云數(shù)據(jù)中心利用虛擬化技術(shù)，使得資源利用率得到大幅提升，但同時(shí)也造成了網(wǎng)絡(luò)環(huán)境的復(fù)雜化。一套物理網(wǎng)絡(luò)承載著所有租戶的流量，租戶的業(yè)務(wù)多種多樣，租戶自身行為和網(wǎng)絡(luò)特性也迥然有異，過(guò)硬的云端安全監(jiān)控和防護(hù)刻不容緩。

綠盟科技的SDN云安全方案包括兩個(gè)方向：SDN與云環(huán)境下WEB安全防護(hù)和基于流量的威脅情報(bào)分析。云杉網(wǎng)絡(luò)2Cloud云平臺(tái)以WAF服務(wù)和監(jiān)控統(tǒng)計(jì)功能，為用戶云端業(yè)務(wù)提供安全保障。

WEB安全防護(hù)，包含多層次可定制的防護(hù)手段，可提供系統(tǒng)監(jiān)控、安全管理、日志報(bào)表以及系統(tǒng)管理功能，能夠在SDN的網(wǎng)絡(luò)應(yīng)用環(huán)境中通過(guò)開(kāi)放接口和SDN平臺(tái)進(jìn)行交互，給用戶提供攻防對(duì)抗的核心能力。同時(shí)，云安全運(yùn)營(yíng)中心提供規(guī)則升級(jí)、代維服務(wù)和聯(lián)合防護(hù)API，集云端智慧，助力WEB安全防護(hù)。
 

基于流量的威脅情報(bào)分析，可通過(guò)網(wǎng)絡(luò)可視化帶動(dòng)深度態(tài)勢(shì)感知，所見(jiàn)即所得，讓用戶能夠直觀感受網(wǎng)絡(luò)的使用狀況和異常安全事件的整體態(tài)勢(shì);其次，根據(jù)用戶的網(wǎng)絡(luò)應(yīng)用環(huán)境主動(dòng)式地自適應(yīng)異常檢測(cè)，結(jié)合業(yè)務(wù)和安全運(yùn)維，發(fā)現(xiàn)未知安全威脅和非常規(guī)行為;同時(shí)，通過(guò)大數(shù)據(jù)分析平臺(tái)，對(duì)全局?jǐn)?shù)據(jù)流進(jìn)行實(shí)時(shí)檢測(cè)和大周期地回溯分析，為安全或運(yùn)維人員提供實(shí)時(shí)流與歷史數(shù)據(jù)的多維度審視功能，加速安全事件的應(yīng)急響應(yīng)，提升整體運(yùn)維能力。
 

基于流量的威脅情報(bào)分析是以網(wǎng)絡(luò)流量為基礎(chǔ)，因此，獲得實(shí)時(shí)、豐富和準(zhǔn)確的流量統(tǒng)計(jì)至關(guān)重要。云杉網(wǎng)絡(luò)的深度流探測(cè)(DFI®, Deep Flow Inspection)技術(shù)，應(yīng)用于復(fù)雜的云環(huán)境中，實(shí)現(xiàn)全方位和細(xì)粒度的網(wǎng)絡(luò)監(jiān)控。

DFI運(yùn)行于虛擬交換機(jī)內(nèi)核層面，能夠高效無(wú)損地統(tǒng)計(jì)租戶的公網(wǎng)流量和私有網(wǎng)絡(luò)流量。基于統(tǒng)計(jì)數(shù)據(jù)，上層應(yīng)用利用大數(shù)據(jù)流式計(jì)算技術(shù)，實(shí)時(shí)繪制出租戶業(yè)務(wù)的當(dāng)前狀態(tài)，并基于歷史記錄給出業(yè)務(wù)報(bào)表。相比其他網(wǎng)絡(luò)探針，DFI技術(shù)直接在虛擬機(jī)出口進(jìn)行統(tǒng)計(jì)，租戶的所有內(nèi)網(wǎng)流量也能納入分析，從而能細(xì)粒度展現(xiàn)租戶私有網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)狀況，例如及時(shí)發(fā)現(xiàn)熱點(diǎn)鏈路，分析熱點(diǎn)業(yè)務(wù)的網(wǎng)絡(luò)特性等。
 

基于DFI技術(shù)的典型應(yīng)用包括：對(duì)租戶的公網(wǎng)流量進(jìn)行業(yè)務(wù)層面的分析，展現(xiàn)業(yè)務(wù)的帶寬消耗、時(shí)延、時(shí)頻和熱點(diǎn)等特性。如下圖所示，用戶可查看到按年、按月或?qū)崟r(shí)的訪問(wèn)者地圖，以及不同ISP訪問(wèn)者的數(shù)量和流量的訪問(wèn)者網(wǎng)絡(luò)。

基于DFI的實(shí)時(shí)統(tǒng)計(jì)數(shù)據(jù)流，綠盟科技利用實(shí)時(shí)流式計(jì)算技術(shù)進(jìn)行深度挖掘，實(shí)時(shí)展現(xiàn)租戶內(nèi)部，以及租戶和互聯(lián)網(wǎng)之間的流量型攻擊。
 

如上圖所示的DDoS攻擊分析，通過(guò)對(duì)流量、包數(shù)量、包長(zhǎng)、TCP標(biāo)志位、地理位置和訪問(wèn)客戶端數(shù)量等維度進(jìn)行分析，分析用戶服務(wù)器或者業(yè)務(wù)的日常訪問(wèn)基線。當(dāng)流量行為大幅度異于以上維度的基線，則有證據(jù)判定為DDoS攻擊;通過(guò)攻擊流的發(fā)起方向判斷攻擊源，從而檢測(cè)出用戶是否被DDoS攻擊或被作為“肉雞”攻擊外部網(wǎng)絡(luò)。
 

“掃描探測(cè)行為”是大部分惡意攻擊的第一步，如上圖所示的Scan攻擊分析，展現(xiàn)一定時(shí)間范圍內(nèi)對(duì)主機(jī)集群的多臺(tái)主機(jī)或者多個(gè)端口的掃描探測(cè)行為，通過(guò)分析這種行為來(lái)發(fā)現(xiàn)攻擊行為，判斷具有窺探用戶虛擬機(jī)集群意圖的客戶端IP或者嘗試窺探外部網(wǎng)絡(luò)的惡意內(nèi)部用戶。

將上述基于DFI技術(shù)的流量分析運(yùn)用在云服務(wù)中，可加強(qiáng)數(shù)據(jù)中心及租戶對(duì)網(wǎng)絡(luò)狀況的洞察能力，加強(qiáng)對(duì)網(wǎng)絡(luò)態(tài)勢(shì)的預(yù)判能力，為高效和準(zhǔn)確地防御和清洗攻擊提供有效手段。

sunyingying