做零信任,微隔離是認(rèn)真的

科技云報道原創(chuàng)。

網(wǎng)絡(luò)安全公司Byos在2021年第三季度,對100位企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者開展了一項關(guān)于微隔離策略的調(diào)查。結(jié)果顯示,有83%的領(lǐng)導(dǎo)者通過某種形式的微隔離來增強(qiáng)其企業(yè)網(wǎng)絡(luò)安全性。

企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者認(rèn)為微隔離解決方案最有吸引力的功能是:實時威脅管理(76%)、安全遠(yuǎn)程訪問(67%)和勒索軟件終止開關(guān)(62%)等。

對于已經(jīng)轉(zhuǎn)向微隔離的人,有88%的企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者表示,微隔離對于實現(xiàn)零信任網(wǎng)絡(luò)安全至關(guān)重要。甚至更多的領(lǐng)導(dǎo)者(92%)表示,微隔離“比其替代方案更實用、更高效”。

不難發(fā)現(xiàn),微隔離自2016年首次被Gartner確定為信息安全的一項關(guān)鍵新興技術(shù),至今已被越來越多的業(yè)界人士認(rèn)可,成為了企業(yè)網(wǎng)絡(luò)安全的一個關(guān)鍵組成部分。

在Gartner 2020年的云安全技術(shù)成熟度曲線中,微隔離進(jìn)入了光明爬坡期,市場價值和技術(shù)成熟度已經(jīng)毋庸置疑。

云化趨勢下的微隔離

微隔離是2016年在Gartner安全與風(fēng)險管理峰會上,由Gartner副總裁、知名分析師Neil MacDonald提出的概念。

微隔離又稱軟件定義隔離、微分段。從網(wǎng)絡(luò)層隔離技術(shù)的角度看,小到主機(jī)防火墻、VLAN、VPC,大到硬件防火墻、VxLAN、安全域,其實都是隔離技術(shù),微隔離也是其中的一種,只是在不同的基礎(chǔ)設(shè)施上有不同的名字。

隨著內(nèi)部網(wǎng)絡(luò)的架構(gòu)從傳統(tǒng)的IT架構(gòu)向虛擬化、混合云和容器化升級變遷,企業(yè)發(fā)現(xiàn)一旦邊界的防線被攻破或者繞過,攻擊者就可以在數(shù)據(jù)中心內(nèi)部橫向移動,內(nèi)部隔離不再是一件容易的事情。

在近些年來各個領(lǐng)域發(fā)生的一些APT攻擊案例中能夠發(fā)現(xiàn),橫向移動已經(jīng)廣泛應(yīng)用于復(fù)雜的網(wǎng)絡(luò)攻擊中。

惡意攻擊者通常會嘗試包括釣魚郵件攻擊、漏洞利用等多種綜合攻擊的方式來突破目標(biāo)邊界防御系統(tǒng),然后伺機(jī)使用橫向移動來訪問受感染系統(tǒng)中的更多設(shè)備,向目標(biāo)組織內(nèi)部更多包含重要資產(chǎn)的服務(wù)器和主機(jī)進(jìn)行滲透,并伺機(jī)潛伏下來進(jìn)行長期、有計劃性和組織性地竊取敏感數(shù)據(jù)。一次橫向移動攻擊甚至能夠讓攻擊者控制同一環(huán)境下的全部機(jī)器。

已知的擅長利用橫向移動攻擊的惡意軟件更是不勝枚舉,如BlackEnergy、Emotet、Trickbot、Petya Ransomware、WannaCry等等,都是其中的佼佼者。

除了在APT攻擊之外,在我國大型攻防對抗演練活動中,這一攻擊手法也十分常見,橫向移動也被滲透測試人員稱為“最爽”的技術(shù)之一,一旦在滲透目標(biāo)系統(tǒng)內(nèi)部找到通路,就能夠在目標(biāo)系統(tǒng)內(nèi)部留下后門,為所欲為。

為了適應(yīng)攻防對抗防護(hù)的要求,滿足新的IT架構(gòu)的要求,業(yè)界不得不再重新分析和審視隔離的重要性,微隔離概念由此誕生。

簡單而言,微隔離能夠應(yīng)對傳統(tǒng)環(huán)境、虛擬化環(huán)境、混合云環(huán)境、容器環(huán)境下,對于東西向流量隔離的需求,重點用于阻止攻擊者進(jìn)入企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向移動。

