4顧威-Gigamon助力企業安全節點服務編排, 及建設可視化基礎網絡（32頁）.pdf

1、安全監測與防御之基石-技盟安全交付平臺顧威 華東區技術經理日程+技盟公司簡介+安全面臨的挑戰+技盟安全交付平臺+安全交付場景+技盟方案優勢可信的、技術持續革新的市場領導者技盟公司不僅能夠對物理網絡及各種云環境提供流量的彈性可視，將需要的流量輸出至相對應的安全工具進行監測，而且還能夠實現安全工具的靈活編排增強防御能力，使您的組織能夠快速穩定運行、保持安全與創新。8 大型高科技公司45大交易所8 TOP 10 頭部券商1012家全國性股份制銀行83財富百強75技術專利4.8/5.0客戶滿意度4,000全球客戶Gigamon:A Trusted and Innovative Market Leade

2、r5為什么安全事件層出不窮1.CAM4(108.8億條)直播網站泄露7 TB數據包含近110億條記錄2.Advanced Info Service(83億條),泰國手機運營商數據泄露3.Keepnet Labs(50億條)英國網絡安全廠商遭遇網絡違規事件4.Whisper(9億條)高人氣秘密分享應用9億條用戶記錄暴露5.新浪微博（5.38億條 超過超過5.38億用戶的個人信息被擺在暗網億用戶的個人信息被擺在暗網6.雅詩蘭黛（雅詩蘭黛（4.4億條）億條）4.4億條內部記錄意外暴露在互聯網上億條內部記錄意外暴露在互聯網上7.Broadvoice(3.5億條)美國VoIP服務供應商8.Wattpad

3、(2.68億條)加拿大的寫作博客平臺Wattpad9.微軟（微軟（2.5億條）億條）存儲客戶支持分析結果的數據發生數據泄露10.未知（未知（2.01億條）含超過億條）含超過2億條被暴露在公共互聯網上的億條被暴露在公共互聯網上的攻擊手段攻擊手段發現能力與阻斷能力發現能力與阻斷能力SiSiSiSi防火墻防火墻1 1Switch Switch x 2 x 2 Switch Switch x 2x 2Switch Switch x 2x 2入侵防御入侵防御器器1 1WAF1WAF1防火墻防火墻2 2入侵防御入侵防御器器2 2WAF2WAF21.眾多的串聯設備，帶來眾多的故障點2.安全設備的升級維護需要

4、中斷網絡3.增加或刪除設備需要中斷網絡4.任一設備出現瓶頸可能引起網絡中斷5.出口設備的故障排查非常復雜6.高帶寬的網絡骨干很難部署安全產品7.SSL加密流量帶來安全產品性能和網絡整體安全性的問題無法有效部署安全工具就無法防御無法有效部署安全工具就無法防御1.流量采集資源有限2.安全工具流量獲取難3.虛擬化、容器流量采集4.私有云、公有云流量采集5.不相關流量消耗安全工具資源無數據源就無法發現安全無數據源就無法發現安全6當前發現與防御體系的問題發現面臨的挑戰防御面臨的挑戰安全事件的發現與防御需要什么技術保障互聯網互聯網RoutersRouters“Spine”“Spine”SwitchesSw

5、itches“Leaf”“Leaf”SwitchesSwitches虛擬化虛擬化服務器群服務器群安全產品安全產品、方案、方案發布平臺發布平臺:一個一個構構造高效益安全系統的基礎。造高效益安全系統的基礎。IntrusionDetectionSystemData Loss PreventionEmail Threat DetectionIPS(Inline)Anti-Malware(Inline)Forensics信息梳理平臺信息梳理平臺按應用類型進行按應用類型進行提取，進行有提取，進行有目標性的檢測目標性的檢測提供提供加密流量的加密流量的可視性，保障加密可視性，保障加密流量不含有威脅流量不含有威

