好,大家好,非常欢迎参加今天的讨论,我是英特尔的工程师张潘,那么今天呢,我会和我的同事尼宏娟一起和大家一同探讨一下灵星人网络,也就是 Zero Trust Network 关于技术方面的一些这个有趣的话题,那么我们也希望能够和业界的专家朋友能够产生更多的互动和反馈。好,那么我们这次赛事呢,大概是分为这样几个章节,那第一第一部分呢,我会介绍一下灵星人网络产生的一个背景以及它的必要性。那么后续的话呢,我会简单介绍一下我们实现的一个 turn case solution 的一个它的整体的框架,以及在不同框架之内它的这些 building block 所应该包含的一些功能。那么在之后呢,红军这边会对这个一边的一些具体的技术会进入进会进行一些这个比较深入的介绍,那么最后呢是一个关于整体情况的一个 recap。好的,那我们就首先看一下灵星人网络它发展以及这个逐渐普及的一个时代的一个背景。那这个背景呢,我们还是以这个主要以企业网的对网络使用的这个角度来观察。那这里边呢,其实我们能够看到的情况是什么呢,就是我们传统的安全方案,企业网的安全方案是以这个企业网络边界为划分的。那我们默认的情况呢,就是在这个边界之内的所有的这个访问,包括它的设备,包括这个流量的情况,那我们默认是一种可信的一个状态。那对这些网络的这个防护或者审查的呢,都是处于一个比较放松的或者说比较松懈的一个状态。那我们默认的是所有的这种恶意的攻击或者说这个潜在的安全隐患都来自于企业的外部。那主要是因为我们之前的企业网络呢,它确实不需要,它其实是一个自成体系的一个网络,它不需要太多的有这个与外界的这种沟通。那我们的像那种防护墙,或者说这个IPS,IDS等等那些设备,只要放在这个企业网的主出口,就可以起到这个相当程度的这种安全防护的作用。那么现在呢,是这种情况呢,逐渐发生了一个变化。这个变化是什么呢,主要还是在于说我们的这个企业网络,它需要与更多的这个外界网络去打交道。那我们这里边看到的一些变化的数字呢,就比如说我们这里看到的第一个这个40%的情况,那这个其实是说有40%的企业,它有这个相当比低的一些那种远程工作的雇员。那么这个数字呢,其实还是疫情之前这个拿到的数字。那这里边呢,经过有疫情的这两年的这个肆虐吧,那这个数字呢,应该会有一个进一步的增加。那么还有一个这个比较显著的情况呢,就是说我们企业对这一种以公有原为基础的应用的这个使用的增加。那像这个微软呀,谷歌呀,AWS等等,提供的一些那种SARS的服务,那也逐渐成为我们这个企业,它需要这个直播间日常的工作流的一部分。那这里边呢,就是我们需要不仅仅是把数据放到公有原上,那同时我们也有这个网络这方面的一些流量的访问。那所有的这些情况呢,其实都是在造成我们原有的传统的企业网络边界的一个那个拓展。那这个拓展里边呢,就是我们不仅仅仅认为说企业网络边界内部的这些流量访问,都是一个默认可信的状态,而应该对所有的网络都有这种防护的意识。那之所以称之为零信任,就是说所有的网络的这个发声以及它的这个建立,然后流量的状态等等,都应该是经过这个身份的确认。以及通过这种我们这种规则的这个对安全规则的这个审查之后才能够去放映。那这个是零信任网络它能够发生的一个比较大的一个背景。OK,那么在这个过程里面呢,其实就是说我们希望的是达到的一个什么状态,以及现实现在所和期望状态中存在的一个概谱。它会有哪两方面的一个说明呢,就是我们首先期望的是说所有的这个用户以及应用,它都是在这个企业的网络边界里面的。但实际上的情况呢,就是我们在右边这一栏里面介绍的,就是说你的用户以及应用,它可以是这个广泛存在了,不一定是非列在你的这个网络边界里面。就像我们介绍的这种远程工作的状态,以及我们这个在公有员上去托管的SARS应用,它其实并不在你的企业网的边界里面。那么第二一点的预期呢,是说所有在这个网络边界里面的这个,无论是应用设备还是这个人员,都是应该是一个值得信任的一个状态。但实际上的因为我们上一个情况的出现,那你可能是远程的雇员的设备,也可能是公有员上的一台VM主机。那这些东西实际明显是,显然是不能够就是直接的给他这种默认信任的这个权限。那这个情况呢,也进一步增大了,就企业网的这个安全的攻击面,那这个里边呢,就是会造成更多的这种安全的隐患。那么最后一点预期呢,是说我们就是可以这种封锁住所有的这个没有得到这个身份认证的网络的访问。但是实际上的情况呢,实际上的情况呢,是因为你引入了更多的这种远程的这个设备或者说应用进来之后呢,那你在这个,只要是在你的网络边界里边,他其实就具有这种相当权限的这种网络访问的能力。