压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

薛永剛，來自上元信安，十年網絡安全工作經驗

在過去十年的工作經歷中，我一直是跟各種各樣的盒子打交道。這些盒子的形態各異，有桌面級的小盒子，有1U、2U的盒子，有機架的盒子，有的盒子上面有wifi，有的上面掛著硬盤。各式各樣的盒子可能是大家對于網絡安全的直觀印象。

本來這個世界是挺美好的，但最近幾年的一些新技術讓我們覺得有些無所適從。一個是如火如荼都在討論的“互聯網+”，O2O，線上的企業拼命往線下走，線下的企業也在往線上去探。用戶信息是檢索惟有的高度集中。同時，企業都在往虛擬化、云計算的方向發展。無論是傳統行業，還是互聯網公司，大家都在用云，無論是公有云，還是私有云，還是混合云。從企業內部來說，云的應用也造成了企業內部信息的高度集中。這給網絡安全帶來了很大的障礙。

首先，《網絡安全法》已經施行。以往的情況，網站泄露一點信息，被人脫庫，公關部門要趕快處理。以后這種事情再發生，無論是做O2O，還是“互聯網+”，只要信息泄露，都是非常嚴重的法律事件。很多公司去解決安全問題的時候，他可能發現自己的IT環境是一個虛擬化的環境，或者是云的環境，傳統的安全設備怎么往里布？一邊是一個硬件的盒子，這邊是一個虛擬化的網絡，它到底該怎么放進去呢？最簡單的方法是在虛擬網絡里，把流量引出來，引到盒子上。盒子上做一些過濾，再用一些方式把它引回去。當然，這個方式是可以實現效果的，但我們認為對客戶業務來說，這并不是最適合的方式。因為我仍然嘗試著用硬件的方式、用傳統的方式去解決新面臨的問題。

客戶的云是非常彈性的環境，它是為了提高用戶的生產效率。放一個盒子在那個地方，它就成了絆腳石，拖延了客戶技術革新的腳步。

在我們看來，首先要解決這些新出現的安全挑戰，第一步需要打開思路，從傳統的盒子的思維轉向云的思維，說白了，這些盒子只是它的載體，用戶想要的東西，是它里面的安全能力。我們現在做的第一步嘗試是將所有的安全能力，我們曾經做的下一代墻也好、IBS也好，IDS也好，把它抽離出來，組成一個通用化的軟件，可以運行于標準的X86的機器上，也可以用于私有云，甚至可以在公有云上運行。無論用戶的環境是數據中心，還是私有云，還是公有云，或者是混合云，都不會影響用戶安全自己的意圖去部署安全防護的方案。這是第一步，實際上很多友商已經做了。

作為創業公司，我們要走得更遠更快一些。現在我們嘗試的做法是讓我們的安全能力跑到docker里面去，它是更加輕量級的虛擬環境。再把它結合到kubernetes上，這種嘗試在國內的網絡安全圈里還沒有第二家。kubernetes是容器云編排和管理的框架。安全設備跑到了容器里，組成了容器云之后，它能做到什么？第一，我這個集群是可以動態擴展的。隨著業務的變化，可以動態的起一些容器，對安全能力擴容；第二，我也可以在這個集群里做一些高可用的東西，跟我們傳統做的HA、主主、主備不同的是，它是一個集群，它的可靠性比兩點的可靠性更高；第三，以往處理多租戶的問題非常復雜，無論是在虛擬系統上處理，還是單獨的設備，都是很復雜的。放到kubernetes的框架下，我們可以直接打通。只要觸發一個請求，就可以自動把整套做完，形成高度自動化的方案。

做完了兩步以后，我們就得考慮一個問題，安全功能都做成軟件化了，并且是docker，為什么我不把它做成整體的綜合防御平臺呢？我們現在可以成功地把這些安全設備整合成一個單一的平臺。用戶只需要通過這個平臺，就可以在任何他需要安全防護能力的地方，部署任何他需要的安全設備，而且可以通過一個平臺統一地管理起來。這就實現了從量變到質變的過程。

剛剛IBM的同事一直在講威脅情報。實際上剛剛說到的第一個挑戰，這些信息在企業內部高度集中的時候，我們如何保護這些信息。這就牽涉到安全的另外一個話題，就是APT攻擊，或者是可持續的高級威脅。對于防護APT來說，目前網絡安全圈的共識是這種攻擊是沒有辦法通過單一設備來單點防護的，我們需要的是縱深防御體系。但是，我們往往又缺少這樣一個體系，可以把企業安全的每一環，從邊界安全到內網的安全、主機的安全、業務的安全，把它串聯起來，成為一個體系。往往因為部署方式的限制，不能覆蓋得很全，我只能覆蓋物理網絡，不能覆蓋虛擬網絡，或者只提供一部分的能力，跟其他合作伙伴整合的時候會比較困難。通過這個平臺，很好的解決了這個問題。