6、脅Inline bypass 為為多層安全架構環境多層安全架構環境提供可視性提供可視性全網完整覆蓋：全網完整覆蓋：物理網與虛擬網物理網與虛擬網不抽樣不抽樣的元數據的元數據生成生成，改善信息，改善信息的準確度的準確度技盟安全交付平臺互聯網互聯網邊界路由邊界路由“Spine”“Spine”交換機交換機“Leaf”“Leaf”交換機交換機虛擬化虛擬化、私有云、私有云、容器環境等容器環境等上網行為管理上網行為管理數據丟失保護數據丟失保護郵件安全郵件安全IPS(串接串接)防毒墻防毒墻(串接串接)審計取證審計取證Security Delivery PlatformIsolation of applicat

7、ions for targeted inspectionVisibility to encrypted traffic for threat detectionInline bypass for connected security applicationsA completenetwork-wide reach:physical and virtualScalable metadata extraction for improved forensicsHawkHawk 采集采集元數據元數據應用過濾應用過濾SSLSSL解密解密流量編排流量編排9應用智能技術深化數據削減RawPacketsSec

8、urity App100%100%元數據100%100%10%10%100%100%篩選35%35%35%35%元數據40%40%4%4%無關流量25%25%0%0%X10技盟安全發布平臺帶來的效果 全面可視 精細化流量監測 增強安全工具效率傳統安全可視化項目企業網絡Security ToolSecurity ToolSecurity ToolSecurity Tool無關流量相關流量技盟安全發布平臺Security ToolSecurity ToolSecurity ToolSecurity Tool企業網絡相關流量 部分可視 無法選擇流量 安全工具效率低場景一：看得見才能談安全技盟數據源交

9、付：數據包物理網絡、虛擬網絡、容器、云環境采集+優化11應用場景+全流量安全工具 IDS 上網行為 流量取證 旁路DDoS+安全交付平臺價值 提升可視范圍（東西南北）安全工具不需要考慮格式轉換 安全工具減少誤報多報 安全工具提升價值+技盟提供 東西向流量 南北向流量 精細過濾 流量優化（去重、標簽管理等）流量解密提升安全工具可視性安全交付平臺-全面采集，流量優化+特定流量安全工具 DLP 網絡準入 WAF，郵件網關等旁路部署+安全交付平臺價值 提升可視范圍（東西南北）安全工具不需要考慮格式轉換 安全工具減少誤報多報 安全工具提升價值+技盟提供 東西向流量 南北向流量 精細過濾 流量優化（去重、

10、標簽管理等）流量解密 應用過濾提升安全工具可視性安全交付平臺-全面采集，應用過濾14虛擬環境可視化東西向流量 可視化呈現能力RemotesitesPublic cloudInternet南/北向 可視化東/西向 可視化Common Common Leaf SwitchLeaf SwitchVMVMVMVMVMVMSERVERHypervisorVMVMVMVMVMVMSERVERHypervisor場景二：數據深度挖掘技盟數據源交付：元數據物理網絡、虛擬網絡、容器、云環境采集+優化15應用場景元數據需求Top Players:Top Players:Next Tier:Next Tier:Ot

11、hers:Others:+大數據安全分析平臺 SIME SoC 態勢感知+安全交付平臺價值 大數據分析平臺提供準確數據源 提供API，實現按需提取數據 減少誤報 提升數據分析能力 提升分析效率+技盟提供 Syslog格式 全面流量采集 實時流量轉日志 加密流量解密后轉換 3200種協議，5500個以上數據元素提供真實準確數據源安全交付平臺-元數據元數據生成能力超過5500種以上的數據元素Data CollectorApplicationPresentationSessionTransportNetworkData LinkPhysical+應用細節應用細節應用識別(Salesforce,soc

12、ial media,messaging)應用詳情(RDP,SMB,SQL command,ActiveSync User)+應用交易和狀態應用交易和狀態HTTP URI and response codesDNS Request/ResponsesIMAP/SMTP details+網絡和傳輸層網絡和傳輸層5-元組 細節IP 會話對1819Consuming Application MetadataIPFIX or CEF formats+Identify Security Anomalies using SIEM Integration Suspicious Remote Connectio

