《软件定义安全》之七:SDN安全案例

news2024/11/23 23:24:21

第7章 SDN安全案例

1.DDoS缓解

1.1 Radware DefenseFlow/Defense4All

Radware在开源的SDN控制器平台OpenDaylight(ODL)上集成了一套抗DDoS的模块和应用,称为Defense4ALL。其架构如下图,主要有两部分:控制器中的安全扩展,包括接收到流信息后的统计服务、做清洗的流量重定向服务等;独立的北向安全应用,包括异常检测引擎、流量清洗管理器等。

在这里插入图片描述

Defense4ALL的工作原理是,首先ODL控制器从全局的网络设备中获得OpenFlow流信息,统计服务做大致的统计后,通知安全应用的异常检测引擎。当引擎发现当前的流量存在DDoS攻击时,会通过管理器下发流量牵引指令,指令在重定向服务中被计算出若干OpenFlow Flow_Mod流命令,并下发到从源网络设备到DDoS缓解中心的目的网络设备间的路径上的所有网络设备,形成一条重定向路径。当恶意流量在DDoS缓解中心被清洗完后,正常转发到目的地。
当异常检测引擎发现当前的网络流量正常后,会通过管理器撤销重定向指令,此时流量直接被转发到目的地。
它还加入了L4~L7的检测,支持抗APT攻击。当检测到DDoS或APT攻击时,可直接在网络设备上进行阻断,或重定向到专有的安全设备进行进一步的处理。

1.2 Brocade DDoS实时分析和缓解

Brocade公司提出的实时DDoS缓解的SDN分析方案(Real-time SDN Analytics for DDoS Mitigation),架构如下图:

在这里插入图片描述

对于L2~L4流量型的DDoS检测,最大的挑战在于流量过大,即便是体现数据包统计信息的xFlow,每秒几万条也是非常正常的,因此控制平面的带宽开销会非常大。特别是OpenFlow协议要求控制器获得交换机上的所有流表,那么传输时间会长达数秒甚至数十秒,导致检测延时、检测应用计算开销过大。所以Brocade公司提出的方案在底层使用了支持sFlow的MLXe路由器,将抽样的sFlow流发送到控制器,可做到整个过程可扩展和线性,极大地减少了检测的时间开销和计算开销。

2 软件定义的访问控制

2.1 Check Point公司的软件定义防护

Check Point公司在RSA 2014大会上宣布推出软件定义防护(Software Defined Protection,SDP)革新性的安全架构。
SDP提供安全的、模块化的、灵活的安全架构,它将可靠的执行层与快速自适应的、智能的控制层结合在一起,为用户网络提供实时的主动防御。此外,该架构中的管理层负责编排,架构图如下图。
整个SDP架构包括互相关联的3层:执行层,包括物理的、虚拟的及基于主机的安全执行点,它们将网络分段并执行安全防护;控制层,分析不同来源的威胁情报并生成防护策略,下发给执行层;管理层,完成基础设施层的编排,从而为整个架构提供更高的灵活性。

在这里插入图片描述

  1. 执行层

执行层首先根据防护策略和特性鉴别相同身份的主体,并将这些主体放置于分片中;然后将分段分组,以允许模块化的保护;最后在分片间使用各种安全防护手段,巩固安全边界。
执行层利用虚拟安全网关为企业网络提供了灵活、动态的模糊边界,将网络分成更细粒度的段,在每一段可执行不同策略的数据防护、入口和出口访问控制、威胁防护、日志等安全能力。

在这里插入图片描述

SDP提供了硬件和软件形式的虚拟网关,同时为固定和移动终端提供了基于主机的安全执行点代理,以确保主机层面的安全策略执行,并将移动用户通过安全隧道接入企业云端。在云端,针对企业私有云,SDP提供了Hypervisor层和VM层面的执行点,使用户可以对VM间的流量进行分段;针对公有云用户,允许企业为AWS中的系统执行分段和防火墙策略。

