2016年10月22日,一場突如其來的DDoS攻擊,使得美國半個互聯網癱瘓,對互聯網基礎設施帶來了災難性的后果,再一次向人們敲響了警鐘,在萬物日趨互聯的云時代,網絡安全更加不容小覷!目前的技術能力無法做到預防攻擊,也做不到檢測所有攻擊,因此我們的安全目標要聚焦在如何容忍安全攻擊(Intrusion Tolerance),在全網遭受大規模攻擊情況下,互聯網仍然能夠提供基礎服務。什么是“容忍安全”?讓我們來一探究竟。
網絡業務云化給安全帶來新的挑戰
OTT(Over The Top)業務向電信業務的侵蝕,使得運營商面臨巨大的競爭壓力,迫切需要面向云化轉型以開辟新的市場。同時,隨著大數據、云計算、5G技術的興起,海量終端對網絡的智能化、敏捷化、開放性也提出了新的訴求。新市場和新技術的發展,對運營商的網絡安全也帶來了新的挑戰。主要表現在:
封閉體系向開放體系轉型,安全邊界模糊化
傳統電信業務,所有組件都由廠商自定義,并提供所有的組件,安全漏洞和風險相對擴散的范圍有限;網絡拓撲封閉,邊界非常清晰;電信業務僅供運營商內部調用,不對外提供定制化的業務。而云化場景下,組件將會由很多廠商和組織共同交付,使得整合第三方組件成為必然的主流選擇,安全漏洞和風險變得無法預測,組件安全質量良莠不齊導致堡壘從內部被攻破的風險大大增加;電信業務全面遷移到云計算中心,不再通過清晰的安全邊界來隔離和保護業務;電信業務會越來越開放,包括數據的開放、業務的開放都使得業務和物理接口誤用、濫用的風險大增。
慢節奏的交付向敏捷交付轉型,影響版本安全質量
傳統電信業務普遍遵循產品開發的瀑布模型(通過設計一系列階段順序展開,每個階段都會產生循環反饋),通常按照一年2個版本的交付節奏。然而,這種交付已經難以滿足云時代業務快速創新的需求。敏捷交付成為必然選擇,每三個月甚至每個月就要出版本,這就增大了安全的風險,大量組件難以獲得全面的測試和驗證,只能在運營過程中發現漏洞,修復漏洞。
管理運營細粒度,故障定位、定界困難
傳統電信業務可以通過清晰的層級模型,來定義從上到下、從大到小的模型架構,比如骨干、城域、接入等網絡層次清晰,從而安全界定責任主體、位置清晰。云化業務后,運營管理的顆粒度更細,需要管理運營的實體數量(比如VM、海量物聯網終端)呈指數級上升。如何快速的發現問題,快速解決問題,規避安全攻擊,都給安全帶來了巨大挑戰。就像開篇提到的這次黑客攻擊,就是黑客入侵并操控了數以百萬計的攝像是等物聯網終端,并組成僵尸網絡發起攻擊。
安全網絡亟需演進以適應云時代轉變
從上面我們要以看出,業務步入云時代,網絡安全也要隨之進步。我們認為,網絡安全解決方案要從1.0時代步入2.0及3.0。
網絡安全解決方案1.0
主要面對傳統的電信業,由于系統是由一個一個的信息孤島構成,因此,安全的主要目的是圍繞如何減少系統漏洞,通過劃定安全邊界,做好系統隔離,加強認證鑒權控制,從而防止攻擊的發生來進行。通常我們認為,在云計算之前的時代都屬于以“保護”為目的的安全1.0時代。
網絡安全解決方案2.0
在2.0時代,這個時代的代表技術就是威脅情報和安全態勢感知,整個云計算流行的時代都可以認為是安全2.0時代。由于系統變得異常復雜,攻擊手段層出不窮,安全保護也防不勝防。此時,核心的思想是以恢復技術為后盾,融合了保護、檢測、響應、恢復四大技術,讓攻擊事件能夠及時被發現。
網絡安全解決方案3.0
