security as an app and security as a service new killer
play

Security as an App and Security as a Service: New - PowerPoint PPT Presentation

Dec 28, 2023 •27 likes •447 views

Security as an App and Security as a Service: New Killer Applica6ons for So9ware Defined Networking? Guofei Gu SUCCESS Lab, Texas A&M

  1. Security ¡as ¡an ¡App ¡and ¡ Security ¡as ¡a ¡Service: ¡ ¡ New ¡Killer ¡Applica6ons ¡for ¡ So9ware ¡Defined ¡Networking? ¡ Guofei ¡Gu ¡ SUCCESS ¡Lab, ¡Texas ¡A&M ¡

  2. Credits ¡ • Seungwon ¡Shin ¡(TAMU) ¡ • Phil ¡Porras, ¡Vinod ¡Yegneswaran… ¡(SRI ¡ Interna?onal) ¡

  3. Roadmap ¡ • Security ¡in ¡the ¡paradigm ¡of ¡SDN/OpenFlow ¡ • Security ¡as ¡an ¡App ¡(SaaA) ¡ – New ¡app ¡development ¡framework: ¡FRESCO ¡ – New ¡security ¡enforcement ¡kernel: ¡FortNOX ¡ • Security ¡as ¡a ¡Service ¡(SaaS) ¡ – New ¡security ¡monitoring ¡service ¡for ¡cloud ¡tenants: ¡ CloudWatcher ¡ • Summary ¡

  4. Problems ¡of ¡Legacy ¡Network ¡Devices ¡ • Too ¡complicated ¡ – Control ¡plane ¡is ¡implemented ¡with ¡complicated ¡S/ W ¡and ¡ASIC ¡ • Closed ¡plaRorm ¡ – Vendor ¡specific ¡ • Hard ¡to ¡modify ¡(nearly ¡impossible) ¡ – Hard ¡to ¡add ¡new ¡func?onali?es ¡

  5. SoUware ¡Defined ¡Networking ¡(SDN) ¡ • Three ¡layer ¡ – Applica?on ¡layer ¡ • Applica?on ¡part ¡of ¡control ¡layer ¡ • Implement ¡logic ¡for ¡flow ¡control ¡ – Control ¡layer ¡ • Kernel ¡part ¡of ¡control ¡layer ¡ • Run ¡applica?ons ¡to ¡control ¡ network ¡flows ¡ – Infrastructure ¡layer ¡ • Data ¡plane ¡ SDN ¡architecture ¡from ¡ONF ¡ • Network ¡switch ¡or ¡router ¡

  6. OpenFlow ¡Architecture ¡ OpenFlow ¡Switch ¡specifica2on ¡ applica?on ¡ OpenFlow Switch PC ¡ SSL ¡ controller ¡ Secure ¡ sw ¡ A ¡controller ¡applica2on ¡ Channel ¡ can ¡enforce ¡any ¡flow ¡rules ¡ to ¡network ¡switches ¡ Flow ¡ hw ¡ Table ¡ From ¡openflow ¡tutorial ¡

  7. Killer ¡Applica?ons ¡of ¡SDN? ¡ • Reducing ¡Energy ¡in ¡Data ¡Center ¡Networks ¡ (load ¡balancing) ¡ • WAN ¡VM ¡Migra?on ¡ • … ¡ • How ¡about ¡security? ¡ – We ¡are ¡going ¡to ¡talk ¡about ¡this, ¡more ¡specifically: ¡ – Security ¡as ¡an ¡App ¡(SaaA) ¡ – Security ¡as ¡a ¡Service ¡(SaaS) ¡

  8. SoUware ¡App ¡Store ¡Today ¡ ¡

  9. Security ¡as ¡an ¡App ¡ • SDN ¡naturally ¡has ¡an ¡applica?on ¡layer ¡ • Security ¡func?ons ¡can ¡be ¡apps ¡on ¡top ¡of ¡SDN/ ¡ networking ¡OS ¡ – Firewall ¡ – Scan ¡detec?on ¡ – DDoS ¡detec?on ¡ – Intrusion ¡detec?on/preven?on ¡ – … ¡ • Why ¡SaaA? ¡ – Cost ¡efficiency ¡ – Easy ¡deployment/maintenance ¡ – Rich, ¡flexible ¡network ¡control ¡ ¡