那这样的话呢,也同样会造成你企业内部网络的一个安全方面的问题。这个就是,就是这几年企业网络发展的一个状态,它其实是增大了,就是我们预期中的状态以及现实状态之间的一个存在的差距。那么怎么样去弥补这个差距,就是我们的这套零信任网络,想要去主要解决的一个问题。好的,那么如果零信任网络想要去解决刚才前面提到的这些问题,那他应该具备哪四个方面的基本特点。那么我们在JES Last里边呢,也给大家做了一个简单的罗列,那么这四点呢并不是我们首先总结出来的,而是它来自于这个我们左下角标注的这个业界的一本著作,那么这四点呢,但是我们也是相当的认同,所以我们在这里边呢也想分享给大家。那第一点呢,就是说零信任网络的这个网络流量,那么他在这个处理之前都要去做这种身份的认证。那么大家也清楚就是零信任网络其实它是一种以身份为中心的网络的架构方式,那么对这个访问者网络这个流量的访问者以及被访问者的这个身份的认证肯定是首先需要去完成的一个工作。那么第二点呢,就是这些网络流量它应该是在传输的过程中应该都处于一种加密的状态,那避免这种明文流量能够在无论是在网络内部还是网络web之间来传输。那这样的话呢就可以减少像这种中间人攻击啊等等这方面的一些这种攻击的攻击面以及减少相应的这种安全的隐患。那第三一点呢,就是所有的这个身份的认证以及加解密的这些操作呢都应该是由网络中的这个一个一个的underpwn来操作,那这样的话呢其实是我把这个网络的这个边界呢就把之前的原有的这种大的一企业网为这个边界的这种边界的,缩小到以一个一个的underpwn为这个安全边界的啊边界,那这样的话呢是我们进一步扩大的相当于是这个,缩小了这个网络安全防护的这个力度,那以前以整个网络为一个力度以为一个颗粒,那么现在呢我是以这种underpwn为一个颗粒,那这样的话呢就是能够真正实现我们希望的这个零星人网络所要去达到的这个目的,那么最后一点呢就是我们需要对这个网络呢他应该所有的网络流量是处于这种可以被列举,也就是说我们这种审计的手段需要对网络流量的这个整体的状态以及他所之前发生或者发生过的这个行为都应该有一个明确的追踪,那这样的话呢我们才能够就是确保我们的规则能够就是生效,那同时呢也能够啊明确说我们现在的这个网络里边有没有存在还是有这个网络风险或者网络漏洞的这种行为ok,那么零星人网络的一个大体的架构是什么样子呢,就是我们现在在这个slash里边给大家示意的这个情况那么他呢首先还是有一个中心的控制平面,那这个平面里边呢其实他是负责所有的这个网员以及我们的像这种client就是可信任的client的这个整体的配置调度以及鞋统那同样也负责从这些网员里边取得一些这种telemetry的谣测信息能够就是进一步去加强我的这个网络策略以及尽早的发现这个可能存在的安全隐患那么除了这个统一的控制平面之外呢我们在数据平面也有一些类似的工作那么如果访问的client是一个就是我们可信的一个远程的比如说远程的一个雇员的话那么他呢首先是能够就是访问一些我们的私有服务那么如果说他想去访问一些就是我们企业托管在公有云上的这种sass服务的话呢那么在这个之前呢是可以经过一个这个secure gateway的这种网员能够对他的访问进出的流量做这种零信任的处理那这样的话呢去保证我们整体网络无论是啊企业网络无论是内部还是外部的网络流量的一个安全那如果我们的这个企业网呢主要是对我们的客户提供一些在线的服务那这样的话呢就是从这种and trustee的client发过来的请求呢我们肯定是首先让他进入一个我们统一管控的一个网关那这里边呢是提到的这个lot of balancer作为一个示意那经过这个网关对这个流量的一个加密以及身份认证的处理之后呢我们会把这些流量再进一步给到我们后续的这个app也就是我们被外提供的这个应用的服务器但是在这个网关和应用服务器以及应用服务器和应用服务器之间所有的这个流量也是遵循我们刚才提到的这个啊零信任网络的一个原则那这样的话呢才能保证我们整体的这个企业的业务网络是处于这个安全的一个状态那这个是零信任网络啊架构的一个大概的情况ok 那么刚才我们介绍架构的时候呢主要提到的就是两个plan一个是controlplan一个是dataplan那么如果我们在进一步的就是以一种这个building