本PPT是電子工業出版社出版的教材《計算機網絡安全原理》配套教學PPT（部分內容的深度和廣度在教材的基礎上有所擴展），作者：吳禮發本PPT可能直接或間接采用了網上資源、公開學術報告中的部分PPT頁面、圖片、文字，引用時我們力求在該PPT的備注欄或標題欄中注明出處，如果有疏漏之處，敬請諒解。同時對被引用資源或報告的作者表示誠摯的謝意！本PPT可免費使用、修改，使用時請保留此頁。聲明第十五章網絡安全新技術內容提綱零信任安全2移動目標防御3網絡空間擬態防御4SDN安全1問題分析現有網絡存在的問題：互聯網流量急劇上升，對電信運營商提出了巨大挑戰。為滿足不斷增長變化的用戶需求，虛擬化與大數據等新型應用技術在網絡服務器上進行越來越多的網絡配置和數據傳輸等操作，傳統網絡的層次結構和封閉的網絡設備已經不能夠滿足其日益增長的高可靠性、靈活性和擴展性方面的需求SDN的提出斯坦福大學的CleanSlate研究組于2006年提出了“軟件定義網絡（Software-DefinedNetwork,SDN）”這一新型網絡創新架構核心思想：將傳統網絡中的網絡管理控制從網絡數據轉發層中分離出來，即將控制平面和數據平面分離，用集中統一的軟件管理底層硬件，讓網絡交換設備成為單一的數據轉發設備，控制則由邏輯上的集中控制器完成，實現網絡管理控制的邏輯中心化和可編程化。軟件定義網絡SDN架構包含應用層、控制層和數據層三個層次SDN體系結構業務應用SDN控制軟件/網絡服務網絡設備應用層控制層數據層北向接口（應用程序編程接口）南向接口（控制數據平面接口）網絡設備網絡設備ONFSDN架構NFV體系結構虛擬網絡功能1虛擬網絡功能2虛擬網絡功能n…虛擬網絡功能（VNF）虛擬計算虛擬存儲虛擬網絡NFV基礎設施（NFVI）計算硬件存儲硬件網絡硬件虛擬化層編排工具虛擬網絡功能管理虛擬基礎設施管理NFV管理與編排OpenFlow作為ONF推出的SDN南向接口上控制器與數據層中的交換機之間的通信協議，已成為事實上的標準OpenFlowOpenFlow交換機進行數據轉發的依據是流表（FlowTable）每個流表項都由3部分組成：用于數據包匹配的包頭域（HeaderFields），用于統計匹配數據包個數的計數器（Counters），用于展示匹配的數據包如何處理的操作（Actions）操作：必備：轉發（forward）、丟棄（drop），可選：排隊（enqueue）、修改域（modifyfield）OpenFlow控制器與交換機之間建立TLS連接的基本工作過程，OpenFlow1.3將TLS設置為可選擇項，增加了SDN的安全風險OpenFlow應用層安全威脅來自于兩個方面：惡意應用造成的威脅，普通應用相互干擾或是運行出錯等原因造成的威脅包括：各類SDN應用程序的惡意代碼威脅；SDN應用程序自身漏洞（BUG）及配置缺陷威脅；SDN應用程序受到外部惡意攻擊威脅；SDN應用程序角色認證及訪問權限威脅等SDN安全-應用層安全SDN惡意應用程序攻擊場景示例SDN安全-應用層安全SDN應用程序配置沖突示例SDN安全-應用層安全北向接口安全問題與應用層安全問題具有一定相似性，主要集中在非法訪問權限、身份授權認證、數據泄露、數據篡改及程序漏洞等SDN安全-北向接口安全控制器是核心，安全非常重要控制器面臨的安全威脅主要包括拒絕服務攻擊和非法接入等SDN安全-控制層安全OpenFlow協議中可能涉及的安全問題包括：控制器與交換機之間缺少數據加密措施控制器與交換機通信缺乏認證機制主要原因：考慮到性能，沒有啟用TLSSDN安全-南向接口安全數據層安全威脅，主要存在于數據層交換設備上。與傳統設備類似，數據層交換設備的安全問題并非SDN特有，主要的安全威脅有拒絕服務攻擊、非法設備接入和病毒感染傳播SDN安全-數據層安全SDN安全研究表中A、N、C、S、D分別表示應用層、北向接口、控制層、南向接口和數據層SDN安全研究內容提綱零信任安全2移動目標防御3網絡空間擬態防御4SDN安全1邊界防護邊界防護邊界防護問題：邊界防護建立在“網絡內部的系統和網絡流量是可信的”這一假設上，缺乏網絡內部的流量檢查。