技术干货 | 企业信息安全建设实践之路(六)

  • A+
所属分类:安全闲碎

技术干货 | 企业信息安全建设实践之路(六)

免责声明:本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安全+的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!

欢迎各位添加微信号:qinchang_198231  

 加入安世加  交流群 和大佬们一起交流安全技术

作者简介

作者肖寒,信息安全专家。本系列是其对安全建设工作的实践总结。

技术干货 | 企业信息安全建设实践之路(六)

二、基础安全工作,你的细节决定成败

2.3  网络安全SDSec落地之路

上一篇文章,我们聊过了 VMware NSX,这里我们就来聊聊信息安全建设方面的事情吧。

2.3.1. 企业安全建设需要参考国家标准

建议大家多了解“网络安全等级保护2.0标准”的相关要求。

1)标准的框架结构:《GB/T 22239-2019》、《GB/T 25070-2019》和《GB/T28448-2019》三个标准采取了统一的框架结构。

技术干货 | 企业信息安全建设实践之路(六)

图1 安全通用要求框架结构

安全通用要求细分为技术要求和管理要求。其中技术要求包括“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”;管理要求包括“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。

具体内容我就不展开说了,建议同行们认真仔细的学习、实践。

2.3.2. 传统数据中心的安全防护困境

传统数据中心的安全防护方式:一般会在内网、外网接口处建立安全边界,安装相应的安全设备。根据具体业务需求,划分若干物理或逻辑隔离区域。

特点如下:

1)安全防护设备的部署位置与网络拓扑紧耦合,安全防护效果无法在多业务间共享:

2)防护范围相对僵化;

3)易出现单一故障(冗余部署价格不菲);

4)新业务上线、业务扩容或变更都需要手工调整整个转发路径中各安全设备的策略,难以满足业务快速迭代变更等需求;

5)数据报文在业务路径中转发时,需要经过多次解包封包过程,效率较低;

6)安全设备非池化部署,未来扩展性差;

7)东西项安全容易成为盲区,很容易被利用了攻击。

技术干货 | 企业信息安全建设实践之路(六)

2.3.3. SDN数据中心的安全挑战

1)安全区域边界模糊;(租户之间、租户内)

2)传统安全防护设备无法观测到内部网络或应用的数据交互;

3)SDN自动化使得物理安全防护设备难以保障防护效果;

4)安全需要和网络结构解耦?!

技术干货 | 企业信息安全建设实践之路(六)

2.3.4. GARTNER 关于 SDN 的安全趋势解读

Software-defined Network(软件定义网络):为了加快企业IT服务,企业正在逐步将数据中心转变为一个可计算、可存储的联网资源库,这些资源可以灵活调配,这就叫做软件定义数据中心(SDDC)。SDDC的主要目标就是实现敏捷性,在不同网段、数据中心和脱离物理基础架构的云中,让IT服务运行、扩展地更快、更透明。

    第一阶段,保护软件定义数据中心(Software-defined DataCenter)

对企业来说,转变为SDDC的第一步就是开发软件定义网络(SDN)。SDN可以利用基于软件的新架构要素(例如虚拟网络控制器),以及新的网络协议(如VXLAN);还能保护可编程基础架构的APIs(接口)免受攻击或被滥用。但由于SDN无法保证L3-L7的信息安全服务,如恶意软件检测、应用控制、应用防火墙。因此,企业必须保证下一代信息安全服务能够精确地集成、交互和理解SDN。

第二阶段,集成软件定义基础设施(Software-defined Infrastructure)

信息安全控制措施必须意识到周边基础设施的变化。这些基础设施的核心是:信息安全策略能定义链接属性——用户和群组应该可以链接到(或不能链接到)某种应用软件。否则,软件定义基础设施就不够完整。由于每个SDN组都有自己的逻辑网络,在L3用路由或防火墙进行分段的做法已经落伍,因为通道终端可以实现跨子网映射、制定数据包格式。这会影响安全控制措施的部署、威胁基础分段和传统安全厂商的控制服务。

  第三阶段,开发软件定义安全(Software-defined Security)

Gartner认为安全和数据中心基础架构一样,需要由软件定义。软件定义安全(SDSec)的首要目标是无论应用程序在本地还是公有云上运行,都能不断防御新型威胁、保证软件控制措施自动到位、快速支持不断变化的业务和合规要求。但同时,我们应该看到硬件在软件定义安全(SDSec)中仍然发挥着作用,如安全数据阶段(检测数据包和流量)仍然得益于硬件的处理能力。