block的这个视角来看待他们的话呢就是我们现在提出的方案主要是基于这样的一个想法那么在这个controlplan里边呢我们肯定是整合的一些这个零信任网络的controlplan所需要的一些基本的功能包括这个multifactor的这个身份的认证包括这种可信执行环境的这个整合就是t11的方案那么也有关于这个密钥的管理或者密钥分分发的一些机制那在这个里边呢主要是我们放在了controlplan去实现那么在dataplan呢那这个这里边呢也是有我们的一些这个啊网络的数据平面的防护功能包括这个路由转发啊包括这个dpi啊包括这个d-douse等等这些能力都是整合在了我们的这个dataplan里边那么后续的话呢红军我的同事红军这边会对这个某几个building block做一些这个深入的介绍那么后面的话呢我们就把时间交给红军好谢谢张潘接下来以后跟大家继续分享零信任网络大家好我叫宁红军现在主要工作在vpp雲网络和网络安全的方面这里呢是我们给大家提出了一个零信任网络的tokies路形它呢主要包含了其他部分一个是控制面第二个是用户册第三个呢是网关册控制面呢主要的作用是作为一个集中介入点对用户进行认证密约分发授权等等那么它主要是由walt和wgsd这两个项目组成walt呢主要是用于密约的管理和用户的认证和介入的访问那么wgsd呢主要用于业务的发现和链接的穿越和密约的分发等功能那么对于左边这一块它范围有几个用户那么第一个呢就是不信任的用户一般都是互联网的用户那么第二个呢就是家庭用户比如那通过ucb来进入法论那么第三个呢就是企业用户那么右下角这个呢就是我们常用的网关这一侧的产品那么我们这里呢提出了四种业界形态第一个呢就基于我们的hdsrb做了四层附带俊成器那么在这个hdsrb上面呢我们增加了wigard实现以及反迪洞士攻击还有威胁检测等功能那么对于成器的类伴是呢我们基于ngix来增加了wigard威胁检测以及应用程序识别等先进功能那么对于secure getaway我们继续威胁开发了一个这样一个secure security getaway同时呢增加了wigard的功能我们可以用的检测应用识别以及speed tunnel等功能它可以用于公有运或者是客户的视远进行对接那么第四种对于用户新开发的应用程序我们呢提供了这样一个client vpn用于可以用户的应用程序进行识别从而来提供能信用网络这样一个功能在这里呢对于威胁的检测和应用的识别我们继续我们新开发的这样一个开发套件tdk来提供支持这里呢是secure getaway的repres arc它呢包含了三部分第一部分是控制面第二部分是client第三部分是secure getaway那么控制面呢主要是利用sgx的功能提供一个口腥的执行环境那么water呢就可以运行的这样一个口腥的执行环境里面同时呢我们使能linux的wigard的功能以及靠ds和wgsd收尾进行集成提供一个service discovery的一个功能那么client呢它是使能的不同操作系统上面的一个wigard的功能评价了评价了wgsd的client那么secure getaway呢我们利用vpn开发了一个高性能的网关评价了wigard的功能tdk等功能那么通过这样一个reference architecture我们提供了一个device agent getaway的一个模型那么它的意思是呢首先我们在client这一侧会安装一个device agent它呢是用于协调这样一个用户的连接那么当用户查了一个新的请求的时候这个请求呢就会被local agent添加一些有用的一些信息并且发生了空置面那么空置面呢结束了用户的信息之后会根据用户提供的信息来跟第三方建议认证来确认用户是一个可信的用户然后呢就可以授权用户一些权限那么当这样一个请求被授权以后呢那么空取了呢就会在client和secure getaway之间交互一些信息有一些密约信息等等那么在client和secure getaway之间建立一个直接的加密通道用于后续的数据的成熟这是secure getaway的主要功能矿图我们呢从下面往上做成的进行介绍那么对于硬件程我们利用CPU 网卡IPUQAT等它的功能来进行secure getaway写关键特性进行英键offloading来进行加速那么对于操作系统呢我们支持不同的操作系统的打包那么common