微隔離:零信任三大技術(shù)方案之一

隔離從來都是一種高效可行的安全手段,微隔離技術(shù)的出現(xiàn)恰好能滿足新環(huán)境、新業(yè)務(wù)對安全保障的需求。

事實上,微隔離是最早的一種對零信任概念的具體技術(shù)實現(xiàn),這是因為微隔離技術(shù)與零信任安全模型有著天然的契合性。

傳統(tǒng)的安全模型將網(wǎng)絡(luò)劃分為不可信和可信兩個區(qū)域,用防火墻或網(wǎng)絡(luò)設(shè)備的ACL將網(wǎng)絡(luò)切分邊界進(jìn)行隔離,防火墻外部是不受信任的,內(nèi)部則認(rèn)為是安全可信的。

在零信任體系中,安全將不再區(qū)分網(wǎng)絡(luò)的內(nèi)部、外部,而是深度嵌入業(yè)務(wù)體系之中,構(gòu)建自適應(yīng)的內(nèi)生安全機(jī)制,通過與傳統(tǒng)防火墻、入侵防御等產(chǎn)品的互補(bǔ),實現(xiàn)更統(tǒng)一、易用的防護(hù)體系。

零信任安全針對傳統(tǒng)邊界安全架構(gòu)思想進(jìn)行了重新評估和審視,以“持續(xù)信任評估,動態(tài)訪問控制”為核心原則,因此,基于 “軟件定義邊界(SDP)”、“增強(qiáng)身份管理(IAM)”和“微隔離”構(gòu)成了零信任領(lǐng)域的三個技術(shù)基石,以減少暴露面和攻擊面,控制非授權(quán)訪問,實現(xiàn)長期的網(wǎng)絡(luò)安全保障。

其中,SDP技術(shù)是用于實現(xiàn)南北向安全的(用戶跟服務(wù)器間的安全),微隔離技術(shù)是用于實現(xiàn)東西向安全的(服務(wù)器跟服務(wù)器間的安全),IAM技術(shù)用于資源之間彼此的訪問關(guān)系授權(quán)。

將微隔離技術(shù)與零信任架構(gòu)相結(jié)合,可以實現(xiàn)進(jìn)程級別的訪問控制與隔離,防止攻擊者使用未經(jīng)批準(zhǔn)的連接或惡意代碼,從已經(jīng)受到攻擊的應(yīng)用程序或進(jìn)程橫向移動感染其他進(jìn)程。

舉個例子,如果黑客已經(jīng)攻進(jìn)了一個服務(wù)器,那么他就可以利用這個服務(wù)器做跳板,進(jìn)一步攻擊網(wǎng)絡(luò)中的其他服務(wù)器。

但微隔離可以阻止這種來自內(nèi)部的橫向攻擊。微隔離通過服務(wù)器間的訪問控制,阻斷勒索病毒在內(nèi)部網(wǎng)絡(luò)中的蔓延,降低黑客的攻擊面。

這正好符合了零信任的原則:假設(shè)已經(jīng)被攻破;持續(xù)驗證,永不信任;只授予必須的最小權(quán)限。

微隔離的實現(xiàn)方式

目前,微隔離已有多種實現(xiàn)方式,企業(yè)可以根據(jù)自身需要進(jìn)行選擇。

云原生控制

這種在虛擬化平臺提供者中比較常見,在虛擬化平臺、laas、hypervisor或者基礎(chǔ)設(shè)施中提供,比如阿里云、VMware NSX等。

優(yōu)勢是與云平臺整合的更加完善,屬于同一供應(yīng)商,支持自動化編排。但劣勢在于只支持自身虛擬化平臺、不支持混合云;更適合于隔離,而不是訪問控制;東西向的管理能力有限。

第三方防火墻

主要是基于第三方防火墻供應(yīng)商提供的虛擬化防火墻。這種方案的優(yōu)勢在于具備豐富的安全能力,如:入侵檢測、防病毒等功能,能集成IPS、av等功能,與防火墻配置邏輯一致,普遍支持自動化編排。