技术干货 | 企业信息安全建设实践之路(六)

2.3.5. SDN数据中心的安全防护破局思路——服务链

1)SDN 服务链的技术特点

服务链技术是指数据报文在网络中传递时,为了给用户提供安全、快速、稳定的网络服务,网络业务流量需要按照业务逻辑要求的既定次序穿过各种安全服务节点,从而根据租户的业务需求来定义安全访问路径。

SDN数据中心可以采用SDN Overlay 虚拟网络和NFV(网络功能虚拟化)技术,实现控制平台面与转发平面的分离、虚拟网络和物理网络分离,虚拟网络承载与物理网络之上,通过对虚拟化和逻辑抽象,基于SDN Overlay 虚拟网络的集中控制部件VCFC(虚拟应用超融合架构控制器,即SDN控制器),定义并控制网络安全服务链,将安全服务融入网络架构,调配引导转发流量自动穿过安全服务节点完成安全服务处理,实现拓扑无关、便捷高效、灵活扩展的SDN数据中心网络安全解决方案。

多种类型的服务节点统一资源池化,可实现安全服务资源无缝扩展和多业务共享。服务链的各服务节点可位于相同或不同的安全资源池,VCFC可动态地添加或删除服务链上的服务节点,解耦网络设备间的关联,突破物理拓扑限制,为每个租户提供个性化的安全防护选择,通过编排面向租户应用的服务链,自动下发引流策略,实现租户业务的灵活编排和修改,且不影响物理拓扑和其它租户。数据报文只需在初次接入的流分类节点分类一次,业务转发和安全监测过程便捷高效。

技术干货 | 企业信息安全建设实践之路(六)

2)数据报文中服务链特征的标识和封装

基于SDN Overlay 虚拟网络的服务链,需要用相应字段来标识数据报文中服务链的特征,每条服务链都应该具有自己的标识,数据报文需要携带数据报文应该走哪一条服务链、服务链有几跳等特征。有两种方式识别和封装数据报文中的这些特征:1、扩展VXLAN报文头中保留字段:SDN服务链缺省使用这种方式,前提是网络设备支持VXLAN。SDN服务链对VXLAN报文进行扩展时是从VXLAN报文头保留字段中,取出3字节作为 Service Path ID,记录服务链编号,用于唯一地确定一个服务链;取出1字节作为Order Counter,用于记录一个服务链是第几次进入一个主机的服务节点。2、NSH扩展封装:NSH(网络服务头)是服务链专用的封装格式,NSH可以承载于VXLAN、GRE(通用路由协议封装)等多种Overlay封装中。NSH对VXLAN报文进行扩展,能携带多个业务的上下文信息,完成更复杂的业务处理;支持携带Protocol Type 字段,能灵活承载二层用户报文和三层用户报文。

 3)SDN服务链中角色及其对数据报文的处理

基于网络的核心控制部件VCFC部署SDN服务链时,VCFC会根据租户需求,定义、创建服务链,并部署服务链上每个节点的业务逻辑。VCFC将需要进入服务链处理的数据报文特征下发到接入VTEP(VXLAN隧道端点),VTEP会根据相应的报文特征将数据报文引入服务链。

A 流分类节点:是原始数据报文的接入节点,原始报文通过流分类节点接入VXLAN网络,按照定义的流分类规则匹配数据报文,并进行流分类以确定报文是否需要进入服务链。若需要进入服务链,则为报文进行VXLAN封装和服务链Overlay封装,并转发到服务链首节点进行处理。

流分类节点类型有:1)支持服务链的vSwitch:vSwitch(虚拟交换机)收到VM(虚拟机)报文后,直接做流分类,在vSwitch上进行服务链Overlay封装;2)物理交换机接入普通vSwich:VM通过普通vSwitch接入, vSwitch仅作为二层交换使用,报文上送物理交换机后由物理交换机进行流分类及服务链Overlay封装;3)物理交换机接入物理设备:物理交换机直接接入物理设备,对物理设备发送的报文做流分类,进行服务链Overlay封装;4)物理交换机接入普通VXLAN报文:普通VXLAN报文上送到物理交换机,由物理交换机进行流分类,进行服务链Overlay封装。