library这一层这个呢主要是基于dbdk,vpp,tidk软件来进行构建一个底层的一个框架那么中间这一层呢主要就是我们的核心功能呢一个是包网络这一层我们主要是进行了ipv4和ipv6路由的优化以及提供了大项流的检测和分发等功能并且呢可以跟fr绕顶等路由交换协议进行结成连接这一层呢我们提供了不同的选项包括ipsec,wigart,ssl和quick的协议那么呢同时呢可以跟johns1进行结成用于ipsec的写任密业交换wgsd进行结成用于wigart的密业交换那么secret service这一层呢主要是能利用tidk和snot提供了一个数据的透视功能以及威胁的检测还有应用程序的识别等功能那么对于北向对于这样一个北向借口我们提供了不同的借口于远能的控制面和octrl成进行结成包括net.conf,resconf,coi等等那么对于control我们主要是集成了ward.s后来呢我们也可以跟opennesscommonitiesopendela等这些sdnconjura和octrl就在进行结成下面我们介绍ingress复杂均衡器的referencearc那么这里呢它主要有四个部分组成那么首先呢仍然是control然后呢是uncharted的client然后呢是ingress的复杂均衡器以及应用的shower那么control呢跟前面的secure getaway的参考价格很类似仍然是利用sjxward来提供这样一个密约的管理core.s和wgst以及wagad来提供了这样一个密约的交换那么uncharted的client呢就是通常的一个操作系统请求那么对于ingress loader balance呢我们基于dbdg开发了一个hdsrb这样一个高密度的复杂均衡器你们呢并且在它们添加了wagadtadg的功能来提供零星人的一些功能那么abb-sower呢就是基于dbdg或者内核的wagad的功能并且集成了wgsd以及拥护的应用程序来提供客户的业务那么这样一个参考价格呢就提供了另外一种操作模式就是resource portfolio的一个模型那么它跟前面的区别是什么呢就是说在client的这一端它不需要安装任何的软件那么也就是说没有本地的这样一个local agent来处理所有的请求那么对于这样一个非认证的一个用户那么或者说不信任的用户那么它呢发生了一个请求到Ingress little banks的时候呢Ingress little banks就作为一个代理来进行这样一个对客户进行认证和授权认证和授权的一个代理点那么当附带军事件收到这样一个不信任的用户发过来的请求的时候呢它就会把这个请求转发给肯去了来进来有肯去了来一口来看这个客户是不是可信用户如果是可信用户那么它就会把对应的用户用户的信息和流量转发给对应的app server如果不是可信用户的话它就会向客户端推送一个登录的网页那么有客户端说送对应的用户迷密码等信息然后再返回给loaded balanceloaded balance会把这个信息再转交给肯去了肯去了对应的用户的请求进行认证和授权评减给它一些权限那么这样的话在loaded balance就可以介入这个用户的请求在介绍同时对于loaded balance和app server之间他们为了能够提供服务他们也需要通过肯去了进行相估的验证和授权保证每一个负载捐质和app server都是可信的一旦他们认证和授权通过之后那么就再回参他们之间建立一个可信的加密通道那么用户的请求就会通过这样一个可信的加密通道在他们之间进行传递这里主要介绍的是复杂讯痕期的功能矿图那么我们还是按照从下网上进行介绍那么在硬件这一程我们同样的是利用CPU网卡IPUQIT等硬件来进行部分功能的硬件加速比如像加减密的硬件加速等等那么操作系统这一程我们同样提供了不同的操作系统的这样一个打包那么common library我们是基于主要是基于dbdk会提拔dk来提供一个基础的功能那么粉红的这一部分就是它的一些主要的功能那么链接这一程我们提供了IPv4和IPv6的路由提供了外卡的加减密提供了大项流的检测和分发等等的功能并且来跟fr routing和WGS的进行基层提供一些控制面的一些功能那么对于负载均衡分发这一块的我们提供了轮转调度算法最小链接触算法一致性哈希等算法同时提供了不同的封装格式像fornet模式仔细返回模式或者dnm模式那对于安全业务这一程我们提供了板地刀子攻击tcb scene proxy功能同时利用tdk提供了数据的投资威胁的检测也利用成于实为等功能那么对于管理层我们跟前面类似提供了net-conf-res-confcli