  1. 控制层

控制层为用户生成安全策略,并提供具体的安全机制,可供灵活编排后下发给合适的执行点,按需动态构建具体的安全防护机制。SDP控制层基于软件刀片,实现不同的虚拟安全服务,如防火墙,IPSec VPN,邮件安全和反垃圾邮件,身份管理,访问控制,数据丢失保护,应用控制,QoS,集成的IPS,基于网络的反病毒,对抗0day攻击的虚拟沙盒,通过阻断C&C信道的反僵尸网络,等等,从而可灵活地匹配用户多样的安全需求,为用户提供有效的安全防护。同时,其固有的模块化结构使用户可以为每个执行点生成特定的安全防护机制,并随时按需扩展用户的安全架构。
控制层还有一个云系统。软件刀片提供的安全防护能力,需要通过及时的威胁情报才能有效防护不断变化的攻击手段。因此,SDP控制层还提供了基于云的大数据智能威胁情报系统——ThreatCloud,应对各种已知和未知的安全威胁。通过这种高度的协议,当一个用户受到新型的恶意软件攻击时,相关的攻击样本可以立即通过ThreatCloud共享,攻击特征很快就可以加入大数据中,供其他用户使用。

  1. 管理层

管理层的所有执行点由单个统一的安全管理平台进行管理,因此管理平台必须具有很好的扩展能力,可管理上千万的管理对象而仍保持快速的响应时间。另外,为支持执行层的分段,管理平台应在保证职责分离的同时,允许管理人员为不同的段自定义安全策略,每个管理员只能管理其职权下的安全策略。SDP体系通过分层策略机制实现该要求。
SDP管理层还提供了事件可视化应用SmartEvent,它通过大数据分析和实时安全事件关联,使SDP具有情境感知和事件响应能力。精准的事件可视化可以帮助事件处理人员准确地给出必要的响应措施,从而更好地保护网络。事件分析能力则生成可执行的智能情报,它可以Indicator(安全威胁情报交换STIX的术语)的形式通过控制层的ThreatCloud分发,从而帮助实时阻断攻击。

2.2 OpenStack防火墙即服务

防火墙即服务(FWaaS)是OpenStack中的一种访问控制机制,它控制了租户内部不同子网间的访问关系,并对外提供SaaS访问。
FWaaS的实现包括了命名空间、IPTABLES NAT链和IPTABLES的访问控制链等底层技术。

  1. hillstone

山石网科推出的云数据中心FWaaS安全解决方案为应用OpenStack平台构建的公有云、私有云提供安全防护,为云环境中的独立租户提供专属的安全隔离和策略保护。该方案通过FWaaS服务接口,为云数据中心中的每个租户提供独立的虚拟防火墙,实现了租户间的安全隔离和保护,虚拟机间的东西向流量也得到了有效的管控。所有虚拟防火墙通过统一的界面进行配置和管理,支持虚拟防火墙、安全资源动态分配、安全设备弹性扩展等特点,实现跨平台支持多种虚拟主机。

在这里插入图片描述

  1. DELL-SonicWALL

Dell公司也基于它的SonicWALL统一威胁管理UTM,再加上全球管理系统(Global Management System,GMS)的集中管理和快速部署功能,提供FWaaS安全能力,为用户提供防火墙、反病毒、反垃圾信息、备份和恢复、远程访问等安全服务。它通过月订阅费的计价形式提供给用户的。


如果要实现定制化的FWaaS,一般而言需要修改两个组件:L3Agent和FWaaS驱动。因为一般商用防火墙都带有路由功能,所以L3Agent需要将原有的IPTABLES NAT功能替换掉。另外,还要重新实现FWaaS驱动,以适配商用防火墙的访问控制接口。
下面以vArmor FWaaS为例,更换FWaaS驱动,方法为修改配置文件/etc/Neutron/fwaas_driver.ini

[fwaas]
enabled = True
driver = Neutron.services.firewall.drivers.varmour.varmour_fwaas.vArmourFwaasDriver

在实现上,可以是每个虚拟防火墙对应一个router,这样将命名空间和IPTABLES链都放在该虚拟防火墙中实现即可。其整体实现较为简捷,但需要注意L3 Agent和FWaaS驱动应与标准FWaaS API和虚拟防火墙vFW API适配。

2.3 CSA SDP软件定义边界

CSA: Cloud Security Alliance, 云安全联盟
SDP: Software Defined Perimeter, 软件定义边界

CSA是云计算安全方面非常著名的组织,它的《云安全指南》、云计算十二大威胁和各大云相关的工作组开展的工作,在云计算安全方面都非常有影响力。
SDP是一个能够为OSI七层协议栈提供安全防护的网络安全架构,实现资产隐藏,并在允许连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接。使用SDP实现的零信任网络使组织能够更好防御新变种攻击方法,以及改善企业所面临攻击面日益复杂和扩大的安全困境。

