启明星辰潘柱廷：基于秩序的快档和基于知识的深档

　　第四届CSA云安全联盟高峰论坛于11月26日在北京新世纪日航酒店圆满召开!此次大会以“信·用·云”为主题，围绕云计算、云安全等方面的热点话题展开讨论，深入探讨国内外云安全的最新技术、解决方案和研究成果。以下是启明星辰CSO潘柱廷发表主题为《两档网络安全——基于秩序的快档和基于知识的深档》的演讲。

　　潘柱廷：大家好。正是面临这两档的问题，这可能是借助于车的概念，具体说一个是基于秩序的快档，另外一个更深层的档，换一句话说一个是浅，一个是深，这也是最近的体会吧，特别是在云、SDN之后这安全上的启示，这个想法不一定是仅限于这样的安全思路。我讲的这里面的逻辑首先就是怎么样改变网络安全，最后会把安全这个字抛开就是云到底怎么改变了网络，从中找到我们一些值得重新关注的点那就是今天讲的流，再有就是提出所谓两档安全的想法和思路，或者是解决方案，当然这两档，一个是基于秩序一个基于知识的。

　　我们记得2009年的时候安全界的大牛谈到云是安全的恶梦，其实云是安全的恶梦也是因为我们确实在云的环境下确实不知道该怎么干，到现在应该说整体格局还是这样，真的听到最近一年或者是半年在云的具体安全场景或者是安全环境上令人振奋，振动整个行业的突破现在还没有出现，这是云对我们安全来说还是有很大的影响，而且应该可以说对安全这样的担忧也确实大大阻碍了我们的广泛应用。如果没有安全这样的担忧，其实云的应用会更加的突进一点。这也是这一次大会提出来用信，用云的主题，对于云最大的威胁不是攻击，而是我们对云的担忧不敢用云，这是云计算最大的威胁，我们要突破我们自己这样心理障碍，当然也需要我们有一些更具体的，有效的安全手段解决这个担忧。

　　从这也可以看出来我们以前尤其是国内安全厂商比较习惯的安全动作比如说是关于系统的安全产品和一些动作服务，在网络安全边界上防火墙这一类的监测，真正在云里面我们会发现或者是不一样，甚至于是找不到，从系统安全的角度来说这系统确实不一样这是在虚拟化环境中的比如说关于机器的杀毒问题这是跟原来不一样的，还有更讨厌的像原先放防火墙都是放边界上了，这个边界现在真的不好放了一个是不知道在哪，比如说由于机器的迁移问题，说不清这个边界在什么地方，再有就是不好放了，因为你要放一个边界安全产品在一个虚拟机里面，放到这HOST的虚拟环境中，出来这个虚拟机的东西，不管是插件还是模块怎么放这个东西进去，比如说很具体的问题，VEware很多底层的问题，你跟攻击者处于同一个控制层，如果往里面放的时候会受到这个Vmware很多的影响，十年之前研究Windows这直接拿一个机器去研究是不一样的，让整个在所有的网络安全限于一个困局，那云安全会被逼到一个死角，或者是除了认证你也没有什么可干的，因为你的防火墙放哪啊，本来这个Host可以放20台再放7、8台安全设备在里面，这样一个主机所承担虚拟机的数量就会大幅度的减少，还不如就这么着呢。如果安全没有管乐这样解决办法的话会有问题。