新的網絡應用和計算模式，如云計算、移動設備、物聯網，已無法滿足“網絡有明確的邊界”這一條件，使得傳統的、基于網絡邊界的安全防護模式逐漸失去了防護能力。分區部署使得主機部署缺乏物理及邏輯上的靈活性。邊界防護設備一旦被突破，整個網絡處于危險之中。邊界防護突破邊界不可避免在KillChain攻擊框架發布近10年后，ATT&CK框架進一步豐富了攻擊分析和場景，包含了黑客滲透過程中利用具體的各種技術。在這些攻擊技術和手段面前，傳統的安全設備堆疊已經失守，如各種Webshell的混淆、加密流量、社會工程對于終端的滲透，基本都可以穿透所有的傳統安全產品下堆疊出的安全架構和系統邊界防護突破邊界不可避免，且難以發現FireEye的M-Trends2020Reports中，發現攻擊者隱藏或者駐留時間的中位數為56天。近幾年的威脅檢測時間都在不斷縮短，主要是由于對于內部威脅發現較早，極大減少了中位數，但外部威脅的駐留時間還有141天，近5個月之久邊界防護邊界防護“零信任（ZeroTrust）”這一術語是指一種不斷發展的網絡安全范式（paradigm），它將防御從靜態的、基于網絡邊界的防護轉移到關注用戶、資產和資源。由JonKindervag在Forrester的一次報告中提出零信任假定不存在僅僅基于物理或網絡位置（即局域網與互聯網）就授予資產或用戶賬戶的隱含信任（ImplicitTrust）。零信任零信任的理解“零信任”不是“不信任”，也不是“默認不信任”，更接近的說法是“從零開始建立信任”。“零信任”中的“零”是“盡可能小”的意思，而非“無或沒有”之類的絕對概念。不是“先驗證，然后信任”，而是“永遠不要信任，永遠要驗證”零信任零信任的理解零信任零信任的理解NIST在2019年9月發布的“零信任架構（ZeroTrustArchitecture,ZTA）”標準草案中，將“零信任”解釋為“零隱含信任（ZeroImpliedTrust）”零信任零信任2020年NIST.SP.800-207-draft2零信任安全有5個基本假定：網絡無時無刻不處于危險的環境中。網絡中自始至終存在外部或內部威脅。網絡的位置不足以決定網絡的可信程度。“可信”內網中的主機面臨的安全威脅與互聯網上的主機別無二致。所有設備、用戶和網絡流量都應當經過認證和授權。安全策略必須是動態的，并基于盡可能多的數據源計算而來。零信任零信任架構美國國家標準和技術研究所（NIST）在2019年9月發布了“零信任架構（ZeroTrustArchitecture）”標準草案（NIST.SP.800-207-draft），并于2020年2月發布了修訂版NIST.SP.800-207-draft2美軍方是重要推手：美國國防信息系統局（DISA）和國防部（DoD）公布的“BlackCore（黑核）”項目背景討論NIST零信任架構基本原則或宗旨（tenets）所有數據源和計算服務都被視為資源無論網絡位置如何，所有通信都應是安全的對單個企業資源的訪問是基于每個連接進行授權的對資源的訪問由策略決定，包括客戶身份、應用和請求資產的可觀察狀態，也可能包括其他行為屬性NIST零信任架構基本原則或宗旨（tenets）企業確保所有自己擁有的和相關聯的系統處于盡可能最安全的狀態，并監視系統以確保它們保持盡可能最安全的狀態在允許訪問之前，所有資源的身份認證和授權都是動態的，并且必須嚴格地實施企業盡可能收集有關網絡基礎架構和通信的狀態信息，并利用這些信息改善其安全形勢（posture）NIST零信任架構ZTA（零信任架構）高層級架構NIST零信任架構ZTA架構中的核心邏輯組件NIST零信任架構ZTA邏輯組件使用單獨的控制平面進行通信，而應用數據在數據平面上進行通信NIST零信任架構策略判定點（PDP）被分解為兩個邏輯組件：策略引擎（PE）和策略管理器（PA）。PE負責最終決定是否授予訪問主體對資源（客體）的訪問權限PA負責建立或關閉主體與資源之間的連接（是邏輯連接，而非物理連接）核心部件策略執行點（PEP）負責啟用、監視并最終終止主體和企業資源之間的連接。