軟件定義安全:SDN/NFV新型網絡的安全揭秘
內容描述
本書第1章介紹了SDN和NFV技術的基本概念和發展方向,第2章從架構、協議、資源、應用和系統實現等幾方面闡述了SDN和NFV面臨的風險和解決方法,第3到5章依次介紹了軟件定義安全的背景、概念和架構,第6章從原理上介紹了使用SDN和NFV技術實現一些安全防護的功能,第7章介紹了業內在SDN和NFV安全方面所提的思想和提出的產品方案,第8章介紹國內外企業在軟件定義安全方面所做的實踐工作。
目錄大綱
序
前言
第1章SDN和NFV:下一代網絡的變革1
1.1什麼是SDN和NFV1
1.1.1SDN/NFV誕生的背景1
1.1.2SDN/NFV的體系結構5
1.2學術界前沿研究方向7
1.2.1SDN研究方向7
1.2.2NFV研究方向10
1.3產業界相關進展21
1.3.1SDN/NFV的市場趨勢21
1.3.2新興SDN實現的進展23
1.3.3傳統廠商的SDN進展24
第2章SDN/NFV環境中的安全問題31
2.1架構安全31
2.1.1SDN架構的特點及安全綜述31
2.1.2集中控制平面:SDN引入的新問題32
2.1.3開放API:不安全的應用接口37
2.1.4數據平面:傳統數據流的安全問題41
2.2協議安全44
2.2.1南向協議介紹44
2.2.2OpenFlow協議安全51
2.3資源安全54
2.3.1NFV和Hypervisor兼容性55
2.3.2系統可用性55
2.4應用安全55
2.4.1虛擬網絡的邊界56
2.4.2租戶隔離57
2.4.3訪問控制63
2.4.4網絡虛擬化對網絡安全的挑戰68
2.4.5SDN帶來的安全隱患71
2.5系統實現安全76
第3章用軟件定義的理念做安全79
3.1不進則退,傳統安全回到“石器時代”79
3.1.1企業業務和IT基礎設施的變化79
3.1.2傳統安全面臨的挑戰80
3.1.3SDN之前的應對方案84
3.2軟件定義:是否是銀彈85
3.2.1SDN帶來的機遇85
3.2.2SDN對網絡安全帶來的影響87
第4章什麼是軟件定義安全91
4.1軟件定義安全的含義91
4.1.1軟件定義安全的提出91
4.1.2軟件定義安全的不同結構94
4.1.3軟件定義安全的相關概念100
4.2軟件定義安全的特點101
4.2.1開放的生態環境101
4.2.2數據平面和控制平面分離103
4.2.3可編程的安全能力103
4.2.4與網絡環境松耦合104
4.3相關支撐技術104
4.3.1流信息收集和控制104
4.3.2標準化應用接口105
4.3.3分佈式消息通信106
4.3.4策略管理系統106
4.3.5服務編排與服務鏈113
4.3.6數據平面加速116
第5章軟件定義的安全架構119
5.1軟件定義安全架構119
5.1.1安全應用120
5.1.2安全控制平台120
5.1.3開放安全設備121
5.2安全系統在SDN中如何工作122
5.2.1網絡流量分析122
5.2.2網絡流量控制123
5.3利用SDN和NFV進行安全管理124
5.3.1SDN/NFV在雲中的應用124
5.3.2多設備的串聯服務鏈127
5.3.3VPC的安全管理案例129
第6章SDN和NFV安全實踐133
6.1基於流的安全防護133
6.1.1DDoS檢測清洗133
6.1.2異常流量檢測136
6.2移動辦公環境的訪問控制138
6.3抗APT的協同防護142
第7章SDN安全案例145
7.1DDoS緩解145
7.1.1Radware DefenseFlow/Defense4All145
7.1.2Brocade DDoS實時分析和緩解147
7.2軟件定義的訪問控制148
7.2.1Check Point公司的軟件定義防護148
7.2.2OpenStack防火牆即服務152
7.2.3CSA SDP軟件定義邊界154
第8章軟件定義安全案例157
8.1國外案例157
8.1.1Fortinet:傳統安全公司的軟件定義方案157
8.1.2Embrane Heleos:軟件定義的NFV方案160
8.1.3CloudPassage:安全服務快速編排能力162
8.1.4Securosis:利用AWS和Chef的軟件定義安全實踐163
8.1.5Catbird:軟件定義分段169
8.2國內案例171
8.2.1綠盟科技:可軟件定義的智慧安全171
8.2.2雲杉LiveCloud:SDN起家的安全防護支撐172
8.3矽谷初創企業174
8.3.1Versa Networks:軟件定義廣域網安全174
8.3.2Skyport Systems:零信任的訪問控制175
8.3.3Phantom Cyber:安全應用編排/第三方設備175
8.3.4業界關注軟件定義安全的原因178
8.4結語178
作者介紹
劉文懋,綠盟科技創新中心總監,清華大學博士後。長期從事雲計算和SDN領域的安全研究,關注以OpenStack和OpenDaylight為代表的新技術與網絡安全結合出現的新挑戰和新機遇,參與編寫雲安全等級保護標準、CSA《Security Position Paper NFV》等標準指南。興趣點還包括基於威脅情報的數據分析和物聯網安全。
裘曉峰,北京郵電大學信息通信學院副教授,美國哥倫比亞大學訪問學者,研究領域為網絡技術及安全問題,二十年來歷經了ATM、MPLS、P2P等網絡技術的演進,對未來網絡及安全架構的發展多少有些理解和認識,望通過本書與讀者討論。
王翔,博士,京東雲研發工程師,在高速網絡處理、雲數據中心網絡以及SDN與NFV方向上具有豐富的開發經驗。目前負責京東公有云網絡控制器的設計與研發。