数据中心安全测试靶场技术白皮书
AI智能总结
数据中心安全测试靶场技术白皮书ODCC2024000 数据中心安全测试靶场技术白皮书ODCC2024000 版权声明 ODCC(开放数据中心委员会)发布的各项成果,受《著作权法》保护,编制单位共同享有著作权。 转载、摘编或利用其它方式使用ODCC成果中的文字或者观点的,应注明来源:“开放数据中心委员会ODCC”。 对于未经著作权人书面同意而实施的剽窃、复制、修改、销售、改编、汇编和翻译出版等侵权行为,ODCC及有关单位将追究其法律责任,感谢各单位的配合与支持。 数据中心安全测试靶场技术白皮书ODCC2024000 编写组 项目经理: 邹珂龙中国移动通信集团有限公司工作组长: 杨海俊中国移动通信集团有限公司贡献专家: 冀文中国移动通信集团有限公司 王雪荣中国电信股份公司研究院郑良洪华为技术有限公司 付志强新华三信息安全技术有限公司 浦建良杭州迪普科技股份有限公司王朝晖是德科技有限公司 任红波思博伦通信科技(北京)有限公司张宁中国信息通信研究院 数据中心安全测试靶场技术白皮书ODCC2024000 前言 为随着信息技术的迅猛发展,全球网络安全形势日益严峻。国家高度重视网络安全工作,出台了一系列法律法规和政策文件,强调加强网络安全技术研究和人才培养,推动网络安全产业发展。 为增强数据中心网络运行安全保障能力,保护数据安全,提升网信安全技防能力,保障高质量发展,数据中心建设和运营者加大安全领域资源的投入。而安全技术、安全产品的引入和防御效果、现网安全策略调整等均需要通过安全测试来支撑。 安全领域广、产品多。随着人工智能等技术的发展、各类攻击手段不断升级,传统静态的、相对单一的安全测试难以有效评估安全能力,亟需构建覆盖现网环境、更加动态和智能的安全测试能力。 本白皮书先分析安全测试痛点,立足当前安全威胁和攻击变化及测试难点,研究安全靶场、BAS等安全技术,提出安全测试靶场的的三层架构及四大目标特征。本白皮书探讨了基础设施层、核心仿真层、靶场平台层三层架构及技术要求,概况了真实性、高性能、开放性和智能化四大特征,最后总结数据中心安全测试靶场建设的意义和工作方向。 由于水平有限,技术要求必然存在不足或错误之处,欢迎业界各位批评指正,大家共同开展相关领域的探讨。 本白皮书的版权归ODCC所有,未经授权,任何单位或个人不得复制或拷贝本白皮书之部分或全部内容。 数据中心安全测试靶场技术白皮书ODCC2024000 目录 一、数据中心安全测试靶场建设的必要性1 (一)安全测试的重要性1 1.安全产品和技术引入的决策支撑1 2.现网安全防护体系效果的试金石1 (二)安全测试面临的挑战2 1.测试标准的缺乏性2 2.专业仪表的局限性3 3.环境搭建的复杂性3 4.新型技术的挑战性4 (三)通用安全靶场的满足度4 二、数据中心安全测试靶场建设目标5 (一)安全测试靶场的架构5 (二)安全测试靶场的特征6 三、数据中心安全测试靶场技术要求10 (一)基础设施层10 (二)核心仿真层10 (三)靶场平台层11 1.网络拓扑构建12 数据中心安全测试靶场技术白皮书ODCC2024000 2.资源管理12 3.环境仿真12 4.流量发生13 5.攻击编排13 6.数据采集13 7.可视化展示14 8.分析评估14 9.任务调度14 10.平台运维15 四、数据中心安全测试靶场建设意义15 (一)数据中心安全靶场建设意义15 (二)后续工作展望16 数据中心安全测试靶场技术白皮书ODCC2024000 数据中心安全测试靶场技术白皮书 一、数据中心安全测试靶场建设的必要性 (一)安全测试的重要性 随着网信安全形势的日趋复杂和安全能力要求的不断提高,安全测试作为公司网信安全建设和运营的重要手段,广泛支撑公司安全设备选型、产品研发、安全技术引入、现网安全规划和维护等环节。 1.