在基礎平臺方面，我們的能力是比較強的。在威脅情報方面，我們也跟國內友商進行合作，像天際友盟。天際友盟跟IBM有非常密切的關系。

綜合防御平臺有幾個方面的特點：首先是它的部署方式可以做到全覆蓋。無論是物理環境、虛擬環境、公有云、私有云、混合云，全部可以把安全設備部署下去；第二，可以做到防護能力的全覆蓋；第三，可以做到威脅情報的全覆蓋。

后面我會著重介紹如何解決私有云的安全問題。

這是綜合防御平臺能力模型。最下面是安全能力層，包括各種各樣的安全設備，它們以物理的方式、虛擬的方式部署在用戶的場景里，實現全覆蓋。

第二個層面，智能管控與分析層，我們提供了安全管理中心平臺，它具備集中管控、智能響應、行為分析、動態檢測的能力，可以跟私有云進行交互。

第三個層面是在Saas上提供的安全平臺。不僅可以提供態勢感知的能力。同時，我們引用了合作伙伴，云端的沙箱檢測，可以檢測未知的惡意軟件。上元信安是通過公有云，攜手合作伙伴，給用戶提供更好的安全服務。

我們這個體系也是對應于Gandner的自適應防御體系。第一個層面是Prevent，對于已知的威脅、能判別的威脅，包括從威脅情報獲取的規則，可以做一些阻斷。更重要的是可以收集大量的基礎信息，可以從主機層、網絡層收集流量、進程等等方面的信息。在管理平臺上，可以通過行為建模，在一個很長的時間段內，基于安全基線去分析這些可能是基于特征但又沒有辦法發現的事件?；诜治龅慕Y果，把第三方的威脅情報整合起來以后，再推回到基礎防護層的設備。最后，通過這些數據，還可以對未來的趨勢進行預測。通過威脅情報，我們知道了最近的攻擊事件，可以提前的在一些關鍵點上做一些防護?；诂F有的防護模型，可以預測未來的防護模型，提前配置合理的措施。

這套系統對應在私有云環境里是這樣的模式。通過我們這個解決方案，在云之外，額外的提供了安全的資源池。這個資源池由安全管理平臺來管理，涵蓋了各種各樣的安全能力。通過各種層級的對接關系，達到的效果就是用戶可以在無感知的情況下，在同一個操作界面，完成安全能力的配置。簡單來說是給私有云加上了類似于云盾這樣的體驗。

（PPT）這是在私有云環境下部署的示意圖。資源池在畫面的右側，中間是通過API和虛擬網絡連接起來。當用戶有安全防護需求的時候，可以通過安全管理中心，把相應的安全服務運行起來。同時，把客戶的業務流量引導到相應的防護設施上面去，從而實現防護的目的。

私有云首先是以容器的方式進行部署。安全設備部署之后，會在master節點進行初次的分發，分發到minion節點，再分發到租戶的實例上。由實例處理之后，再分發到最終的業務系統。整個系統是通過數據庫技術管理的，在使用的過程中可以動態的調整這些節點的數量、每個節點上運行的服務數量以及種類。在它們之間動態的進行負載的分擔、流量的調配。這樣就能實現多租戶環境下便捷的調度，以及安全功能的實現。

在VMware環境下，我們提供的方式是在網絡層面上，通過與分布式的虛擬交換機做整合。在流量流經虛擬交換機之前，我們可以做一次過濾和防護。再到虛擬交換機這一層，分發到各個虛擬機。

VMware是商業化程度比較高的平臺，部署方式相對固定一些。Openstack是一個開源的平臺，大家可以根據需要對其進行修改，我們的對接方案也是非常多的。

在Openstack里面有各種不同的網絡模型。比如，經典網絡，用戶只有內網和外網的區別。在此之上，已經開始提供VPC的網絡概念，用戶可以編輯自己的網絡拓撲。這是兼容性最好的一種部署方案。

這是Openstack官方提供的一個框架，他們叫做SWAS。這種方式的優缺點都是比較突出的。有點是Openstack官方提供的方案，跟Neutron是天然整合的。缺點就是提供的功能比較有限，意味著一個比較強大的安全設備，像下一代墻，它的功能從二層到七層都是全涵蓋的。用這個框架只能使用到其中很小的一部分。在現在比較新的Openstack版本里，社區的開發者們，包括我們跟合作伙伴共同嘗試的是通過NFV的方式去實現防護效果。無論是業務，還是網絡功能，它終究只是一個軟件，我們可以把它做成虛擬化的網源放在里面。我再提供一套機制，規定流量該怎么樣運行。比如，我的流量是應該先經過IPS設備，還是先經過防火墻?？梢酝ㄟ^流量編排的技術實現安全設備的部署。我們預計明年年初這個方案會比較成熟。

最后是一個非常工程化的方案，通過硬件層的SDN實現網絡安全功能在私有云里的部署。它最大的特點是整個網絡層都是通過SDN來完成的，并且是硬件的SDN。然后，通過接口做APP，實現流量的牽引，實現防護效果。它的好處是比較穩定，但是成本比較高。