  10. Security ¡as ¡a ¡Service ¡ • Clouds ¡are ¡large, ¡complicated, ¡and ¡dynamic ¡ • How ¡do ¡tenants ¡deploy ¡security ¡devices/ func?ons? ¡ • Tenant ¡can ¡use ¡some ¡pre-­‑installed ¡fixed-­‑loca?on ¡security ¡ devices ¡ – Not ¡able ¡to ¡keep ¡up ¡with ¡the ¡high ¡dynamisms ¡in ¡network ¡ configura?ons ¡ • Tenant ¡can ¡Install ¡security ¡devices ¡for ¡themselves ¡ ¡ – Difficult ¡ ¡ • Need ¡a ¡new ¡ Security ¡Monitoring ¡as ¡a ¡Service ¡ mechanism ¡for ¡a ¡cloud ¡network ¡ ¡

  11. Challenges ¡and ¡Our ¡Contribu?ons ¡ • It ¡is ¡not ¡easy ¡to ¡develop ¡security ¡apps ¡ – FRESCO: ¡a ¡new ¡app ¡development ¡framework ¡for ¡ modular, ¡composable ¡security ¡services ¡ • It ¡is ¡not ¡secure ¡when ¡running ¡buggy/vulnerable/ mul2ple ¡security ¡apps ¡(e.g., ¡policy ¡conflict/ bypass) ¡ – FortNOX: ¡a ¡new ¡security ¡enforcement ¡kernel ¡ • It ¡is ¡not ¡convenient ¡to ¡install/use ¡security ¡devices ¡ for ¡cloud ¡tenants ¡ – CloudWatcher: ¡a ¡new ¡security ¡monitoring ¡service ¡ model ¡based ¡on ¡SDN ¡

  12. FRESCO: ¡ Framework ¡for ¡Enabling ¡Security ¡ ¡ Controls ¡in ¡OpenFlow ¡networks ¡

  13. What ¡is ¡FRESCO? ¡ • A ¡new ¡framework ¡ – Enables ¡to ¡compose ¡diverse ¡network ¡security ¡ func?ons ¡easily ¡(with ¡combining ¡mul?ple ¡ modules) ¡ – Enables ¡to ¡create ¡own ¡network ¡security ¡func?ons ¡ easily ¡(without ¡requiring ¡addi?onal ¡H/Ws) ¡ – Enables ¡to ¡deploy ¡network ¡security ¡func?ons ¡ easily ¡and ¡dynamically ¡(without ¡modifying ¡the ¡ underlying ¡network ¡architecture) ¡ – Enable ¡to ¡add ¡more ¡intelligence ¡to ¡current ¡ network ¡security ¡func?ons ¡ ¡

  15. FRESCO ¡– ¡Overall ¡Opera?on ¡ Monitor ¡ Create ¡ Load ¡ Run ¡ OpenFlow ¡ Modules ¡ Modules ¡ Modules ¡ switches ¡ Answer ¡from ¡NOX ¡ No6fy ¡NOX ¡ of ¡loading ¡ FRESCO ¡ modules ¡

  16. FRESCO ¡Modular ¡Design ¡ event ¡ parameter ¡ input ¡ ¡ output ¡ ac6on ¡ Module ¡ k e values ¡ y ¡ F-­‑DB ¡instance ¡

  17. FRESCO ¡– ¡Script ¡Language ¡ Goal ¡ • – Define ¡interfaces, ¡ac?ons, ¡and ¡parameters ¡ – Connect ¡mul?ple ¡modules ¡ – Similar ¡to ¡C/C++ ¡func?on, ¡start ¡with ¡{ ¡and ¡end ¡with ¡} ¡ Format ¡ • – Instance ¡name ¡(# ¡of ¡input) ¡(# ¡of ¡output) ¡ ¡ ¡ • denotes ¡the ¡module ¡name ¡and ¡the ¡number ¡of ¡input ¡and ¡output ¡variables ¡ – INPUT: ¡a 1 ,a 2 , ¡ • denotes ¡input ¡items ¡for ¡a ¡module ¡a n ¡may ¡be ¡set ¡of ¡flows, ¡packets ¡or ¡integer ¡values ¡ – OUTPUT: ¡b 1 ,b 2 , ¡ • denotes ¡output ¡items ¡for ¡a ¡module ¡b n ¡may ¡be ¡set ¡of ¡flows, ¡packets ¡or ¡integer ¡values ¡ – PARAMETER: ¡c 1 ,c 2 , ¡ • denotes ¡configura?on ¡values ¡of ¡a ¡module ¡c n ¡may ¡be ¡real ¡numbers ¡or ¡strings ¡ – EVENT: ¡d 1 ,d 2 , ¡ • denotes ¡events ¡that ¡will ¡be ¡delivered ¡to ¡a ¡module ¡d n ¡may ¡be ¡any ¡predefined ¡string ¡ – ACTION ¡: ¡condi?on ¡; ¡ac?on, ¡ • denotes ¡ac?ons ¡that ¡will ¡be ¡performed ¡based ¡on ¡condi?on ¡