網絡安全3.0時代,也就是所謂“安全生存技術”時代,就是系統在攻擊、故障和意外事故已發生的情況下,業務仍然具備能夠提供服務的能力,能夠利用“容忍”技術來解決關鍵系統的“生存”問題。在這個階段,安全技術借鑒了拜占庭容錯技術(Byzantine Fault tolerant),演化成拜占庭入侵容忍(Byzantine Intrusion tolerant)安全架構。這是基于所有網絡節點都不可靠的假設,但要達到最初設定的目標的技術設計。同時,伴隨著SDN技術的興起,為入侵容忍的安全生存提供了強大的技術支撐。在電信業務云化場景下,由于海量的開源和第三方組件被采用,這些組件必然存在大量的缺陷和漏洞,單個或者少數幾個廠商也不可能全部消除這些缺陷。在云環境部署,攻擊者的方法千差萬別,任何組件都有可能成為侵入的突破口。任何組件都不能把自己的安全性建立在別人安全的假設之上。
理解拜占庭容錯技術,有助于我們理解為什么拜占庭入侵容忍安全架構適合解決云時代的安全問題。其核心描述是拜占庭軍中可能有叛徒,卻要保證進攻一致,由此引申到計算領域,發展成了一種容錯理論。“拜占庭假設是對現實世界的模型化,由于硬件錯誤、網絡擁塞或斷開以及遭到惡意攻擊,計算機和網絡可能出現不可預料的行為。拜占庭容錯協議必須處理這些失效,并且這些協議還要滿足所要解決問題要求的規范。”
因此,安全解決方案3.0正好契合了電信云化的場景,非常符合其業務特征,是解決電信業務云化的安全風險的鑰匙。
用SDN+大數據+人工智能來建設拜占庭入侵容忍架構
在安全3.0的拜占庭入侵容忍安全架構中,大數據結合人工智能技術,能夠智能的感知網絡安全的態勢,及時發現安全攻擊,讓整個云計算環境的安全事件透明可視。而SDN為入侵容忍提供了最完美的解決方案,SDN站在全局視角,統籌調配資源,及時部署策略,阻斷攻擊者與受害者的路徑,引導受害者躲進安全加固的保護環境,從而保證了即使攻擊發生,系統仍然能夠生存,業務不會受損。
核心的解決思路就是,對于特征明顯的攻擊流量(通常是具體的協議類型、端口號、IP地址固定等,這種攻擊占據了DDoS攻擊流量的絕大多數),由SDN下發策略給網絡設備(路由器、交換機)直接掐斷;特征不明顯的慢速攻擊(通常是應用層例如HTTP), 借助基于7層協議分析的專業清洗設備掐斷。
在這個體系架構下,核心的大數據+人工智能安全攻擊檢測將全網的數據匯聚在一起,完成了安全態勢的感知,及時發現攻擊的來源和目標。在SDN控制器、微服務治理中心的聯合協同工作下,能夠及時的響應攻擊,從而完成了業務無損運作。
拜占庭入侵容忍在華為Anti-DDoS方案收益顯著
華為一直致力于為全球2/3的人口提供網絡通信服務,安全是整個網絡建設最重要的核心目標。圍繞著如何提供更加安全的解決方案,華為持續積累,Anti-DDoS方案也歷經了從1.0到3.0的演變。
在網絡安全1.0時代,華為提供了最強的DDoS防護設備,解決了在網絡邊界、入口、關鍵鏈路上的安全防護問題。在2.0時代,華為借助了大數據、人工智能技術,實現了在運營商層面的網絡協同。隨著安全攻擊的國際化,華為的解決方案也在朝著3.0邁進,借助于SDN技術,通過運營商間的協同工作,來解決全網范圍內的防攻擊。
對比安全3.0的關鍵假設,我們可以看出,在新的安全架構下,假設攻擊總是無處不在,任何一個網絡都有可能被攻擊,或者發起攻擊,所以我們不會企圖部署很多單點防護設備,而是讓SDN控制器來協調全網防攻擊行為。SDN生成的防攻擊策略是全自動的,無需人為干預,效率大幅提升。由于任何網元設備都會參與到安全防攻擊策略的部署,因此,哪怕某些網絡或者網元被攻陷了,但是整個網絡還是健康的。
借助于安全3.0架構,真正實現了全程全網的協同,達到了拜占庭入侵容忍系統的關鍵假設,那就是無論遇到什么樣的攻擊,整個網絡不會徹底癱瘓。
由于摒棄了昂貴的DDoS網關型設備,而是采取網元采集數據+網元執行90%清洗任務+專業設備清洗10%清洗任務這種輕量級的方案,解決方案CAPEX比之前的安全1.0時代降低10倍以上;由于采取了全自動的安全策略編排與協同,OPEX也得到了巨大的節省。
京公網安備 11010502049343號