　　这里面有网络安全层面上讲就是从不同系统上讲，从网络安全的角度讲，其实归根到底是一个边界问题。边界变得模糊了，边界变得动态了，边界变得找不着了，说不清楚了，因为原先咱们业界7、80%的市场份额都是跟网络安全有关，防火墙等等这些设备其实都是网络安全部署在边界的，所谓网络边界等的动作，那边界现在不清晰了就出问题了，怎么拆解这边界的困境呢，这东西再往回转一转，云带来边界的困局和网络的变化，那就是说云到底怎么改变网络，如果是从NIST关于云的五个特征，其实很根本的就是这些特性怎么改变所谓的网络呢，那网络经常喜欢说云管端，跟网络比较有关应该是可度量的服务是从服务上理解，还有宽带的的接入，比如说按需的自服务，访问变化更多更丰富多彩，这两个来说都带来了共性的要求就是服务资源的高度灵活，这就实现了最终大家是通过集中来实现的，是通过资源集中实现的，这个集中也可能是虚拟的集中，不在这个物理集中范围之内，应该说集中以后再弹性的分配。这种高度的灵活和集中再加上多租户的访问会带来资源结构的超复杂，这就是使得网络边界变得很复杂，所谓达到这种属性，完成这种所谓的弹性和自服务，就造成了网络随着端点的弹性和变化使得网络变得比较复杂，更别说网络里面存在的边界了，云确实是改变了网络。

　　比如说云和虚拟化这两个字有一点分不开了，我们常说服务器和存储、应用虚拟化，网络虚拟化等等，这里面可以看到这些虚拟化分别影响了端和服务器端以及管道里面的东西，这网络虚拟化其实并不是真正的网络虚拟化，我觉得应该是网络结点虚拟化，真正的网络虚拟化应该是SDN是它真正的概念，就是真正把网络结构和底层的物理连接结构做了一个区分，有的人说SDN是网络真正结构虚拟化，这所谓的云和相关的技术确实深刻的改变了网络。那怎么解决安全这样的困局呢?其实要重新回到最简单的问题，什么是网络，在座大家都是做网络安全的，不管是信息安全还是系统安全，这依然会跟网络有密切的关系，那就是在你很懂网络的人问你一个问题什么是网络，在你心目中冒出来的定义和冒出来根本的技术问题是什么?因为说网络安全，说云改变了网络，也改变了网络安全，就问到底什么是网络，对这个问题如果有时间的话大家都自己写一写，分别讲一讲什么是网络，时间关系我把我自己做的作业展现出来。

　　我认为网络其实是这四个问题。当然这不是学术探讨了，我只是说当面对这样的网络和安全相关问题的时候，直接把我们带入了怎么理解网络，一个是网络的静态结构，我们原先传统网络一谈结构就差不多了，现在尤其是在流的问题上，比如说路由问题就是流的问题，这东西从哪到哪，是可能把几个结点连接组合在一起分成几个途径，在SDN交换机里面会有流表，第三个还有是协议和标识，这协议通常是说这个包，这可能是IP包，或者是DSN包，总之这些包就会一层一层的包住，还有一个网络里面传输真正希望传输的内容，就是包里面的内容，这是我最近思考和理解的网络，网络就是把这四件事情可以说清楚。那网络安全其实就是和这四件事情相关的，或者是保障这四件事情的，攻击者就是分别在这四个层次中已经破坏了，在这里面如果稍微用一个形象一点的比喻第一个是静态结构就好象是城市街道或者是铁轨的轨道图，这个流的层面就是哪一次列车，当然如果北京地铁管道和这个流是非常切合的，从整个全国铁路交通说如果把流作为某一次车跟这个铁轨结构还是有很大的区别。那包就像车上载的货物，把这些拆开以后会有一个感觉就是云改变了，什么东西改变了，什么东西没有改变，我自己相对来看云改变了上面两个基本上没有改变下面两个。所谓现在的虚拟化问题，包括分布式计算带来的东西，从网络这四个问题来看改的主要是前两个，改的是静态结构，因为我出来一个虚拟交换机，出来一个新的结点，新的结点当然要产生新的连接，其实静态结构可能会变，再有就是从哪到哪，这一件事情是变了，原来是在物理的网络连接中看待这样从哪到哪，现在在一个虚拟的静态结构中去看从哪到哪，而且从SDN以来动态的改变从哪到哪，这流的变化是比较大的变化。那作为包来说相对来说变化不大，而且其实作为云的提供方来说更希望你作为一个应用，或者是这样的虚拟机来说感受不到你自己外部巨大的变化，就是你作为机器跟外部通讯的时候最好要跟原来一样的协议接口和应用的模式，这云和虚拟化带来向上的服务是力求下面两个是不变的。