PEP是ZTA中的單個邏輯組件，但也可能分為兩個不同的組件：客戶端（例如，用戶便攜式電腦上的代理）和資源端（例如，在資源之前控制訪問的網關組件）或充當連接門衛（gatekeeper）的單個門戶組件。在PEP之外是前面介紹的托管企業資源的隱含信任區域核心部件持續診斷和緩解（CDM）系統收集企業資產（assets）的狀態信息，并負責對配置和軟件組件進行更新或升級行業合規系統（ICS）確保企業遵守與其相關的任何監管制度（如FISMA，健康或財經行業信息安全要求等）其它組件威脅情報源（TIF）提供內部或外部來源的安全情報，幫助策略引擎做出訪問決策數據訪問策略（DAP）一組有關訪問企業資源的屬性、規則和策略。這組規則可以在策略引擎中編碼，也可以由PE動態生成）其它組件企業公鑰基礎設施（PKI）企業PKI負責生成由企業頒發給資源、參與者和應用程序的證書，并將其記錄在案身份管理系統（IDMS）負責創建、存儲和管理企業用戶賬戶和身份記錄，包含必要的用戶信息。該系統通常利用其他系統（如PKI）來處理與用戶賬戶相關聯的工件其它組件網絡和系統活動日志（NSAL）系統聚合了資產日志、網絡流量、資源訪問操作和其他事件。這些事件提供關于企業信息系統安全態勢的實時（或接近實時）反饋安全信息和事件管理（SIEM）系統收集以安全為中心的信息以供后續分析。分析結果將用于完善安全策略，并預警對企業資產發起的可能攻擊其它組件基于設備代理/網關的部署模型NIST零信任架構飛地部署模型NIST零信任架構基于資源門戶的部署模型NIST零信任架構設備應用沙箱模型NIST零信任架構動態評估信任等級ZTA中，不再給網絡參與者定義和分配基于二元決策的策略，而是持續監視參與者的網絡活動，并據此持續更新其信任評分，然后使用這個評分作為授權策略判定的依據之一。客戶端以不可信的方式開始訪問會話請求，并在訪問過程中通過各種機制不斷積累信任，直到積累的信任足夠獲得系統的訪問權限。信任算法基于屬性的動態權限控制信任算法從繼承和演進的角度看，零信任的核心之意是精細化和動態化。即將過去的相對粗顆粒度的、靜態的防御機制，從最早的網絡級，到后來的子網級或業務網絡級，然后再到應用級，再到應用中的操作級，再往后到達數據級。這個發展的過程，就是一個越來越細粒度、越來越動態的過程，而且要以信任體系為支撐零信任-進一步討論現代企業環境正在不可避免地向云環境遷移，而零信任的特性非常適合云環境部署。零信任關于網絡不可信、不受控的假設，特別適合云基礎設施。特別是在使用商業云時，如果云基礎設施本身受到威脅，則零信任架構可提供保護，避免敵手在我們的虛擬網絡中扎根零信任-進一步討論為配合NIST之前發布的《零信任架構》標準草案，NIST下屬單位NCCoE于2020年3月發布了《實現零信任架構》（草案）項目說明書，征求公開評論。該項目說明書瞄準的是零信任架構的落地實踐，期望實現安全性與用戶體驗的兼得。零信任-進一步討論奇安信零信任架構奇安信零信任架構核心架構組件奇安信零信任架構產品解決方案奇安信零信任架構解決方案與參考架構的關系美軍聯合信息環境（JIE）架構美國國防信息系統局技術路線圖身份和訪問管理（IdAM）IdAM的目標狀態是實現動態訪問控制美DoD的安全配置管理SCM零信任與VPN應用場景場景1：員工訪問公司資源。員工希望從任何工作地點輕松、安全地訪問公司資源。此場景將演示一種特定的用戶體驗，其中員工嘗試使用企業管理的設備訪問企業服務，如企業內部網、考勤系統和其他人力資源系統。該資源的相關訪問請求將由本項目中實現的ZTA解決方案動態和實時地提供零信任實踐應用場景場景2：員工訪問互聯網資源。員工正在嘗試訪問公共internet以完成某些任務。此場景將演示一種特定的用戶體驗，其中員工嘗試使用企業管理的設備在internet上訪問基于web的服務。雖然基于web的服務不是由企業擁有和管理的，但是該項目中實現的ZTA解決方案仍然會動態和實時地提供對該資源的相關訪問請求。