[精选]安全视角看虚拟网络和SDN.pptx
《[精选]安全视角看虚拟网络和SDN.pptx》由会员分享,可在线阅读,更多相关《[精选]安全视角看虚拟网络和SDN.pptx(46页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、潘柱廷、叶润国启明星辰公司未来网络虚拟片层的安全安全视角看虚拟网络和SDN等云安全 虚拟化是云计算等新兴计算技术实现的关键之一,包括效劳器虚拟化、存储虚拟化、虚拟客户端、应用虚拟化、网络虚拟化等等。其中效劳器、存储、客户端的虚拟化都可以被理解为空间节点的虚拟化,而常被提到的虚拟交换机技术还只是局部网络空间的虚拟化。而在软件定义网络SDN等技术所代表的开展趋势看,真正覆盖较大范围的虚拟化网络必将出现。本演讲试图探讨网络空间的根本性变化所带来网络安全理论、方法和技术的变化。几个不得不搞清楚的概念安全的本质安全效劳网络的本质传统网络非虚拟网络的本质表达虚拟网络的本质表达4网网络的本的本质传统网络(非
2、虚拟网络)虚拟网络片层(虚拟点和连接)安全、网络、虚拟安全安全本本质安全安全效效劳5网网络的本的本质传统网络(非虚拟网络)虚拟网络片层(虚拟点和连接)安全、网络、虚拟安全安全本本质安全安全效效劳6首先我们先简单回忆一下首先我们先简单回忆一下那些不变的安全本质。那些不变的安全本质。安全的方方面面加密强认证防火墙入侵检测国家战略攻击检测渗透测试组织体系制度/规则多功能网关UTM工作流审计管理平台风险评估等级保护体系结构规划/计划云模式项目管理监控/预警冗余/备份应急响应合规性要求首席安全官安全专家三观论宏观/中观/微观量化/指标化合作/外包管理理念涉密系统安全病毒/蠕虫分布式拒绝服务攻击办公安全网
3、上银行骨干网网站安全ERP服务器安全火灾/水灾设备故障内部人员作案网络渗透网络嗅探核心业务电磁泄漏终端安全文档安全误操作垃圾信息安全事件漏洞/脆弱性黑客业务逻辑卫星通讯业务大集中数据中心线路中断涉密系统安全病毒/蠕虫分布式拒绝服务攻击办公安全网上银行骨干网网站安全ERP服务器安全火灾/水灾设备故障内部人员作案网络渗透网络嗅探核心业务电磁泄漏终端安全文档安全误操作垃圾信息安全事件漏洞/脆弱性黑客业务逻辑卫星通讯业务大集中数据中心线路中断梳理手上的牌加密强认证防火墙入侵检测国家战略攻击检测渗透测试组织体系制度/规则多功能网关UTM工作流审计管理平台风险评估等级保护体系结构规划/计划云模式项目管理监
4、控/预警冗余/备份应急响应合规性要求首席安全官安全专家三观论宏观/中观/微观量化/指标化合作/外包管理理念资产威胁措施 最精简的风险管理要素不变的三类信息安全核心技术基于密码技术的基于密码技术的认证加密等技术措施认证加密等技术措施基于攻防技术的基于攻防技术的检测响应技术措施检测响应技术措施基于风险管理思想的基于风险管理思想的体系化方法和措施体系化方法和措施安全的原则和思路风险三要素需求驱动力矩阵PPT结构三大类安全技术PDR及PDCERF通用检测模型分层和分域,三观论ZachmannW1H,虚实层流和时空安全域+业务流基于时间和基于缓冲的安全结构和解构安全度量和安全可视化生命周期三大过程敏捷和
5、瀑布模式君臣佐使的配伍思想可信与可控云模式、虚拟化大数据分析解决APT宏观态势感知网网络的本的本质传统网络(非虚拟网络)虚拟网络片层(虚拟点和连接)安全、网络、虚拟安全安全本本质安全安全效效劳12形形色色的网络交通运输网,邮政网,通信网,计算机网,互联网,万维网社会关系网,产品供销网,金融借贷网智能电网,无线网,传感网,物联网神经网,生物代谢网,食物链网攻守同盟网,网络人人网,新浪微博网,QQ,团购网13当我们想到“网络这个词语.事物、情况事物情况14节点:vertex,point边:连接,链接,关系,联系;edge,link联系网络中的路径15以点的关系为主,不关注路径社交网络路径不固定,会