　　如果基于这样的认识，我们发现针对这样新环境的网络安全解决方案，把很多在下两层不变的东西和上两层变的东西揉在一起，我们认为这种变和不变是基本的，我们就要寻求去适应这种变化，而不让这些变化和不变的相互交织在一起，比如网端的部署问题，比如说基于内容过滤问题，但是对于下面这病毒解析其实是可以跟上面两层问题切割的，你最后到机器里面这个包和你从物理网络里面抓的包和虚拟环境抓的包在分析的时候其实是一样的，这时候把一个原先比较占用计算资源不变的时候到虚拟化环境里面占用那么资源这是值得反思和探讨的问题。

　　基于这样的认识其实借用上面两层主要的代表就是流，和具有下面两层的代表包，拆分成两个问题，一个是流安全问题，一个是包安全问题，这个词汇并不是很严格的学术技术分类，我只是做了这样上下游的拆分，更多安全来说上面的问题是一个结论的问题，是一个结构性的问题，下面可能是内容的问题。

　　基于这样的拆分思想，就有一种豁然开朗的感觉，其实这道理很简单，如果你往这想的话把这个多层次的东西一拆，什么是流的问题，什么是包的问题，比如说软件定义虚拟网络安全检测边界，这个词比较长啊，就是说我们做检测都需要有一个边界，由于虚拟化环境以后这个边界还是可以定义的，在虚拟化环境下的旁路检测，边界的根本问题是什么问题呢，是一个静态结构的问题，谈一个相对来说容易的事情就是流，用流的事情来代替静态结构中的边界问题，我A和B之间要进行一个通讯，静态结构上可能是会通过不同的结构来实现，甚至是B的迁移会导致变化，但是A和B之间要建立一个流这是需要的访问关系，必须要有这个流存在，这流是我们可以回避复杂机构的问题。这样的思想就会有更加简单的解决方案，在一个虚拟化环境里面我们要解决内在信道问题，在一个主机里面虚拟机A和B之间的流量怎么样监控问题，这是外面的检测产品看不到的，必须进入到里面去，那虚拟机的位置会导致这个监控和跟踪消失，还有链路的流量混杂，有很多机器放到外面了，只看到外面的接口，里面十几台的机器都在里面你都看不到，这是非常复杂的A到B的流量从内部这繁简程度是不一样的。在虚拟机环境里面端口镜像负载过大，这是虚拟化环境里面网络检测遇到的困难，解决它其实就是把里面的流量导出来，把虚拟化环境里面需要监控的流量导出来，导出来为了提高性能，比如说通过硬件的组织但是从整个逻辑结构来说就是把某两段的流量导出来，汇集到外面，外面用硬件设备来对它检测。

　　当然这里面从具体的方式，虚拟机还有调度管理的过程，经过里面虚拟交换机以后会从哪一块导到哪一块，这从具体技术来说并没有特别的要求。在这实现里面隐含了这样的概念，就是边界里面虚拟化的网络链接存在的边界不是真正的边界，这真正的边界是几个机器虚拟的链接，就是对这样监控管理你要有清晰的边界的概念，这里面就会有一个原先在物理网络环境里面域的概念，安全域的概念，这树型关系为主，但是加入到虚拟化环境，业务需要和来回迁移，这域是相互交叉重叠的，这是将来不得不面临的管理。

　　简单说解决方案其实就是我把一个网络流的探针部署到这个虚拟化环境里面，通过技术手段，当然在尽量保持性能的前提下把流量导出来，导出来以后放到外部的可能是物理流也可能是在另外一个虚拟化环境里面的计算设备去做这样一些深度的检测，其实就是把流的问题跟包的问题区隔开。就像SDN的分层一样，这也会分成网络流的操控层和数据分析层，还有上面的策略管配层。

　　那流量操控这几个主机里面有可能是在同一个域，有可能不是，你需要把这些细小的流量导出来分流以后，分别导出来，并且根据它的策略就是再重新去捕获，这时候从后面的检测设备针对不同的域这是一个管理过程，这些环节都是做流安全的事情，你把什么东西导在哪里，其实导到那个检测设备你去涉及到某一个检测，这右边的检测设备可能是网络审计产品，也可能是一些VMware的深度检测那你只需要做这样的导入。