安全产品和技术引入的决策支撑 合规引入:近年来,国家和行业出台一些列法律法规和标准要求企业确保其信息系统的安全性,为了安全合规性,企业补充和加强了网络安全、数据安全和信息安全相关产品的建设和技术引入,借此一大批安全厂家也推出了相关产品和安全理念,出现了网信安全行业“蓬勃发展”。而相关产品是否符合合规要求,引入前的测试验证是重要手段。 效果引入:随着安全合规要求的逐步落地,同时后疫情时代全球经济以及国内经济都面临着重要的转变和挑战,企业对安全投入变得谨慎,安全技术和产品的引入需要通过安全防护的效果说话,只有证明对企业安全防护有足够帮助同时高性价比的安全产品才能进入企业采购清单,安全测试是采购前证明防护效果和性价比的有力方法。 2.现网安全防护体系效果的试金石 企业安全建设已投入不少,但在护网等攻防演练活动中,仍然会 数据中心安全测试靶场技术白皮书ODCC2024000 暴露出了各种各样的安全防护问题,从而导致企业对对攻防对抗中网络安全防护设施的实际效能日益关注: 出现的问题是策略配置问题还是产品性能问题?现有的网络安全防御系统是否有效?是否存在防护上的漏洞?现有防御能力能否跟上不断新增的威胁?为了寻找答案,企业逐步开启对现网安全防御体系的安全测试。对于网络安全团队而言,全面、清晰和及时的掌握自身网络安全控制的有效性,发现相关安全防护漏洞、策略或者配置错误,了解安全防护设施是否经得起各种潜在的网络威胁变得更加重要。 网络安全和风险管理团队使用与攻击者相同的工具和技术对网络安全防御系统的有效性进行持续的测试和验证,以确保安全防护设施在按预期工作,能拦截相关攻击行为或者产生告警,发现安全防御上存在的漏洞,持续改善网络安全防御体系效能,在实际攻击发生前,做好及时响应处置的准备。 (二)安全测试面临的挑战 1.测试标准的缺乏性 安全领域广、产品多,尤其近年来安全技术和产品迭代迅速,安全产品逐渐细分,界限不明。相比于其他领域测试,安全领域测试缺乏测试标准,包括测试方法、评估指标、测试环境缺乏统一定义,而上述因素又极度影响测试结果,大大削弱安全测试结果的可信度。 数据中心安全测试靶场技术白皮书ODCC2024000 图1数据中心现有安全产品图谱 2.专业仪表的局限性 专业的安全仪表简化了混合流量叠加、攻击样本发送的环境部署、降低了对安全测试人员的技术要求。但安全仪表的局限性也显而易见:首先,其覆盖度、及时性存在不足,尤其是对国产硬件、软件及应用的漏洞攻击样本收集不足;其次,部分安全设备无仪表测试解决方案,尤其在需要与真实终端互动、新型技术领域;另外,安全测试一旦指定专业仪表,安全厂商往往投入足够的精力进行验证分析,安全攻击检出率超过真实水平。 3.环境搭建的复杂性 专业仪表的不足,促使部分安全测试场景需要搭建真实环境,而近年来信创要求无疑加大了真实环境部署的比例和复杂度,一方面国产化硬件平台、系统、软件规模部署,其安全风险亟待验证;另一方安全产品软件部署与信创软硬件兼容性需全面评测,导致为安全测试而环境搭建需要覆盖的设备和软件众多。不同的安全产品测试,测试 数据中心安全测试靶场技术白皮书ODCC2024000 环境搭建侧重点不同,如何快速构建贴近现网、多场景并行、长期在线、稳定复现的测试环境需要花费大量时间和精力,是安全测试的难题。 4.新型技术的挑战性 新型安全技术如高级APT攻击、生成式AI威胁等,由于其高度的复杂性和专业性,给测试人员带来了极大的挑战。这些技术需要测试人员具备深厚的专业知识、技术背景和测试工具,才能对其进行测试方案设计,全面、准确的测试。同时安全设备向大数据分析和智能化监测发展,测试方法和样本需同步跟进,测试数据的获取和准备往往比传统安全产品测试变的困难,测试人员需要不断探索和尝试新的测试工具和技术,以应对新型安全技术带来的挑战。 (三)通用安全靶场的满足度 网络安全靶场是针对攻防对抗演练、网络技术和武器装备试验、安全人才培养和网络风险评估验证的重要基础设施,国内研究院所、重点行业、评测机构均有典型建设案例。