HiSec CloudFabric解决方案技术白皮书.docx
《HiSec CloudFabric解决方案技术白皮书.docx》由会员分享,可在线阅读,更多相关《HiSec CloudFabric解决方案技术白皮书.docx(24页珍藏版)》请在冰豆网上搜索。
HiSecCloudFabric解决方案技术白皮书
HiSec@CloudFabric解决方案技术白皮书
1方案背景
1.1云安全风险分析
1.2云计算业务特点与业务需求
1.3安全需求总结
1.4方案价值
1.1云安全风险分析
虽然云计算给用户提供了一种新型的计算、网络、存储环境,但是在系统和应用上提供的服务等方面却并未发生革命性的改变。
在云计算平台上,认证和授权类、逻辑攻击类、客户端攻击类、命令执行类、信息泄露类威胁仍然是不可忽视的,除了传统的网络安全威胁,虚拟化本身的安全问题、租户间隔离等都是云计算环境下引入的安全风险。
1.2云计算业务特点与业务需求
云计算的业务特点就是“服务化”。
服务化架构的特点包括:
多租户、海量用户、数据共享、无边界计算、业务动态变化、业务模型不受网络拓扑限制等特点。
云计算模式对于安全保障提出了更高的要求。
要求安全保障方案,能够适配云计算所代表的按需自服务、资源池化、快速弹性扩展、安全策略自适应业务变化(业务随行)等要求。
由于多租户、多安全设备和云业务的动态变化,管理符合用户业务要求的安全策略非常困难,手工配置几乎不可接受,传统的云安全策略管理机制在云中几乎不可实施。
以传统安全设备为代表的安全解决方案是无法满足上述要求的。
举例来说,在用户部署了虚拟化计算技术和SDN网络虚拟化技术之后,网络和计算业务的开通只需要几个小时,而配套的安全技术的部署可能要好几周甚至几个月。
使用传统安全技术保护虚拟化数据中心,会使得安全成为用户业务最大的瓶颈。
云中的“安全服务化”是必备功能。
1.3安全需求总结
云用户对安全的需求分成2个方面:
1、威胁防御能力:
数据中心存在大量核心业务服务器,往往成为恶意攻击者的主要目标。
攻击者通过社会工程学、0day漏洞等高级攻击技术入侵数据中心,从而窃取或破坏高价值资产。
因此需要高级安全防御能力,以应对传统攻击与APT攻击,保障受保护目标的安全。
2、安全服务化架构能力:
安全架构能够满足云计算业务中多租户、资源灵活性、无边界计算、全流量防护、安全业务随行等要求。
如:
一套相同的网络基础设施,需要满足不同类型的用户业务需求;安全业务能够快速上线,满足多租户环境等。
1.4方案价值
在虚拟化和云环境下,华为提出HiSec@CloudFabric安全解决方案,其主要价值如下:
●智能防御
a.东西向流量精细隔离控制,有效避免威胁横向扩散。
b.配套大数据智能分析系统,可检测未知威胁。
c.网络与安全智能联防闭环,可快速响应隔离内部威胁,防止威胁扩散。
●按需弹性
a.安全资源池化,可支持东西和南北资源池的分离,资源池可按需弹性扩缩。
b.安全业务分钟级开通,提供多种类的安全服务,并基于SDN统一调度、自动化编排发放安全业务。
c.安全业务功能与物理拓扑解耦,基于应用动态地使用业务链排来编排安全服务。
d.支持全面的IPv6过渡技术,包含NAT64地址转换技术、双栈技术,无缝连接IPv6部署的不同阶段。
2方案概述
2.1方案架构
2.1方案架构
华为HiSec@CloudFabric安全解决方案的分层和组件如图所示。
业务呈现/协同层
●云网一体化场景
−FusionSphere(华为云操作系统解决方案):
由ManageOne提供统一Portal,租户通过ManageOnePortal订阅、动态打通VAS服务,其中由OpenStack定义的VAS服务通过AgileController-DCN分发给SecoManager处理,由SecoManager下发配置到防火墙设备上,非OpenStack定义的VAS服务由ManagerOne直接和SecoManager对接完成发放。
−第三方OpenStack:
租户通过第三方Portal或者第三方云平台订阅VAS服务,第三方OpenStack云平台调用AgileController-DCN接口动态开通VAS服务,AgileController-DCN将VAS服务请求分发给SecoManager处理。
●网络虚拟化场景
ACOrchestration作为AgileController-DCN和SecoManager的业务呈现层,作为网络和安全的控制界面。