agent与上层的open-deskopen-delight等sdn-controller和orchestral的进行基层或者呢跟ward和call-dns这些在进行基层这里呢主要讲一下挖尬德的实现那挖尬德呢是一个新出现的安全协议他呢就是可以自动的事情进行密约的分分发同时呢他的目的是用于t1换ipsec或者tls的部分功能那么我们呢基于dbdk实现了这样一个挖尬德的实现同时呢还有个vpb的实现和优化那么实际了这里面主要有三大部分的那么第一大部分的就是挖尬德的加解密这样一个数据面实现那么对于上层的就是挖尬德的加密和解密他调用了一个crypto engine提供了一个framework那么crypto engine这个框架呢他对上提供了一个同意的借口用于挖尬德的加密或者是解密对象呢他调用ipsecmodibuff或者qat来进行加解密的一些基本的操作那么ipsecmodibuff呢是利用CPU的一些宽子令等策信来进行加解密的加速而qat呢就是通过一个硬件芯片来进行加解密的加速那么不管是ipsec和modibuff这样一个软件实现还是qat这样一个硬件的加速实现那么他都实现了恰恰20的一个加密也就是破裂1305的一个认证功能那么对于中间这一部分呢主要是密乐的交换也就是一些密乐的产生还有哈西等功能那么对于密乐的交换呢它是基于这样一个noise的框架里面的一个ikpsk2的这样一个交互协议流程来进行密乐的交换那么密乐的产生呢是基于k52519这样一个投原曲线算法来进行密乐的产生那么对于哈西函数呢实际上它提供了不同的哈西那么最早呢是哈西2然后呢它有个变种uhBlack2它有个变种2B和2S那么最新的一个是呢Black3它相对于Black2而言的话它的性能提升了有5到6倍再往上的话就是一个基于IP绑定的一个cookie的产生最右边呢和上面呢就是它得提供一个技术的实际框架了技术那么包括了接口的interface还有需要的保存还有定制机的管理以及提供了不同的API接口和CR接口用于Yguard的一些配置和管理这里呢是VPB的基于VPB的实现了Yguard的优化工作那么首先呢那么这里我们以Yguard的加密为例那么当报恩经过IPV4的路由查到以后然后下一个是Yguard隧道的话那么它就会被送到Yguard的Output的塘道这样一个处理在机子里呢首先会进行PL的查找并且呢把当天的报恩入队到这样一个一部的加密处理框架他们去那么一部处理框架呢就把报恩送到这样一个incue的Handle里面Handle里面呢就通过几成配置的是软件的加密呢还是QAD的硬件加密来进行处理处理完了之后呢再送回到这样一个一部的框架中那么报恩呢被分发到Yguard的Output的塘道Post的这样一个Graph news然后呢由这里来进行发送那么这里呢我们主要进行的一些功能主要的优化点呢是首先是利用了AVX的512来进行恰恰20的加速以及破了1305的加速同时呢利用了AVX512来加速了BlackSan的Hash功能我们实行的功能呢提升了大概有5到6倍那么对于以前的实现呢它是一个单挂稳的处理我们这里呢对它进行了一些P处理操作那么进一步加速了它的处理的功能同时呢我们提供了这样一个一部的处理框架来屏蔽了底层的IPsec and muddy buffer以及QED的一些差异那么使用户感知不到底层是利用软件的加解密呢还是利用QED的硬件加解密我们总结一下我们今天给大家分享的主要内容我们提出了一个零星人网络的一个talking solution评价的重点讲述了其中的两个参考价格一个是SQK外的参考价格另外一个呢是复杂军争剧的参考价格那么在这里参考价格里面呢Konju老师做了一个集中点用于拥护的认证和授权用于业务的发现用于密业的分发和管理等功能那么一旦拥护的请求被授权以后那么SQK外的和Rubens就可以在拥护和对淡之间建立一个加密的通道用于后续的数据传输同时呢我们利用高级的CPU功能像SGX建立了一个口信的行道那么一些需要加密的业务呢可以运行在这样一个口信的运行环境里面那么对于联系人网络里面的重点呢功能加密我们这里呢实现了外Guard的一些外Guard同时呢在dbdk和vpp里面都实现了相应的版本并且呢对于外Guard的实现我们利用以及来进行的一些加速比如像哈西韩束的加速呢像恰加坡里的韩束的加速同时呢对于有些用户我们还是提供了这样一个QoT来进行了硬件的一些加速联系人网络呢是一个很大的一个项目那么我们在这个项目的过程中我们也得到了很多同时的帮助这只呢一并进行感谢最后呢感谢大家的宝贵参与