13、ns High Privilege User Activity Abnormal Login Activity HTTP Client Errors Rogue DNS and DHCP Servers Weak Cryptography RDP Attacks SMB Attacks Time Window Analysis場景三：提升安全工具防御能力技盟流量編排21應用場景安全交付平臺-流量編排T1T2T3T3T3T1T2T3網 絡 團 隊網 絡 團 隊最大化可用性和彈性最大化可用性和彈性 簡化網絡設備部署 最大化工具效率 減少網絡故障點 硬件BYPASS 保障網絡連通 通過狀況檢查防備工

14、具失效提升高可用性安 全 團 隊安 全 團 隊最大化安全敏捷性最大化安全敏捷性 無縫添加，刪除，升級工具：降低風險和安全性 靈活將工具從在線模式遷移到旁路模式（反之亦然）輕松檢查非對稱網絡流量 將內聯，帶外，工具和數據集成到一個通用平臺二層安全設備典型的串接部署二層安全設備典型的串接部署痛點痛點 部署復雜效率低 單點故障點多 工具效率低 缺乏安全部署的靈活性 故障排查困難+可編排安全工具 DDoS IPS WAF 垃圾郵件防護 APT+安全交付平臺價值 安全工具性能提升 加密流量可視 構建安全資源池 安全工具上線、下線零斷網 PoC對生產環境無影響 安全工具故障自動恢復業務+技盟提供 僅安全工

15、具需要的流量 DDoS可提供僅入向流量 WAF僅提供http相關流量 SSL 解密提升安全工具性能安全交付平臺-流量編排Inline Bypass:優化inline架構的效率和彈性IPSWAFATPATPATPT1T2T3E.g.WAN routerE.g.FirewallE.g.IPS x2E.g.WAFE.g.ATP x3E.g.Core switch 插槽形式 物理bypass保護1 混合介質/支持1G,10G,40G,100G 邏輯bypass能力2 健康檢測 工具故障時觸發預設操作4單機,資源池,服務鏈58UI界面+API 自定義流量編排3Many to 1Many to Many6

16、流量負載邏輯bypassN+1 冗余靈活添加/刪除工具ATP=Advanced Threat Protection IPSSSL 加解密72425技盟解決方案與合作伙伴最佳實踐：NPM/APM 代表廠商代表廠商:Dynatrace,NetScout,Riverbed 華青、科來、天旦、Sloarwinds等 功能:分析網絡性能、應用性能、業務質量等 Gigamon信息梳理平臺提供：信息梳理平臺提供：全網可視，包含物理網絡和虛擬網絡 集群技術 Flow-Mapping 專利技術 數據包去重 數據包截短 標簽剝離 SSL 解密 應用場景應用場景:任何需要不丟包給到分析工具的場景、全網部署、流量優化

17、。ApplicationSession Filtering41321122112233443124業務質量監測NPMAPM26技盟解決方案與合作伙伴最佳實踐：IPS,NGFW,DPI 代表廠商代表廠商:Palo Alto,Check Point，深信服，網康，山石等 功能功能:狀態檢測防火墻功能DPI功能IPS功能等Gigamon信息梳理平臺提供：信息梳理平臺提供：全網可視，包括分支機構 NetFlow 記錄可提供 URL和DNS信息 流量梳理與優化 負載均衡 SSL 解密 失效恢復機制 應用場景應用場景:旁掛部署,SSL 解密,防火墻選型,產品選型測試27技盟解決方案與合作伙伴最佳實踐：SI

18、EM/態勢感知等平臺 代表廠商代表廠商:IBM,HP,SPLUNK,Intel Security(McAfee),LogRhythm 功能:從不同的源收集日志、事件或其它網絡數據，關聯分析，產生安全及合規報告 Gigamon信息梳理平臺提供：信息梳理平臺提供：提供更豐富的未取樣的數據源 高可擴展性 支持包含 URL/DNS記錄的擴展NetFlow 記錄 支持CDP SSL 解密 產品聯動 應用場景應用場景:已經部署SIEM，需要進行更深入的可視性、安全、審計要求NetworkPerformanceSecurityNetFlowCollectorTraffic DataNetFlow Stats