控制/管理/分析层
●AgileController-DCN:
完成网络建模、实例化、自动编排下发网络配置等,并负责将流量引流到VAS设备。
●eSight+eLog:
实现安全设备管理和日志报表管理。
●SecoManager:
实现VAS服务的编排和策略管理。
●CIS:
大数据安全分析系统,可动态监测分析APT安全威胁,并提供整网安全态势,可通过控制器联动防火墙、交换机等设备阻断安全威胁。
网络/设备层
由物理和虚拟网络设备组成,用于承载Overlay网络。
其中,安全设备获取数据流量,并基于安全策略执行安全功能。
本层提供硬件和软件两种设备形态,可满足数据中心边界安全防护、租户边界和租户内安全防护的需求。
AgileController-DCN和SecoManager以服务化集成方式对接,SecoManager的界面集成到AgileController-DCN的安全菜单中,融合部署在一套服务器,不独占资源,服务间交互通过API接口调用来实现。
3方案介绍
3.1安全服务化
3.2网安一体化联动方案
3.1安全服务化
3.1.1方案概述
安全服务化是一种安全能力的供给和管理方式。
保证安全可以满足云计算业务所需的资源按需分配、弹性扩展、安全策略自适应业务变化,安全自动化运维等要求。
云安全服务化需要解决的问题主要有:
僵化的安全资源不适应云业务的弹性要求;僵化的安全策略不适应云业务的动态变化;固定的安全功能不满足租户多变的安全要求;无法实现边界及网内的全流量防护。
云安全服务化架构融合SDN思路,将弹性和快捷的特性引入安全方案中,安全方案做到“控制层-功能层”分离;功能层面打通硬件、软件防火墙形成“安全资源池”,控制层面统一进行安全资源调度,按需组合安全功能,实现安全自适应能力。
3.1.2方案设计
3.1.2.1方案架构
安全服务化适应CloudFabric中网络虚拟化场景和云网一体化场景架构。
网络虚拟化场景架构图:
云网一体化场景架构图:
方案架构涉及组件概述表:
组件
网络虚拟化场景
云网一体化场景
第三方OpenStack/FusionSphere
不涉及
发放包括SNAT、EIP、FWaas、IPsecVPN的L4~L7业务
ManageOne
不涉及
发放L4~L7业务,包含安全策略、IPS、AV
AgileController-DCN
1、发放逻辑网络服务,负责华为VAS设备和L2/3Fabric双向互联网络的编排;
2、管理华为CE交换机。
1、对接云平台L2~L7plugin,将云平台SNAT、EIP、FWaas、IPSecVPN相关业务分发给SecoManager处理;
2、发放逻辑网络服务,负责华为VAS设备和L2/3Fabric双向互联网络的编排;
2、管理华为CE交换机。
SecoManager
负责华为VAS设备的业务编排,管理华为VAS设备,并向其下发相关配置。
1、支持直接对接ManageOne定义IPS、AV等安全功能;
2、负责华为VAS设备的业务编排,管理华为VAS设备,并向其下发相关配置;
华为VAS设备
华为防火墙负责提供安全策略、EIP、SNAT、IPSecVPN、IPS、AV
的业务功能
华为防火墙负责提供安全策略、
EIP、SNAT、IPSecVPN、IPS、
AV的业务功能
3.1.2.2安全资源池
安全资源池是为租户提供按需安全服务的基础,SecoManager通过纳管硬件防火墙或者软件防火墙来生成安全资源池,硬件和软件防火墙都具有一虚多功能(vsys,virtualsystem),能将一台防火墙虚拟为多个独立的防火墙实例,租户在申请VAS服务时,SecoManager为租户在安全资源池中分配使用逻辑VAS(vSys),无需感知底层FW设备。
安全资源池化流程:
1、硬件防火墙旁挂在核心交换机上或者通过ServiceLeaf节点接入到DCN网络中;软件防火墙通过ServiceLeaf节点接入到DCN网络中。
2、选择多台硬件/软件防火墙(建议主备双机部署),通过SecoManager组建安全资源池,安全资源池创建成功后,加入资源池的设备资源即由SecoManage统一管理、分配
3、租户需要安全功能时,SecoManager从安全资源池中分配安全资源给该租户,资源池支持一虚多时,系统会在安全设备上创建vsys,并将vsys分配给租户;资源池不支持一虚多时,系统会把物理防火墙设备分配给租户。