B 服务节点:通过VCFC对服务链的定义和引流串联,可完成物理位置分散的服务节点作为安全资源的定义和分配使用。服务节点可以是 FW(防火墙)、LB(负载均衡)、IPS(入侵防御)、WAF(Web应用防火墙)等资源。

服务节点类型有:1)NFV服务节点:支持VXLAN和服务链,可直接进行VXLAN封装/解封装处理及业务处理;2)传统物理服务节点:第三方传统防火墙、负载均衡等无法支持服务链的安全服务节点,通过服务链代理节点外挂;3)服务链首节点:服务链中对数据报文进行处理的首个服务节点,首节点对报文进行服务处理后,将报文继续做服务链封装并转发给服务链的下一个服务节点;4)服务链尾节点:服务链中对数据报文进行处理的最后一个服务节点,尾节点对报文进行服务处理后,解除其服务链封装,并将报文做普通VXLAN封装后转发给目的VTEP。如果尾节点不能根据用户报文进行寻址,则需要将用户报文送到网关(指定的VTEP ),由网关查询目的VTEP后进行转发。

C 代理节点:对于不支持服务链封装的服务节点,需通过代理节点解除服务链封装,再转交给该服务节点处理。

D VCFC:即SDN控制器,负责管理服务链域内的设备并创建服务链,通过控制、抽象和编排虚拟网络,定义服务链特征,并将VTEP和服务节点的配置定义和转发策略下发到相关节点。

4)SDN服务链组网模式

A VSR做VXLAN网关的服务链:VSR(虚拟路由器)做VXALN 网关(VXLAN IP GW),提供 Overlay 网关功能,vSwitch 软件做L2 VTEP(二层VXLAN隧道端点),将VM接入到VXLAN网络中,vSwitch软件可运行在ESXI、KVM、CAS等虚拟化平台上。安全服务节点包括VSR、vFW(虚拟防火墙)、vLB(虚拟负载均衡)、vIPS(虚拟入侵防御)、vWAF(虚拟Web应用防火墙)等设备,通过VCFC的集中控制和编排,实现东西向和南北向服务链功能;

B 物理交换机做VXLAN网关的服务链:物理交换机做VXALN 网关(VXLAN IP GW),提供 Overlay 网关功能,vSwitch 软件、VXLAN二层网关做L2 VTEP,将VM或物理服务器接入到VXLAN网络中,vSwitch 软件可运行在ESXI、KVM、CAS等虚拟化平台上。安全服务节点包括VSR、vFW、vLB、vIPS、vWAF、物理防火墙/负载均衡/安全设备等;

C 第三方安全设备服务链代理:鉴于传统的安全设备不支持VXLAN和服务链,通过VXLAN二层网关做服务链服务代理节点,承载SDN服务链的报文特征识别和解析,可将传统的或第三方安全设备引入SDN服务链,从而共享SDN服务链技术,实现网络中东西向流量的安全防护。传统安全设备与VXLAN二层网关进行二层连接并通过VXLAN二层网关接入SDN VXLAN网络,VCFC只需识别业务所在VXLAN二层网关的接口,并负责导流到该接口。

5)SDN服务链部署模式

SDN数据中心通常存在南北向和东西向两类流量,南北流量是指外部网络与数据中心网络间流量,东西流量属于租户内部流量,又分为数据中心内部不同子网间流量和数据中心同一子网内终端间流量,通过部署SDN服务链可实现两类流量的安全防护。

A 南北流量SDN服务链

部署南北流量的SDN服务链可采用两种模式。

模式1部署简便,在控制器上仅管理一类设备,在设备上增加或删除配置即可实现差异化的安全服务。采用一体化的NGFW(下一代防火墙)设备作为VXALN IP GW(VXALN 网关)终结租户的VXLAN流量,并转换为VLAN流量转发到外网,实现安全设备与物理拓扑解耦和多业务安全防护。NGFW同时支持NAT、安全域、IPS、LB、WF等多种功能,可创建不同的vFW对应不同的租户,通过VCFC下发的引流策略,多台VXLAN网关可实现负载均衡。

技术干货 | 企业信息安全建设实践之路(六)