19、NetFlow GenerationFlow Mapping28技盟解決方案與合作伙伴最佳實踐：IPS/IDS 代表廠商代表廠商:Cisco,HP,IBM，啟明、綠盟等 功能:對流量進行實時深度安全檢測 Gigamon信息梳理平臺提供：信息梳理平臺提供：按需流量可視 監測模式至在線模式轉換 負載均衡 SSL 解密 失效保護 應用場景應用場景:IPS新購升級，擴容，Inline部署IDS模式部署模式部署RouterFirewallSwitchIDSSSLDecryptionTAPServer Rack(Physical/Virtual)IPS模式部署模式部署RouterFirewallSwitc

20、hIPSSSLDecryptionServer Rack(Physical/Virtual)29技盟解決方案與合作伙伴最佳實踐：安全網關 代表廠商代表廠商:Email:Cisco,Proofpoint,Web:Zscaler,BlueCoat,WebSense 功能:web 安全,郵件安全，DLP 數據丟失保護 Gigamon信息梳理平臺提供：信息梳理平臺提供：全網可視，包括虛擬網絡和分支機構 通過結合ASF功能，可以優化性能，提高安全檢測能力 SSL 解密 應用場景應用場景:安全集中監控,DMZ虛擬化安全監測,分支機構安全監控DLP at remote sitesRouterRouterHQ

21、DatabaseDLPSSL DecryptionTAPBranchApplicationSession Filtering4132112211223344312430技盟解決方案與合作伙伴最佳實踐：WAF 代表廠商代表廠商:Imperva,fortinet 功能:web 安全防護 Gigamon信息梳理平臺提供：信息梳理平臺提供：ASF 提供性能優化 Bypass模塊提供失效保護 一鍵轉換模式：監測模式轉換至在線模式 在線模式可擴展性能 SSL 解密 應用場景應用場景:任何部署WAF的客戶.部署WAF擔心性能.RouterFirewallSwitchWAFsData Center(Web A

22、ppsl)31技盟解決方案與合作伙伴最佳實踐：APT，沙箱等 代表廠商代表廠商:Arbor Networks;Blue Coat;Check Point;Cisco;Cyphort;Damballa;FireEye;Fortinet;General Dynamics;General Dynamics Fidelis Cybersecurity Solutions;Lancope;Lastline;LightCyber;McAfee;Palo Alto Networks;Proofpoint;RSA Security Analytics,Trend Micro;Vectra Networks;W

23、ebsense;Zscaler 功能:其利用一個虛擬沙箱來檢測包括企圖竊取數據或禁用安全機制在內的惡意行為 Gigamon信息梳理平臺提供：信息梳理平臺提供：全網可視，包括虛擬化和分支機構 加速在線部署 通過結合AFI功能，可以優化性能，提高安全檢測能力 SSL 解密 應用場景應用場景:選型測試、虛擬化內流量需要監測、任何需要部署ATD的項目Email Threat DetectionForensicsVirtualWorkloadsGigaVUE-FMProduction NetworkSecurity 功能Virtual Traffic Policies“REST”APIsInternet

24、IntrusionDetectionSystemData Loss Prevention技盟安全交付平臺提供整體優勢串接安全SSL 解密MetadataSSL 解密App 內容過濾MetadataSSL 解密App 內容過濾串接安全安全防護GigaSECURE SDP 安全交付平臺安全交付平臺635241基礎安全FirewallSegmentation態勢感知及人工智能Artificial IntelligenceCognitive Solutions主動攔截 FirewallIPSRouters大數據分析Big Data Machine LearningEMERGING TECHNOLOGY實時防護態勢感知關聯分析A U T O M A T E DA U T O M A T E D主動防御R E S T A P I