4、安全资源分配后,AC-DCN在交换机分配VRF给该租户,从而实现租户流量向安全资源池的引流。
3.1.2.3租户级安全服务
3.1.2.3.1业务链编排
●租户级安全服务
虚拟化网络中,不同的租户应用运行在同一物理机上,使网络的物理边界消失,只存在逻辑的边界,造成边界模糊,虚拟化二层流量直接通过vSwitch交互,流量不可视不可控。
针对租户不同的流量,安全资源池通过如下方式进行安全检测:
流量1:
租户的南北向流量,大部分场景在申请LogicVas时已经通过网络编排把流量引入到安全资源池中,或者通过业务链的方式引流到安全资源池中。
流量2:
租户的东西向流量,直接通过TOR转发,不经过安全资源池,通过配置基于EPG的安全策略来编排业务链将流量引到安全资源池中,引流后即为流量2'。
●EPG(端点组)介绍
EP(EndPoint)是指接入网络的物理设备或虚拟设备,比如物理机、虚拟机、存储、物理网卡、虚拟网卡。
EPG(EndPointGroup,端点组)则是一组具有相同特征的EP集合,代表了一组应用或服务,这些应用或服务通常都具有相同的安全策略等级,一个EPG内可以包含多个子网。
EPG可按不同方式划分,比如:
按网络规格划分(如子网、VLANID、VNIID),按照应用类型划分(如WebEPG、APPEPG、DBEPG),
按照分区原则划分(如FrontEPG、BackendEPG、DMZEPG)。
●业务链介绍(ServiceFunctionChaining)
业务链是一个业务功能有序图,保证指定的业务流按顺序通过这些业务功能节点。
当EPG之间存在互通需求时,则需要通过编排业务链配置EPG间的互访策略,包括互访关系、流动作、是否要经过防火墙以及提供的业务的顺序。
业务链可以看做是在SDN控制器的控制下,使用Overlay技术将VAS服务链映射和物理服务设备解耦,只要承载网IP可达,即可将虚拟层服务链映射到承载层服务设备的技术。
●同VPC的东西向流量互访模型:
红色虚线表示相同VPC不同子网互访的:
EPG1与EPG2;蓝色虚线表示相同VPC同子网互访:
EPG2与EPG2;
1.EPG1对应subnet1,EGP2对应subnet2:
2.不同子网的业务隔离:
配置基于EPG的安全策略:
源EPG为EPG1,目的EPG对应EPG2。
3.同子网的业务隔离:
配置基于EPG的安全策略:
源和目的EPG都对应EPG2。
●跨VPC的东西向流量互访模型
通过配置“VPC互通实例”设置跨VPC流量是否通过防火墙。
3.1.2.3.2VAS服务类型
服务类型
网络虚拟化
云网一体化
SNAT
为租户提供私网IP到公网IP的地址转换服务,将用户的私有源IP地址转换为指定的公有IP地址,实现访问Internet;支持在云平台上编排。
EIP
为租户提供VM的弹性IP服务,将一个公有IP地址绑定到租户网络的私有IP地址上,实现租户网络的各种资源通过固定的公有IP地址对外提供服务;支持在云平台上编排。
IPSecVPN
为租户提供IPSecVPN加密传输服务,当租户数据中心和外部有安全通信需求时,可通过IPSecVPN实现互通;支持在云平台上编排。
NAT64
适用于数据中心内部租户已经切换为IPv6,外网服务器还是IPv4的场景,内网用户主动访问外网服务的场景;云网场景中只支持在电信云场景对应FusionSphere6.3云平台编排。
带宽策略
为租户提供会话连接数限制功能,避免因为攻击导致连接数耗尽,无法正常服务。
不支持云平台编排
Anti-Ddos
提供DDoS防护,避免造成网络的链路拥塞、系统资源耗尽,导致拒绝向正常用户的请求提供服务。
不支持云平台编排
IPS
入侵防御
支持通过ManageOne发放
AV
防病毒
支持通过ManageOne发放
URL
过滤
限制可访问URL列表
不支持云平台编排
ASPF
ASPF功能可以保证系统对多通道协议中临时协商的端口正常进行报文过滤和NAT。
不支持云平台编排
安全策略
支持五元组安全策略配置、地址集匹配、指定时间段等。
通过Fwaas,支持五元组安全策略配置、地址集匹配、指定时间段等,可在云平台上编排
安全策略、FWaas、NAT64、ASPF功能支持IPv6和IPv4,其他功能只支持IPv4。
3.1.2.3.3VAS服务使用场景
●VPC内部互访流量防护
针对VPC内东西向同子网或不同子网间的流量防护,使用业务链,将同子网或不同子网流量重定向到VAS设备,发放安全策略、IPSecVPN等VAS服务,实现同VPC内流量的防护。
●VPC与外网流量防护:
针对VPC内与外网的南北流量防护,使用业务链,将外部网络作为其中一个EPG,可以灵活引流到多个VAS,发放安全策略、IPSecVPN、EIP、IPS等VAS服务。
●VPC间流量防护
场景一:
多个VPC关联到同一个外部网络
当多个VPC关联到同一个外部网络时,默认各VPC间L3互通,因此不需要配置各
VPC间的互访安全策略,租户管理员单独配置各VPC使用的VAS服务即可。
场景二:
分别规划每对VPC间的互访策略
当各VPC间应用间互访关系相对固化,策略不需要频繁变更时,可以选择单独规划每一对VPC间互通及互访策略,此时各互通的VPC间分别配置不同的VAS服务。
3.2网安一体化联动方案
3.2.1方案概述
网安一体联动方案总体架构图如下:
●分析器:
−CIS、FireHunter:
具备大数据安全分析和文件分析的能力,能够通过文件,流量和日志综合分析,结合威胁情报,识别未知威胁,联动安全控制器下发安全策略。
●控制器:
−SecoManager:
安全控制器,根据CIS下发的安全联动策略任务自动化生成对应安全控制策略,下发到对应安全执行器或网络控制器进行执行。
−AgileController-DCN:
网络控制器,通过与SecoManager联动,接收其安全联动策略,并下发给交换机等网络设备进行执行。
●执行器:
−NGFW:
接收安全控制器SecoManager下发的具体指令,进行安全策略部署,实现安全处置闭环。
−交换机:
接收网络控制器AgileController-DCN下发的具体指令,进行安全策略部署,实现安全处置闭环。
3.2.2数据采集
CIS日志采集器负责日志采集,实现日志/事件的高性能采集和预处理;日志采集流程包括日志接收、日志分类、日志格式化和日志转发。
Syslog日志在上送大数据平台之前要进行归一化处理,将其转换为大数据平台能理解的统一格式。
支持如下功能:
●支持采集网络/安全设备上报的Netflow数据
●支持采集第三方系统(ArcSightCEF格式,IBMQradarJson格式)和安全设备的
Syslog日志;
●日志采集器到大数据平台的实现SSL加密传输
CIS流探针或防火墙内置流探针负责原始流量采集,通过优化的DPI技术高效提取原始流量的协议特性,实现高性能的流量数据采集和协议还原。
流探针支持报文捕获功能,生成的PCAP文件保存在流探针的本地磁盘上,CIS大数据安全平台通过HTTPS定时读取流探针上存储的PCAP文件
流量采集主要功能包含:
●协议解析:
支持HTTP协议解析、邮件协议解析、DNS协议解析、HTTPS协议解析
●文件还原:
支持还原通过HTTP协议上传/下载的文件还原;支持通过
SMTP/POP3/IMAP4协议发送的邮件的附件还原
3.2.3威胁检测
威胁检测能力主要依靠CIS的关联分析、大数据分析能力,其架构如下。
服务
功能
流探针
负责对网络中的原始流量进行数据协议特征提取,生成Netflow
和Metadata数据,并将这些数据上送给大数据安全平台。
采集器
负责安全设备、网络设备、主机和终端的日志和Netflow数据采集,并对日志进行归一化处理后转发给大数据安全平台。
大数据平台
负责接收采集器上报的归一化日志和Netflow数据以及流探针上报的Metadata和Netflow数据,并对上报数据预处理后进行分布式存储和索引,为可视化管理子系统提供可视化展示的数据支撑,为威胁检测子系统提供历史与实时数据访问支撑。
威胁检测服务
负责根据预置的检测模型和自定义的检测规则对归一化日志、Netflow和Metadata数据进行实时/离线分析,检测异常行为并对异常进行关联和评估,从而发现并判定高级威胁。
可视化平台
负责提供威胁可视化,智能检测和配置管理等功能。
3.2.3.1WEB异常检测原理
WEB异常检测主要用于检测通过WEB进行的渗透和异常通信,从历史数据中提取HTTP流量元数据,通过分析HTTP协议中的URL、User-Agent、Refer和上传/下载的文件MD5等信息,并结合沙箱文件检测结果,离线挖掘和检测下载恶意文件、访问不常见网站和非浏览器流量等异常。
3.2.3.2邮件异常检测原理
邮件异常检测主要从历史数据中提取邮件流量元数据,通过分析SMTP/POP3/IMAP协议中的收件人、发件人、邮件服务器、邮件正文、邮件附件等信息,并结合沙箱文件检测结果,离线挖掘和检测收发件人异常、下载恶意邮件、访问邮件服务器、邮件正文URL异常等。
3.2.3.3C&C异常检测原理
C&C异常检测主要通过对协议流量(DNS/HTTP/3,4层协议)的分析检测C&C通信异常。
基于DNS流量的C&C异常检测采用机器学习的方法,利用样本数据进行训练,从而生成分类器模型,并在客户环境利用分类器模型识别访问DGA域名的异常通信,从而发现僵尸主机或者APT攻击在命令控制阶段的异常行为。
基于3,4层流量协议的C&C异常检测根据CC通讯的信息流与正常通讯时的信息流区别,分析CC木马程序与外部通讯的信息的特点,区分与正常信息流的差异,通过流量检测发现网络中所存在的CC通讯信息流。
对于基于HTTP流量的C&C异常检测采用统计分析的方法,记录内网主机访问同一个目的IP+域名的所有流量中每一次连接的时间点,并根据时间点计算每一次连接的时间间隔,定时检查每一次的时间间隔是否有变化,从而发现内网主机周期外联的异常行为。
3.2.3.4流量基线异常检测原理
流量基线异常检测主要解决网络内部的主机/区域之间(内外区域之间、内网区域与互联网之间、内网主机之间、内网主机与互联网之间、内网主机与区域之间)的异常访问问题。
流量基线是指网络内部主机之间、区域之间或者内外网之间的访问规则,包括指定时间段内是否允许访问、访问的频次范围、流量大小范围等。
流量基线可以有两种来源:
系统自学习和用户自定义配置。
流量基线自学习,就是系统自动统计一段时间内(比如一个月)网络内部各主机、区域以及内外网之间的访问和流量信息,以此访问和流量信息为基础(对于流量数据,还会自动设置合适的上下浮动范围),自动生成流量基线。
用户自定义流量基线:
用户手工配置网络内部各主机、区域以及内外网之间的访问和流量规则。
流量基线异常检测将自学习和用户自定义的流量基线加载到内存中,并对流量数据进行在线统计和分析,一旦网络行为与流量基线存在偏差,即输出异常事件。
3.2.3.5隐蔽通道异常检测原理
隐蔽通道异常检测主要用于发现被入侵主机通过正常的协议和通道传输非授权数据的异常,检测方法包括PingTunnel、DNSTunnel和文件防躲避检测。
PingTunnel检测是通过对一个时间窗内同组源/目的IP之间的ICMP报文的载荷内容进行分析和比较,从而发现PingTunnel异常通信。
DNSTunnel检测通过对一个时间窗内同组源/目的IP之间的DNS报文的域名合法性检测和DNS请求/应答频率分析,从而发现DNSTunnel异常通信。
文件防躲避检测通过对流量元数据中的文件类型的分析和比较,从而发现文件类型与实际扩展名不一致的异常。
3.2.3.6恶意文件检测原理
FireHunter文件检测经过信誉查询、第三方AV检测、静态检测引擎检测、机器学习引擎检测、CC检测引擎检测、沙箱检测引擎检测,最终在威胁分析引擎进行对各个检测结果进行关联、联合分析和威胁判定,最终给出威胁检测结果。
其中,沙箱检测引
擎,又包括了web启发式引擎、PDF启发式引擎、PE启发式引擎和虚拟执行环境引擎。
FireHunter可以针对主流的应用软件及文档实现检测、分析,支持Word、Excel、
PPT、PDF、HTML、JS、EXE、JPG、GIF、PNG、chm、swf、可执行脚本文件、媒体文件、LNK文件、压缩文件等软件及文档。
3.2.3.7关联分析原理
关联分析主要通过挖掘事件之间的关联和时序关系,从而发现有效的攻击。
关联分析采用了高性能的流计算引擎,直接从分布式消息总线上获取归一化日志装入内存,并根据系统加载的关联规则进行在线分析。
系统预置了一部分关联分析规则,用户也可以自定义关联分析规则。
当多条日志匹配了某一关联规则,则认为它们之间存在对应的关联关系,输出异常事件,同时将匹配用到的原始日志记录到异常事件中。
3.2.3.8威胁判定原理
威胁判定根据多个异常进行关联、评估和判定产生高级威胁,为威胁监控和攻击链路可视化提供数据。
威胁判定按照攻击链的阶段标识/分类各种异常,并以异常发生的时间为准,通过主机IP、文件MD5和URL建立异常的时序和关联关系,根据预定义的行为判定模式判定是否高级威胁,同时根据相关联的异常的严重程度、影响范围、可信度进行打分和评估,从而产生威胁事件。
升级会员 