模式2 业务处理节点清晰,不同节点仅实现单一功能,可做到更高的性能。通过采用不同的安全设备实现不同的安全服务资源池,并灵活第部署防护租户业务的安全服务链。采用单独的设备实现FW、LB、IPS和WAF功能,VCFC可以控制业务流量只经过FW和LB或只经过FW和IPS,在最外层采用防火墙设备作为VXLAN网关实现VXLAN和VLAN间互通。(软件定义安全的思想)

技术干货 | 企业信息安全建设实践之路(六)

B 东西流量SDN服务链

东西向租户内部流量通过纯Overlay网络转发,所有安全服务节点都是处理VXLAN报文,依据VCFC编排下发的引流策略按需按序穿过安全服务链的各个安全服务节点。

技术干货 | 企业信息安全建设实践之路(六)

6)SDN服务链编排、配置与处理

A SDN控制器编排服务链:SDN控制器(即VCFC)负责控制整个 SDN Overlay 网络,拥有网关、软硬件VTEP及NFV资源池等设备信息,VCFC定义和编排服务链的过程是:1)先申请安全服务节点,定义各节点上FW、WAF、IPS的策略与规则、负载均衡的成员等安全服务配置;2)再定义流量特征组,即定义需经过安全服务节点的流量的源和目的IP地址等信息;3)最后创建服务链,指定该服务链所属的租户、源和目的特征组等参数,选择需要引用的安全服务节点;4)将定义的流量特征以流表和配置的方式下发到流分类节点和安全服务节点,引导租户流量的自动、按定义转发。

B 服务链配置流量:VCFC在配置服务链时,会给服务链接入点下发引流策略及Service Path ID 和第一个安全服务节点IP信息,服务链节点会匹配引流策略,对数据报文进行服务链VXLAN封装,并通过Overlay 网络转发到第一个安全服务节点。VCFC会给服务链中每一个节点下发上一个服务节点IP(Pre-Node IP)和下一个服务节点IP(Next-Node IP),第一个节点只有Next-Node IP,最后一个节点只有Pre-Node IP,同时会下发前后Node IP对应的FIB(转发信息表)表项。当服务节点收到一个VXLAN报文时,会根据该报文中携带的Service Path ID 查找相应的服务链表项,若匹配上则进行解封装,并对解封装后的报文进行安全服务处理,然后查找服务链对应的Next-Node IP,并进行服务链封装,转发到下一个安全服务节点。若本节点是最后一个服务节点,则在完成安全服务处理后,会根据内层载荷的目的VTEP IP进行普通VXLAN报文封装和转发。

C 服务链匹配处理流程:租户VM的首个数据包(数据报文)上送VCFC处理时,VCFC会分析Packet-In报文,根据报文目的地址确定是虚拟网络内的东西流量还是通往传统网络的南北流量。如果是南北流量,则将报文转发到网关设备进行报文后续处理;如果是东西流量,则从收到的Packet-ln 报文中的目的IP地址获取目的VM连接的目的端口,进而确定目的subnet、network、router信息,在根据报文特征匹配服务链,首先用源端口和目的端口属性匹配服务链配置,如果找到匹配的服务链,则VCFC会确定服务链所在VTEP的VTEP IP,并向VTEP和后续处理节点下发导流的流表项。当匹配到多条服务链时,则按最精确匹配原则确定实际使用的服务链,服务链特征组匹配精度从低到高为:Router、Network、Subnets、Ports;如果未找到匹配的服务链,则下发东西向卸载的流表项,进行非服务链转发。

技术干货 | 企业信息安全建设实践之路(六)

2.3.6. 我推荐的方案

技术干货 | 企业信息安全建设实践之路(六)

2.3.7. 思考

还有一些方案喜欢把防火墙旁路在核心两侧,走服务链绕行,防火墙HA冗余,然后关于WAF的部署,就无从下手了。笔者认为该类方案依然未实现真正意义上的安全与网络解耦,具体情况就不在这里讨论了。

欢迎大家和我一起讨论实际实施中的各类安全细节,如性能挑战等问题。


技术干货 | 企业信息安全建设实践之路(五)

技术干货 | 企业信息安全建设实践之路(四)

技术干货 | 企业信息安全建设实践之路(三)

技术干货 | 企业信息安全建设实践之路(二)

技术干货 | 企业信息安全建设实践之路(一)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: