下一代云数据中心防御架构.pdf

1、Nov 27|中国上海 下一代云数据中心防御架构下一代云数据中心防御架构 程文杰，Palo Alto Networks中国 2015 VMware Inc.All rights reserved.下一代云数据中心防御架构下一代云数据中心防御架构 程文杰，Palo Alto Networks中国 Nov 27，2015 PALO ALTO NETWORKS公司简介公司简介 公司一览公司一览 成立于2005年;2007年赢得第一个客户 我们帮助企业用户更安全的把应用扩展到各个领域 我们的产品专注于企业安全，帮助我们的客户化繁为简，解决各种复杂的安全威胁 我们已拥有超过26000家企业客户，遍及全球

2、140个国家或地区 超过3000名经验丰富的员工 2015财年收入:$9.3亿美金$13$49$119$255$396$598$928$0$200$400$600$800$1,000 FY09 FY10 FY11 FY12 FY13 FY14 FY15$百万美金百万美金 营收增长营收增长 企业客户数量企业客户数量 4,700 9,000 13,500 19,000 26,000 0 4,000 8,000 12,000 16,000 20,000 24,000 28,000 Jul-11 Jul-12 Jul-13 Jul-14 Jul-15 什么正在变化什么正在变化?网络攻击正在进化$1+$

3、1+如今的网络犯罪 万亿市值的行业 100+100+国家参与 网络军备 什么正在变化什么正在变化?已知威胁 组织风险 身份入侵 零日漏洞/攻击 检测逃避，建立指挥控制渠道 未知和多态性的恶意软件 移动威胁 网络攻击正在进化 Source:http:/www.idtheftcenter.org/images/breach/DataBreachReports_2015.pdf 450 起数据渗透事件被报道（2015）135M 条记录被泄漏 tcp/443 tcp/80 tcp/139 10am-5pm 利用常见APP是数据泄漏中最常见手段 ftp icmp webdav netbios 数据中心的

4、形态正在变化数据中心的形态正在变化 动态的，可扩展，自服务计算架构 限制生产力的计算和技术壁垒正在消失 今天的数据中心 今天的数据中心(特定的服务器特定的服务器 +虚拟化虚拟化)Hypervisor VM VM 混合云混合云 (私有私有 +公有云公有云)Virtualized Compute,Network&Storage VM VM VM 软件定义的数据中心 软件定义的数据中心(私有云私有云/SDDC)Virtualized Compute,Network&Storage VM VM VM 虚拟化的计算虚拟化的计算，网络以及存储网络以及存储 VM VM VM 云计算云计算+安全安全=挑战与机

5、遇并存挑战与机遇并存 云计算环境中的安全挑战云计算环境中的安全挑战 物理防火墙对数据中心的东西向流量缺乏防护 传统防火墙的部署位置是基于L3的安全域划分 网络配置的频繁变化将会导致对东西向流量的保护变得非常的困难和复杂 如何在流量中透明无缝引入安全变得极为重要 Hypervisor MS-SQL SharePoint Web Front End VM VM VM 云计算环境中的安全挑战云计算环境中的安全挑战 云计算中，不同安全级别的应用运行于同一台硬件服务器上 Inter-VM(东西向流量)需要被检测 但仅仅基于端口和协议检测是不够的 下一代云计算安全防御需要：不同VM间的应用白名单管控 发现

6、并阻止安全攻击 现有的虚拟化安全解决方案缺乏对应用的可见性 MS-SQL SharePoint Web Front End Hypervisor VM VM VM 云计算环境中的安全挑战云计算环境中的安全挑战 静态的安全策略无法适应动态的资源分配 每分钟都会有不同的新应用，新服务器被部署 但安全的审核和配置可能需要数周甚至数月的时间 安全策略需要能够自动识别不同VM属性 云计算安全的关键需求云计算安全的关键需求 1.应用可视化:准确识别东西向流量中的应用 2.控制:遵循零信任准则对云计算中的应用进行隔离和控制 3.阻止:阻止东西向和南北向流量中的已知和未知威胁 4.自动化:缩小应用部署和安全策

7、略变更之间的差距 5.管理:集中化管理系统的配置，日志收集，可视化报告以及威胁分析 Palo Alto Networks下一代安全平台下一代安全平台 从网络侧和终端侧收集潜在的安全威胁 分析和关联威胁情报 分发威胁情报至网络和终端侧 威胁情报云威胁情报云 检测所有流量 阻止已知威胁 协同检测未知威胁 覆盖移动终端和虚拟化数据中心 下一代防火墙下一代防火墙 检测所有进程和文件 阻止已知和未知漏洞 与云协同阻止已知和未知恶意软件 高级终端防护高级终端防护 Enable and protect data center applications Segmentation on a physical n

8、etwork Applications and data segmented by policy Users granted access based on need/identity Traffic is protected from known/unknown malware Panorama APIs SharePoint Web SQL Subnet 1 Subnet 2 Subnet 3 启用并保护虚拟化应用启用并保护虚拟化应用 基于零信任模型微分段安全域基于零信任模型微分段安全域 应用策略隔离虚拟机和数据 依据需求或用户身份授予访问权限 阻止恶意软件在不同的安全域之间传播 Shar

9、ePoint Web SQL Panorama Virtualized data center NSX Manager 阻止攻击的每一个阶段阻止攻击的每一个阶段 网络攻击的渗透链 数据搬运数据搬运 横向移动横向移动 DELIVER MALWARE 渗透网络边界渗透网络边界 NGFW 威胁阻止 威胁阻止(IPS)URL过滤过滤 WildFire+威胁情报云威胁情报云 威胁阻止威胁阻止(恶意软件恶意软件)威胁阻止 威胁阻止(Command-and-Control)横向移动横向移动 (微分段微分段)威胁阻止威胁阻止(Command-and-Control)GlobalProtect 移动终端安全移动

10、终端安全 封锁文件封锁文件 数据过滤数据过滤 如何工作如何工作:简化的策略更新简化的策略更新 计算资源的全面可见性 如何工作如何工作:简化的策略更新简化的策略更新 计算资源属性的全面可见性 如何工作如何工作:简化的策略更新简化的策略更新 将计算资源的属性转换为标签 如何工作如何工作:简化的策略更新简化的策略更新 基于不同对标签建立对象组 如何工作如何工作:简化的策略更新简化的策略更新 学习群组属性 如何工作如何工作:简化的策略更新简化的策略更新 创建动态策略 如何工作如何工作:简化的策略更新简化的策略更新 新的计算资源触发策略更新 如何工作如何工作:简化的策略更新简化的策略更新 计算资源的移除

11、同样触发策略更新 集中化管理集中化管理 管理所有的安全设置和属性 全局控制安全策略 关联所有的日志做到更好的可见性，报表以及安全分析不同的 Americas datacenter Europe datacenter Panorama Headquarters Log collector Log collector APIs VM-Series for NSX 数据中心数据中心:如何微分段如何微分段 利用利用DFW分段分段 分割分割 利用Palo Alto实现微分段 Controlled communication path within a single network Fine-graine

12、d enforcement of security Security policies based on logical groupings of VMs Advanced services:addition of 3rd party security,as needed by policy Platform for including leading security solutions Dynamically add advanced security to adapt to changing security conditions No communication path betwee

13、n unrelated networks No cross-talk between networks Overlay technology assures networks are separated by default 联合解决方案的优势联合解决方案的优势 VMware NSX VM-1000-HV Panorama 自动化的注册与策略配置 无缝的服务部署 动态的安全策略更新 多维度的深层保护使得数据中心安全的启用虚拟化应用并阻止攻击 Panorama 如何工作如何工作:联合解决方案的各个组件联合解决方案的各个组件 如何工作如何工作:注册注册 如何工作如何工作:防火墙服务自动化注册防火墙

14、服务自动化注册 如何工作如何工作:许可证以及策略部署许可证以及策略部署 如何工作如何工作:数据流牵引数据流牵引 如何工作如何工作:策略动态更新策略动态更新 如何工作如何工作:服务开通流程一览服务开通流程一览 NSX+VM-Series数据流向数据流向 数据流向数据流向:NSX防火墙防火墙 数据流向数据流向:部署部署Palo Alto VM系列后系列后 数据流向数据流向:当数据引流策略生效后当数据引流策略生效后 数据流向数据流向:只有特定的数据流才会被检测只有特定的数据流才会被检测 最佳实践及最佳实践及NSX 6.2 Update Attack Propagation In Virtual an

15、d Cloud Data Centers Case study of an attack:APT group“Hidden Lynx”(Symantec nomenclature)in operation for over 5 years Frequent use of highly sophisticated and custom trojans and 0-day exploits Initial intrusion via SQL injection Lateral movement to a server containing code signing certificate SQL

16、injection Backdoor.Hikit Unspecified credential theft Unspecified credential theft Hypervisor Physical host Certificate signing server Report:Hidden Lynx Professional Hackers for Hire:http:/ NSX DFW和和Palo Alto VM系列的差别系列的差别 数据引流的最佳实践数据引流的最佳实践 跨安全层流量:Palo Alto VM系列 安全层内流量:NSX DFW 混合使用混合使用DFW和和Palo Alto VM系列可同时兼顾安全与性能系列可同时兼顾安全与性能 数据引流的最佳实践数据引流的最佳实践 跨安全层流量:Palo Alto VM系列 安全层内流量:NSX DFW 混合使用混合使用DFW和和Palo Alto VM系列可同时兼顾安全与性能系列可同时兼顾安全与性能 虚拟化数据中心的流量峰值分析虚拟化数据中心的流量峰值分析 每台每台Palo Alto VM需要处理的峰值流量需要处理的峰值流量60