在这里插入图片描述

当主体访问客体之前,需要通过一个初始化代理访问客体的代理,这两个代理均连接到一个控制器上,只有当控制器允许并下发策略后,两者才可通信,所以任意主客体的访问权限都在全局的控制器中决定。值得注意的是,CSA SDP虽然存在节点和控制器的角色,但使用的是CSA定义的加密TCP协议。
所有用户在访问任何资源之前,都需要经过安全控制平台上的访问控制APP做身份认证,这符合软件定义边界的思想。只是Initiating SDP Host和Accepting SDP Host均为SDN交换机,而SDP Controller是SDN控制器、安全控制平台和访问控制APP所结合的控制器平台。部署在认证服务器上的访问控制APP综合考虑访问用户的角色、历史信誉和其他因素,决定该用户终端的连接是否可建立,或经过何种安全防护设备,并根据上下文环境自适应地在多个网络和安全设备上建立访问控制规则。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1836017.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

软件测试面试题:性能测试关注哪些指标?

问题 在工作中,使用JMeter做压力测试时,需要关注其中的哪些指标? 性能测试关注哪些指标? 考察点 面试官想了解: 是否用过 JMeter 指标进行分析 技术点 涉及的技术点: JMeter 结果分析 回答 性能指…

移植案例与原理 - utils子系统之KV存储部件 (3)

5、KV存储部件对应UtilsFile接口部分的代码 分析下KV存储部件对应UtilsFile接口部分的代码。我们知道对外接口有设置键值UtilsSetValue、获取键值UtilsGetValue、删除键值UtilsDeleteValue和清除缓存ClearKVCache。我们先看看内部接口,这些接口调用的全部是UtilsFi…

Vue3模拟国足18强赛抽签

Vue3国足18强赛抽签 国足遇到这个对阵&#xff0c;能顺利出现吗&#xff1f; 1、系统演示 Vue3模拟国足18强赛抽签 2、关键代码 开始抽签 <script setup> import FenDang from "/components/chouqian/FenDang.vue"; import {ref} from "vue";le…

如何将编译过的C++库迅速部署在Visual Studio新项目中

本文介绍在Visual Studio中&#xff0c;通过属性表&#xff0c;使得一个新建解决方案中的项目可以快速配置已有解决方案的项目中各类已编译好的C第三方库的方法。 例如&#xff0c;我们现有一个解决方案&#xff0c;其中的一个项目需要调用Armadillo、OpenCV等多个不同的C第三…

一文详解:什么是小程序SDK?

什么是小程序SDK&#xff1f; 首先来看看概念&#xff1a;小程序SDK&#xff08;Software Development Kit&#xff09;是用于开发和扩展小程序的工具集合。可以理解为一套工具箱&#xff0c;专门帮助开发者建立和定制小程序应用程序。这些工具包括了开发小程序所需的各种代码…

【Android面试八股文】谈一谈你对http和https的关系理解

文章目录 HTTPHTTPSSSL/TLS协议HTTPS加密、解密流程HTTP 和 HTTPS 的关系具体的差异实际应用总结扩展阅读HTTP(HyperText Transfer Protocol)和HTTPS(HyperText Transfer Protocol Secure)是用于在网络上进行通信的两种协议。 它们在很多方面是相似的,但关键的区别在于安全…

前端传进来的单选值是0,到了后端加了个逗号

如上图所示&#xff0c;标记的var的值org和id的值orgOrNot不能一样&#xff0c;如果一样&#xff0c;通过id获取&#xff08;#(“#orgOrNot”).find(“option:selected”).val()&#xff09;时候就会出现这种情况 改成如下情况&#xff0c;区别开id

ubuntu下同时安装和使用不同版本的库 librealsense

apt 安装的最新版本在/usr 源码安装的旧版本在/usr/local set(realsense2_DIR /usr/local/) find_package(realsense2 2.50.0 REQUIRED) message( "\n\n ${realsense2_INCLUDE_DIR} ${realsense2_VERSION} RealSense SDK 2.0 is FINDINGING, please install it from…

vivado PKGPIN_NIBBLE

描述 PKGPIN_NIBBLE是PKGPIN_BYTEGROUP的一部分。参见PKGPIN_BYTEGROUP&#xff0c; 第122页了解该对象的描述。 相关对象 PKGPIN_BYTEGROUP和PKGPIN_NIBBLE与IO_BANK、PACKAGE_PIN和 PORT&#xff0c;如前所述。此外&#xff0c;每个PKGPIN_NIBBLE都与 Xilinx设备。您可以使用…