6、按需临时建立无线网络、物联网、无线传感网、DTN等路径连接着点,数据在路径上流动互联网、局域网更抽象更具体网网络的本的本质传统网络(非虚拟网络)虚拟网络片层(虚拟点和连接)安全、网络、虚拟安全安全本本质安全安全效效劳16节点、点、连接接结构构 路径路径.网网络的本的本质传统网络(非虚拟网络)虚拟网络片层(虚拟点和连接)安全、网络、虚拟安全安全本本质安全安全效效劳17业务流业务流网络结构网网络的本的本质传统网络(非虚拟网络)虚拟网络片层(虚拟点和连接)安全、网络、虚拟安全安全本本质安全安全效效劳20虚拟化常被提到的虚拟化效劳器虚拟化存储虚拟化桌面虚拟化应用虚拟化网络虚拟化21虚拟服务器虚拟存储虚
7、拟桌面虚拟应用虚拟网络设备应用片层系统片层网络片层网络虚拟化的不同范围不同的网络协议层单网络节点虚拟化虚拟交换机多网络节点虚拟化分布式虚拟交换机网络区域虚拟化在局域实现SDN/Openflow大范围网络虚拟化?22包包节点节点域域网络虚拟化的不同范围不同的网络协议层单网络节点虚拟化虚拟交换机多网络节点虚拟化分布式虚拟交换机网络区域虚拟化在局域实现SDN/Openflow大范围网络虚拟化?23包包节点节点域域网络虚拟化-虚拟交换机软件模块、VM数据交换;局限在物理效劳器中与物理L2交换机兼容,可以构建VLAN代表:Vmware vSwitch、Linux Bridge存在的问题流量不可见问题网络
8、隔离问题管理复杂问题策略一致性问题网络性能问题应用程序应用程序操作操作系统系统应用程序应用程序操作操作系统系统应用程序应用程序操作操作系统系统VMMVMM虚虚拟拟化化服服务务器器VM3VM1VM2物理交换机虚拟交换机VM间流量不可见问题解决方案软件SPAN、RSPAN和netflow功能硬件交换机导流方案:VEPA和VN-TAG虚拟交换机环境下的安全产品部署部署串行网关部署旁路检测26操作系统操作系统应用程序应用程序操作系统操作系统应用程序应用程序操作系统操作系统应用程序应用程序操作系统操作系统应用程序应用程序HypervisorvSwitch1vSwitch2vSwitch3Tenant A
9、Tenant B混杂端口混杂端口Public Network网络虚拟化的不同范围不同的网络协议层单网络节点虚拟化虚拟交换机多网络节点虚拟化分布式虚拟交换机网络区域虚拟化在局域实现SDN/Openflow大范围网络虚拟化?27包包节点节点域域网络虚拟化-分布式虚拟交换机可扩展到多个物理效劳器,集中管理平面,简化网络管理典型代表:Vmware vDS、Cisco 1KV和Openvswitch存在的问题大二层扁平网络:播送风暴,VLAN局限性虚拟和物理网络隔离问题MAC表爆炸跨子网迁移问题操作系统操作系统应用程序应用程序操作系统操作系统应用程序应用程序操作系统操作系统应用程序应用程序操作系统操作系
10、统应用程序应用程序操作系统操作系统应用程序应用程序操作系统操作系统应用程序应用程序操作系统操作系统应用程序应用程序操作系统操作系统应用程序应用程序操作系统操作系统应用程序应用程序分布式虚拟交换机分布式虚拟交换机虚拟交换机虚拟交换机虚拟交换机虚拟交换机虚拟交换机虚拟交换机分布式虚拟交换机管理中心管理平面数据平面分布式交换机环境下的 署29vDS1vDS2APPOSAPPOSAPPOSTenant A VLAN101public networkESX1ESX2APPOSTenant B VLAN102旁路IDS串行网关旁路IDSSPAN/RSPANSPAN/RSPAN网络虚拟化的不同范围不同的网络
11、协议层单网络节点虚拟化虚拟交换机多网络节点虚拟化分布式虚拟交换机网络区域虚拟化在局域实现SDN/Openflow大范围网络虚拟化?30包包节点节点域域网络虚拟化正在拖云计算后腿任意物理位置任意物理位置计算资源池存储资源池计算和存储虚拟化物理网络虚拟机和客户业务仍然被物理效虚拟机和客户业务仍然被物理效劳器和物理网络拓扑束缚劳器和物理网络拓扑束缚网络设备虚拟化任意应用任意应用/数据数据解耦合虚拟机无法跨网移动,无法高度共享VLAN只能提供有限的租户隔离能力缺乏可编程的灵活网络控制能力网络局部虚拟化导致的问题硬件依赖问题配置虚拟网络需要配置硬件,私有API网络隔离问题MAC表爆炸/虚拟IP不重叠/V
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精选 安全 视角 虚拟 网络 SDN
限制150内