建设网络安全测试靶场,有助于安全测试能力提升:快速部署、虚实结合的靶场解决环境搭建复杂性难题;不断更新的黑客工具、攻击样本弥补专业仪表的不足;模拟现网的业务流量和大数据、新型工具引入迎接安全新型技术带来的挑战;可定义、复现的测试环境和明确的指标有助于统一安全测试方法和标准。 业界网络靶场提供商和综合安全厂商都提供通用的商业安全靶 数据中心安全测试靶场技术白皮书ODCC2024000 场,商用安全靶场可以开展安全测试,但为了更好的进行安全测试,构建专业的安全测试靶场,需要对商用安全靶场做提升: 评测为重点:商用靶场注重开展安全竞赛、教育培训和攻防演练; 安全测试靶场更注重自动化智能化评测各类安全产品,需要考虑多类数据中心设备多类场景安全测试的满足。 多设备管理:商用靶场管理设备较少,大量设备通过虚拟仿真实 现;安全测试靶场虽然也强调虚实结合,但通常以实为主,需要管理大量数据中心基础设备、被测试设备,资源管理和拓扑变化复杂。 大流量调度:商用靶场流量较小,仅注重业务可访问性安全测试 靶场需要引入硬件仪表,大业务流叠加攻击,以满足当前流量型安全设备百G数量级的性能测试。 注重开放性:商用靶场多依靠自身资源的积累,不集成外部资源; 安全测试攻击样本库、情报库、工具库需要动态更新,通过多方引入,有助于得出公平和权威的测试结果。 二、数据中心安全测试靶场建设目标 (一)安全测试靶场的架构 数据中心安全测试靶场平台是一个专为安全测试而规划建设的综合性平台。该平台的设计目标是以硬件资源为基础,为安全测试人员提供一个快速搭建测试场景、高度仿真现网环境,通过持续扩展攻防工具和攻击样本,自动执行和判定测试任务的交互界面,模拟各类网络攻击和防御场景,以支持安全测试和技术研究,后期可支撑攻防 数据中心安全测试靶场技术白皮书ODCC2024000 演练、安全人员培训等活动。 数据中心安全测试靶场平台采用三层级架构,包括基础设施层、核心仿真层和平台能力层。基础设施层提供基础的硬件和网络支持,包括服务器、网络设备、仪表等硬件设施,以及随时接入的被测试安全设备,构建贴近现网数据中心的基础环境;核心仿真层通过虚拟化、容器化等技术,快速部署Web应用、DNS应用、FTP应用、邮箱服务、工控业务等,集成情报库、攻击工具库、漏洞库和攻击场景库,模拟出真实的网络环境和业务场景,同时为攻击提供知识库和武器资源;平台能力层则提供了模块化、可视化的交互界面,包括资源管理、可视化、攻击编排、流量发生、信息采集、评估报告等。部署远程管理单元,与其他分节点实现信息互通、靶场联动、分节点部署。 图2安全测试靶场总体架构 (二)安全测试靶场的特征 安全测试靶场建设以下面四个特征为建设目标: 特征一、真实性:安全靶场平台能够类比现网数据中心环境,覆盖全面的硬件设备和软件应用,确保测试结果的准确性和可靠性。 数据中心安全测试靶场技术白皮书ODCC2024000 服务器架构多样:包含Intel、鲲鹏、海光多个平台,为软件安全产品安装等提供真实环境。 漏洞真实:部署各类操作系统、数据库和中间件等软件,漏洞真实已知和可验证。 流量真实:部署各类服务和应用,产生真实的业务流量,通过业务软件产生真实交互流量,并通过现网流量采集抓包后,仪表回放产生其他大流量,以支持各种网络协议和应用流量的仿真,包括TCP、UDP、HTTP、HTTPS、数据库、邮件、DNS、各类管理流量等,以模拟典型数据中心中真实业务场景中流量特征。 被测安全产品随时接入:测试环境应支持被测安全产品的随时接入,扮演数据中心安全防护和监测角色,以便在测试过程中模拟真实的网络环境和设备配置。 特征二、高性能:平台具备强大的流量仿真、数据处理和统计展 示能力,能够支持大规模、高并发、大吞吐的数据中心安全测试场景。为确保安全靶场平台能够满足高性能、高仿真度的测试需求,须 对安全靶场平台在架构、网络、流量模拟等方面的具体高性能要求进行严