但劣勢也很明顯,需要與虛擬化平臺做對接,費用高,且有性能損耗。

基于主機(jī)代理模式

這種模式就是采用Agent,將Agent部署到每臺主機(jī)(虛擬機(jī))中,Agent調(diào)用主機(jī)自身的防火墻或內(nèi)核自定義防火墻來做服務(wù)器間的訪問控制。這種方式就是用微隔離實現(xiàn)零信任的模式之一。

優(yōu)勢在于與底層架構(gòu)無關(guān),支持多云和容器;主機(jī)遷移時安全策略也能跟隨著遷移;支持自動化編排。

缺點在于必須在每個服務(wù)器上安裝agent客戶端,有人會擔(dān)心資源占用問題,擔(dān)心影響現(xiàn)有業(yè)務(wù)。

混合模型

一般都是通過其它模式組合使用,例如本地與第三方組合。

優(yōu)勢是可以基于現(xiàn)有的內(nèi)容進(jìn)行升級改造,在不同的位置使用不同模式的優(yōu)勢。但缺點是

通常無法統(tǒng)一管理,需要多種管理工具,且云廠商往往對第三方產(chǎn)品的支持度不夠高。

總體來說,四種方案各有優(yōu)缺點,需要企業(yè)安全團(tuán)隊結(jié)合自身的實際情況來優(yōu)化和處理。

如果環(huán)境中租戶數(shù)量較少且有跨云的情況,主機(jī)Agent方案可以作為第一選擇。

如果環(huán)境中有較多租戶分隔的需求且不存在跨云的情況,采用SDN虛擬化設(shè)備的方式是較優(yōu)的選擇,主機(jī)Agent方案作為補(bǔ)充。

另外,主機(jī)Agent方案也可以結(jié)合主機(jī)漏洞風(fēng)險發(fā)現(xiàn)、主機(jī)入侵檢測能力相結(jié)合,形成更立體化的解決方案。

如何檢驗微隔離的效果?

檢驗微隔離是否真正發(fā)揮效果,最直接的方式就是在攻防對抗中進(jìn)行檢驗。企業(yè)可以模擬以下幾個場景進(jìn)行檢驗:

互聯(lián)網(wǎng)一臺主機(jī)被攻陷后,能夠觸達(dá)內(nèi)部多大范圍的主機(jī)和工作負(fù)載;同一業(yè)務(wù)區(qū)域一臺主機(jī)被攻陷后,能否攻陷該業(yè)務(wù)區(qū)域的其他主機(jī)和工作負(fù)載(所有工作負(fù)載都存在可以利用的漏洞);某一業(yè)務(wù)區(qū)域一臺主機(jī)被攻陷后,能否觸達(dá)跟該業(yè)務(wù)區(qū)域有訪問關(guān)系的其他業(yè)務(wù)區(qū)域的核心主機(jī)和工作負(fù)載;內(nèi)部一臺主機(jī)被攻陷后,能夠觸達(dá)到域控主機(jī)以及能否攻陷域控主機(jī)(域控主機(jī)存在可以利用的漏洞);內(nèi)部一個容器工作負(fù)載被攻陷后,能夠觸達(dá)內(nèi)部其他多少個容器工作負(fù)載;能否通過該容器滲透到宿主主機(jī);以上所有網(wǎng)絡(luò)訪問行為是否在微隔離系統(tǒng)中的策略智能管控平臺上監(jiān)測到,是否有明顯報警標(biāo)記。

事實上,從原有的傳統(tǒng)安全架構(gòu)升級到零信任架構(gòu)注定是一個長期的整體工程,這是一個不斷自我提升和完善的過程,因此在微隔離的建設(shè)規(guī)劃中,企業(yè)應(yīng)該專注于自身安全防御能力的提升和優(yōu)化,將策略和技術(shù)手段結(jié)合起來,來制定一個適合自身的建設(shè)方案。

同時,企業(yè)安全部門還可以根據(jù)自身業(yè)務(wù)的實際情況,模擬更多的攻防對抗場景進(jìn)行檢驗,才能做到“知己知彼,百戰(zhàn)不殆”。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2021-12-22
做零信任,微隔離是認(rèn)真的
做零信任,微隔離是認(rèn)真的

長按掃碼 閱讀全文