  18. Simple ¡Working ¡Example: ¡Reflector ¡ Net ¡ ¡ do_redirect ¡(2) ¡(0) ¡{ ¡ find_scan ¡(1) ¡(2) ¡{ ¡ ¡ ¡ TYPE : ¡Ac?onHandler ¡ ¡ ¡ TYPE : ¡ScanDetector ¡ ¡ ¡EVENT :PUSH ¡ ¡ ¡EVENT :TCP_CONNECTION_FAIL ¡ ¡ ¡INPUT :SRC_IP, ¡scan_result ¡ ¡ ¡INPUT : ¡SRC_IP ¡ ¡ ¡OUTPUT : ¡-­‑ ¡ ¡ ¡OUTPUT : ¡SRC_IP, ¡scan_result ¡ ¡ ¡PARAMETER : ¡-­‑ ¡ ¡ ¡PARAMETER : ¡5 ¡ ¡ ¡ACTION : ¡scan_result ¡== ¡1? ¡REDIRECT: ¡ ¡ ¡ACTION : ¡-­‑ ¡ FORWARD ¡ /* ¡no ¡ac?ons ¡are ¡defined ¡*/ ¡ /* ¡if ¡scan_result ¡equals ¡1, ¡redirect; ¡ } ¡ otherwise, ¡forward ¡*/ ¡ } ¡ Module ¡1 ¡ Module ¡2 ¡

  19. Reflector ¡Net ¡ ¡

  20. Coopera?ng ¡with ¡Legacy ¡Security ¡ Applica?ons ¡

  21. BotMiner ¡-­‑ ¡Overview ¡ • How ¡to ¡detect ¡botnet ¡C&C ¡channels ¡ – Find ¡C-­‑plane ¡ • Who ¡is ¡talking ¡to ¡whom? ¡ – Flow: ¡SRC ¡IP, ¡DST ¡IP, ¡DST ¡Port, ¡Protocol ¡ – Features ¡ » BPS ¡(bytes ¡per ¡second), ¡FPH ¡(flows ¡per ¡hour) ¡ » BPP ¡(bytes ¡per ¡packet), ¡PPF ¡(packets ¡per ¡flow) ¡ – Clustering ¡based ¡on ¡features ¡ – Find ¡A-­‑plane ¡ • Who ¡is ¡doing ¡what? ¡ – Clients ¡perform ¡malicious ¡ac?vi?es ¡ » E.g., ¡scanning, ¡spam ¡ac?vity ¡and ¡etc ¡ – Clustering ¡based ¡on ¡malicious ¡ac?ons ¡ » E.g., ¡scan ¡cluster ¡ – Co-­‑Clustering ¡ • Combine ¡results ¡of ¡two ¡clusters ¡to ¡find ¡botnet ¡C&C ¡channels ¡ • Channels ¡showing ¡similar ¡C-­‑plane ¡panerns ¡and ¡performing ¡malicious ¡ ac?ons ¡

Recommend

Application Security as a Service: Start Your Application Security Initiative in Less than a Day

Application Security as a Service: Start Your Application Security Initiative in Less than a Day

Application Security as a Service: Start Your Application Security Initiative in Less than a Day David Harper Practice Principal Fortify on Demand #MicroFocusCyberSummit Agenda The Application Security Problem Security Gate Secure DevOps

37.39k views • 30 slides
UCP GROUP Maritime Security Services UCP GROUP ONE SOLUTION ONE PLATFORM ONE SECURITY SERVICE

UCP GROUP Maritime Security Services UCP GROUP ONE SOLUTION ONE PLATFORM ONE SECURITY SERVICE

UCP GROUP Maritime Security Services UCP GROUP ONE SOLUTION ONE PLATFORM ONE SECURITY SERVICE Maritime Security - Commercial Shipping Security - Cruise Liner Security - Super-Yacht Security Maritime Security Services UCP GROUP is a market

247 views • 22 slides
Defense Security Service Defense Security Service Cybersecurity Operations Division

Defense Security Service Defense Security Service Cybersecurity Operations Division

UNCLASSIFIED//FOUO Defense Security Service Defense Security Service Cybersecurity Operations Division Counterintelligence UNCLASSIFIED//FOUO UNCLASSIFIED Defense Security Service DSS Mission Capability DSS Supports national security and

490 views • 33 slides
What is network security? Friends and enemies: Alice, Bob, Trudy What is network security?