該解決方案將允許員工在任何位置訪問，也就是說，員工可以使用企業管理設備在企業內部網、分支辦公室或公共互聯網內連接時訪問互聯網零信任實踐應用場景場景3：承包商訪問公司和互聯網資源。承包商試圖訪問某些公司資源和互聯網。此場景將演示一個特定的用戶體驗，其中受雇提供特定服務的承包商，試圖訪問某些公司資源和internet以執行組織的計劃服務。公司資源可以是本地或云中的，承包商將能夠在本地或從公共互聯網訪問公司資源。承包商試圖訪問的資源的相關網絡訪問請求，將由本項目中實施的ZTA解決方案動態和實時地提供。零信任實踐應用場景場景4：企業內的服務器間通信。企業服務通常有不同的服務器相互通信。例如，web服務器與應用服務器通信。應用服務器與數據庫通信以將數據檢索回web服務器。此場景將演示企業內服務器間交互的示例，其中包括場內、云中或在本地和云中服務器之間的服務器。本項目中實施的ZTA解決方案，將動態和實時地提供相互交互的指定服務器之間的關聯網絡通信。零信任實踐應用場景場景5：與業務伙伴的跨企業協作。兩個企業可以在資源共享的項目上協作。在這種情況下，本項目中實現的ZTA解決方案將使一個企業的用戶能夠安全地訪問另一個企業的特定資源，反之亦然。例如，企業A用戶將能夠從企業B訪問特定的應用程序，而企業B用戶將能夠從企業A訪問特定的數據庫。零信任實踐應用場景場景6：利用公司資源建立信心水平。企業有監控系統、安全信息和事件管理（SIEM）系統以及其他資源，這些資源可以向策略引擎提供數據，從而為訪問企業資源創建更細粒度的信任級別，并促進基于信任級別的嚴格訪問。在這種情況下，ZTA解決方案將這些監控和SIEM系統與策略引擎集成，以生成更精確的置信水平計算。零信任實踐零信任實踐五個步驟零信任實踐五個步驟零信任實踐五個步驟零信任實踐典型場景零信任實踐零信任廠商Forrester2019年四季度市場報告零信任廠商2020奇安信-Gartner零信任白皮書零信任廠商經過近十年的內部實踐，2020年4月Google的BeyondCorp終于正式對外開放使用短期來看，企業部署零信任架構面臨的困難依然較多，特別是在已有的網絡中實現零信任建立8種數據源并非易事對企業業務的深度了解管理成本和建設成本較高零信任架構部署小結內容提綱零信任安全2移動目標防御3網絡空間擬態防御4SDN安全1網絡系統的靜態性、確定性和同構性，使得在網絡攻防博弈中攻擊者往往是優勢的一方，網絡安全存在“易攻難守”的局面問題分析這種被動劣勢無法依靠現有防御方法來彌補，主要表現在以下4個方面：由于人的認知有限性，常用的代碼檢查機制或漏洞挖掘方法難以保證發現、排除所有的漏洞或者后門補丁下發通常明顯滯后于攻擊者對安全漏洞的利用，這一時間差為網絡攻擊提供了生存空間攻擊特征不斷地在快速變化未知攻擊檢測還沒有有效解決方案問題分析移動目標防御（MovingTargetDefense,MTD）2010年5月，美國網絡與信息技術研發計劃（NITRD）發布了《網絡安全游戲規則的研究與發展建議》，2011年12月美國國家科學技術委員會（NSTC）發布了《可信網絡空間：聯邦網絡空間安全研發戰略規劃》含義：移動目標是可在多個維度上移動降低攻擊優勢并增加彈性的系統MTD移動目標防御（MovingTargetDefense,MTD）移動目標防御則是指防御者從多個系統維度持續地變換系統中的各種屬性，從而增加攻擊者的不確定性、復雜性和不可預測性，減小攻擊者的機會窗口，并增加攻擊者探測和攻擊的成本MTD移動目標防御（MovingTargetDefense,MTD）除了移動目標和移動目標防御外，MTD還涉及另外兩個重要概念：攻擊面（AttackSurface,AS）和攻擊面變換（AttackSurfaceShifting,ASS）MTD攻擊面攻擊面變換MTD攻擊面Lincoln實驗室MTD關鍵技術蔡桂林等人MTD關鍵技術CCS2014MTDWorkshop基于SDN的MTD基于SDN的MTD基于SDN的MTD內容提綱零信任安全2移動目標防御3網絡空間擬態防御4SDN安全1網絡空間擬態防御（CyberMimicDef