　　看这样的图对比大家会有什么样的感觉，其实这一张图是整个思路里面最核心的，这导流过程就是云安全，包安全扔这到几个安全设备里面，问一个问题北京四环路双向4车道，加在一块是8车道，五环是双向6车道，如果问大家你觉得四环路如果变成一个8车道，四环路是应该更堵还是拥堵大大的缓解呢，如果四环路变成单向8车道，双向16车道，四环路是更堵更是会更好，我个人认为四环路会更堵，再也不敢上四环了，车道是什么意思呢，所谓的单向4车道，4车道意思就是在这个4车道之间可以基于这样规则的允许我就看不的前面的慢车堵在我前面，我就得超过他，我只要一进入这个主道一定会更快的行走，你会看到这所有的车都堵在四环路和京承高速的交叉口，因为有更多的口要并进来出不去，更好的一个解决拥堵办法，如果变成路很窄，单车道或者是单项双车道，上海的高架桥的入口和出口离的比较远，大家可以看到北京的四环路的出口和入口离的非常近，所以这会相互的堵，如果四环路入口和出口离的比较远可能会好一点。这就是指秩序，我认为这是流安全和包安全分了以后，当你面对流的时候你去梳理它，分流聚合去引导它的时候你脑子里面应该挂的主要思想就是秩序，你要让这个流以更秩序的方式去流动。这是流安全基于秩序的层面。

　　换另外一个解决方案的一个例子，我们经常碰到一个企业里面的互联网大边界，其实综合流量里面有WEB访问，还有邮件的，还有P2P的视频等等，在这样流量很复杂的里面你为了保证这个流量的安全，经常我们会遇到糖葫芦串的问题，这里面可能需要有上网行为管理，因为这流量什么都有，你把这些东西都串成一个串，他也是在软件里面变成了串，这是单点故障包括安全功能和设备性能之间的矛盾就会凸现，那怎么去解决这个问题呢，借用刚才谈到你把流的问题和包的问题拆开是不是就可以了。如果能有一个比较快速关于流分减的设备，就是把流从内到外上网的流量给单独导入，应该有上网行为管理，如果是有内到外的WEB访问可以过防火墙，过IPS，如果是一个邮件，那我让它做邮件的途径可以走病毒检查，还有包解析，比如说虚拟机执行做这个附件检查，其实这包从哪来到哪去通过什么协议做快速的分解，这一定是快速的分解之后再去做慢速的查，你可以在一个关口位置把一个糖葫芦串变成一个链，就是好几个串。

　　流安全问题是基于良好秩序的原则，而包的问题是你做成深度检测，做成一个比较深度的检测甚至是一个虚拟机的慢速执行都可以，这个邮件我们可以忍受慢速版一分钟收到一个邮件是没有什么可抱怨的但是WEB的访问你要有一分钟可能不能接受，这拆分出来的流安全问题和包安全问题，这一个是快速问题，一个是满素问题，一个是浅度分解，一个是深度分析。

　　归结起来这两档，一个是快速的流安全，深度的包安全，在这处理对象是不一样的，一个是针对流，一个是针对包，速度上是快和慢，深度上由浅到深，刚才谈到两个例子就是应用的虚拟网络安全的边界就可以看到很好做出这样的拆分，可以解决原先感觉交织在一起比较复杂的问题，其实很多安全也都是有类似的思路，有的是倒流分流路由设备分配，还有流量清洗，如果我们认为这样一个解释是不是认同对网络这样的看法，如果我们认为你这么去看网络是有道理的，那么我横着一刀这是有价值的，有用的。这是两档网络安全，希望这样简单的想法可以能够为我们去解决这云环境和虚拟化环境中安全可以带来一些不一样解决方案和不一样的措施，最终大家的目的是一样的，就是对云更有系统，对IT系统更有信心。谢谢!

(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。