What is network security? Friends and enemies: Alice, Bob, Trudy What is network security?

Network security Network security Foundations: what is security? cryptography Network Security Network Security authentication message integrity key distribution and certification Security in practice: Srinidhi Varadarajan

332 views • 6 slides
Botnets: The Web Killer Chris Lee Computer Network Security March 7th, 2008 Online Crime

Botnets: The Web Killer Chris Lee Computer Network Security March 7th, 2008 Online Crime

Botnets: The Web Killer Chris Lee Computer Network Security March 7th, 2008 Online Crime Motives Tactics Money Spam Thuggery DDoS Espionage Targeted attacks Money Proxies Phishing

295 views • 13 slides
SECTET SECTET Model driven Security of Service Oriented Systems y y based on Security as

SECTET SECTET Model driven Security of Service Oriented Systems y y based on Security as

Japan-Austria Joint Workshop on ICT October 18-19 2010, Tokyo, Japan SECTET SECTET Model driven Security of Service Oriented Systems y y based on Security as a Service Basel Katt , Ruth Breu, Mukhtiar Memon and Michael

646 views • 26 slides
Denial-of-Service, cont / Web Security CS 161: Computer Security Prof. Vern Paxson TAs:

Denial-of-Service, cont / Web Security CS 161: Computer Security Prof. Vern Paxson TAs:

Denial-of-Service, cont / Web Security CS 161: Computer Security Prof. Vern Paxson TAs: Jethro Beekman, Mobin Javed, Antonio Lupher, Paul Pearce & Matthias Vallentin http://inst.eecs.berkeley.edu/~cs161/ February 21, 2013 Goals For

1.02k views • 60 slides
Security Security as term, Possible Security violations Authentication Criteria for

Security Security as term, Possible Security violations Authentication Criteria for

BS1 WS19/20 topic-based slides Security Security as term, Possible Security violations Authentication Criteria for Trust in Computer Systems Three hearts of Windows Security DACLs A Look at Security System is secure if

988 views • 20 slides
CPSC410/611: Security Security Security Attacks Security Threats Crypto

CPSC410/611: Security Security Security Attacks Security Threats Crypto

CPSC 410 / 611 : Operating Systems CPSC410/611: Security Security Security Attacks Security Threats Crypto Authentication Examples SSL Security Threats Breach of confidentiality unauthorized access to

458 views • 18 slides
Biometrics and Security Biometrics and Security Biometrics and Security Biometrics and Security

Biometrics and Security Biometrics and Security Biometrics and Security Biometrics and Security

Biometrics and Security Biometrics and Security Biometrics and Security Biometrics and Security WS 06/07 Seminar Prof. Dr.-Ing. Jana Dittmann & Dr.-Ing. Claus Vielhauer with support from Tobias Scheidat

419 views • 16 slides
1 X.800 Security Services X.800 Security Services X.800 Security Services Data integrity

1 X.800 Security Services X.800 Security Services X.800 Security Services Data integrity

Course Overview Course Requirements EECS 498-7/8 Cryptography and Network Security: www.citi.umich.edu/u/honey/security Principles and Practice (Third Edition) Computer Security Monday & Friday, 9:00 10:30 William Stallings

670 views • 19 slides
Security Service Challenge & Security Monitoring Jinny Chien Academia Sinica Grid Computing

Security Service Challenge & Security Monitoring Jinny Chien Academia Sinica Grid Computing

Enabling Grids for E-sciencE Security Service Challenge & Security Monitoring Jinny Chien Academia Sinica Grid Computing OSCT Security Workshop on 7 th March in Taipei www.eu-egee.org 1 Jinny Chien, ASGC Training and Dissemination

1.05k views • 39 slides
A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security

A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security

A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security Introducing Spring Security View layer security Whats coming in Spring Security 3 E-mail: craig@habuma.com Blog: http://www.springloaded.info

