(xiàn)形式。比如向網(wǎng)關(guān)轉(zhuǎn)變，跟Server轉(zhuǎn)變，基于移動(dòng)互聯(lián)網(wǎng)的方式和保護(hù)場(chǎng)景。

這是我今天跟大家一起來(lái)分享的對(duì)于軟件定義邊界的概念以及一些特點(diǎn)和適用場(chǎng)景，感謝大家！