The First项目报告:深度解读Layer 2生态zkSync

zkSync发币了&#xff0c;这个无数撸毛党心心念念数年之久的项目终于要来了&#xff0c;zkSync 是由Matter Labs 于2019 年推出的以太坊Layer 2 扩容解决方案&#xff0c;作为L2龙头项目之一&#xff0c;与其同属一个层次的L2四大天王之三Optimism、Arbitrum、zkSync、StarkNet…

RoaringBitMap处理海量数据内存diff

一、背景 假设mysql库中有一张近千万的客户信息表(未分表)&#xff0c;其中有客户性别&#xff0c;等级(10个等级)&#xff0c;参与某某活动等字段 1、如果要通过等级性别其他条件(离散度也低)筛选出客户&#xff0c;如何处理查询&#xff1f; 2、参与活动是记录活动ID&#…

科凡定制首倡轻高定突围的蓝海战术是明星代言?

4月19日&#xff0c;科凡家居再度重磅发声&#xff0c;正式宣布国际女星舒淇为全球代言人。 纵观定制家居几大一线品牌&#xff0c;欧派代言人胡歌&#xff0c;索菲亚代言人倪妮。尚品宅配代言人赵丽颖&#xff0c;维意定制代言人黄轩&#xff0c;志邦家居代言人周杰伦......大…

31.加载配置文件中的游戏到辅助列表

上一个内容&#xff1a;30.保存游戏配置到文件 以 30.保存游戏配置到文件 它的代码为基础进行修改 效果图&#xff1a; 加载配置文件到列表的函数&#xff1a; void CWndINJ::LoadGame() {int count GetPrivateProfileInt(L"main", L"count", 0, GameI…

sourceTree 解决remote: HTTP Basic: Access denied报错mac

解决sourceTree中remote: HTTP Basic: Access denied报错 mac sourcetree报错报错原因解决方案 mac sourcetree报错 warning: invalid credential line: xxx.com remote: HTTP Basic: Access denied fatal参考链接&#xff1a;https://developer.aliyun.com/article/1304149 …

经典文献阅读之--OrienterNet(自动驾驶中基于网格的交通场景感知)

dia 0. 简介 使用神经网络来匹配2D公开地图的做法是一个很有趣的方法&#xff0c;人们可以使用简单的2D地图在3D环境中指明自己所处的位置&#xff0c;而大部分视觉定位算法则依赖于昂贵的、难以构建和维护的3D点云地图。为了弥合这一差距《OrienterNet: Visual Localization…

全球首个开源类Sora模型大升级,16秒720p画质电影感爆棚!代码和权重全面开源!

目录 01 视频界开源战士 02 深度解码技术 03 打破闭环&#xff0c;开源赋能 潞晨Open-Sora团队刚刚在720p高清文生视频质量和生成时长上实现了突破性进展&#xff01; 全新升级的Open-Sora不仅支持无缝生成任意风格的高质量短片&#xff0c;更令人惊喜的是&#xff0c;团队选…

关于办公软件的使用

第一部分&#xff1a; 常用函数的使用 在使用的地方&#xff0c;输入SUM(B2:F2)回车 第二部分&#xff1a; 自定义函数的使用 1、打开 宏编辑 2、 自定义函数方法 3、自定义函数的使用和常用函数一样&#xff1a; 在使用的地方&#xff0c;输入计算面积(A3&#xff0c;B3)…

算法设计与分析期末复习题

一&#xff1a;程序阅读分析题&#xff08;共40分&#xff09; 1.&#xff08;8分&#xff09;阅读“算法1”&#xff0c;分析算法1的功能、时间复杂度。 答案&#xff1a;经典的汉诺塔问题&#xff0c;其目标是将 n 个不同大小的盘子从柱子 A 移动到柱子 C&#xff0c;借助柱…

PDM 测试

文章目录 硬件拓扑AP 生成 PDM输出数据路径AP 输入时域数据频域数据逻辑分析与抓包硬件拓扑 如果使用 AP 需要注意公地 AP 生成 PDM输出 AP 的 output 选择 PDM,MCU 提供 Bit clock,AP 生成 PDM 数据,AP 配置如下 数据路径 AP sin data -> PDM -> codec -> RA…

Git的下载安装及可视化工具小乌龟

一、 Git 的下载 第1步&#xff1a;下载Git&#xff0c;下载地址&#xff1a;Git for Windows 这个就需要去 Git 官网下载对应系统的软件了&#xff0c;下载地址为 git-scm.com或者gitforwindows.org&#xff0c;或者阿里镜像&#xff08;感谢评论区的星悸迷航同学&#…