452 views • 19 slides
Network Security Network Security Srinidhi Varadarajan Network security Network security

Network Security Network Security Srinidhi Varadarajan Network security Network security

Network Security Network Security Srinidhi Varadarajan Network security Network security Foundations: what is security? cryptography authentication message integrity key distribution and certification Security in practice:

634 views • 36 slides
Security Overview Security Goals The Attack Space Security Mechanisms

Security Overview Security Goals The Attack Space Security Mechanisms

CSCE Intro to Computer Systems Security Security Overview Security Goals The Attack Space Security Mechanisms Introduction to Cryptography Authentication Authorization Confidentiality Case Studies Security

472 views • 20 slides
The sky is falling Nephological tales of security woe Ben Toews Snakeoil as a Service People are

The sky is falling Nephological tales of security woe Ben Toews Snakeoil as a Service People are

The sky is falling Nephological tales of security woe Ben Toews Snakeoil as a Service People are concerned about security these days - - People arent sure about the security impact of the cloud - Scared people are good customers - Lots of

588 views • 41 slides
SECURITY TESTING Towards a safer web world AGENDA 1. 3 WS OF SECURITY TESTING 2. SECURITY

SECURITY TESTING Towards a safer web world AGENDA 1. 3 WS OF SECURITY TESTING 2. SECURITY

SECURITY TESTING Towards a safer web world AGENDA 1. 3 WS OF SECURITY TESTING 2. SECURITY TESTING CONCEPTS 3. SECURITY TESTING TYPES 4. TOP 10 SECURITY RISKS Few Security Breaches Date: 2013-14 September 2016, while in negotiations to

404 views • 18 slides
Security and DRM Joseph Chou Texas Instruments IETF 60 PERM BOF 1 Security and DRM DRM is

Security and DRM Joseph Chou Texas Instruments IETF 60 PERM BOF 1 Security and DRM DRM is

Security and DRM Joseph Chou Texas Instruments IETF 60 PERM BOF 1 Security and DRM DRM is Based on Security Principals Authentication (device, user, service) Key management, data encryption and signature for data confidentiality

204 views • 6 slides
Cyber Security Information Sharing Oscar Serrano NCI Agency Cyber Security Service Line

Cyber Security Information Sharing Oscar Serrano NCI Agency Cyber Security Service Line

Cyber Security Information Sharing Oscar Serrano NCI Agency Cyber Security Service Line DeepSec 2014, Vienna, 21 November 2014 NATO UNCLASSIFIED Cyber Security In NATO NATO in a nutshell: Collective defence Interoperable

666 views • 42 slides
Security Security with Distributed Systems Why Security? The need for security mechanisms in

Security Security with Distributed Systems Why Security? The need for security mechanisms in

Security Security with Distributed Systems Why Security? The need for security mechanisms in distributed systems arises from the desire to share resources Resources must be protected against unauthorized access, as enemies (attackers)

1.16k views • 67 slides
Safety and Security Certification Program Safety and Security Certification A process to

Safety and Security Certification Program Safety and Security Certification A process to

Safety and Security Certification Program Safety and Security Certification A process to assure that safety & security concerns, vulnerabilities, and hazards are adequately addressed prior to the initiation of service. Safety and

97 views • 9 slides
International and Global Security 1 Peer Discussion What is security? 2 International

International and Global Security 1 Peer Discussion What is security? 2 International

International and Global Security 1 Peer Discussion What is security? 2 International Security What is security? Freedom from threats to core values? Contestation over referent object: Individual? State? System? How is security achieved?

715 views • 11 slides
Security Overview Security Goals The Attack Space Security Mechanisms

Security Overview Security Goals The Attack Space Security Mechanisms

CPSC 410/611 Operating Systems Security Security Overview Security Goals The Attack Space Security Mechanisms Introduction to Cryptography Authentication Authorization Confidentiality Case Studies

419 views • 19 slides
Security As A Service Leveraged by Apache Projects Oliver Wulff, Talend Application Security

Security As A Service Leveraged by Apache Projects Oliver Wulff, Talend Application Security

Security As A Service Leveraged by Apache Projects Oliver Wulff, Talend Application Security Landscape 11/19/14 2 Solution Building blocks Apache CXF Fediz Apache CXF Fediz Single Sign On (WS-Federation) Attribute Based Access

515 views • 29 slides

More recommend