電子發(fā)燒友App
盡管在過(guò)去幾年中企業(yè)安全架構(gòu)進(jìn)行了一系列改進(jìn),但有一個(gè)重要轉(zhuǎn)型已經(jīng)達(dá)成共識(shí),那就是企業(yè)不能僅依靠外圍邊界的“馬其頓防線”來(lái)阻止網(wǎng)絡(luò)攻擊者。通過(guò)將IT環(huán)境劃分為可控的細(xì)分區(qū)間——即所謂的“微隔離”,能有效解決未經(jīng)授權(quán)的橫向移動(dòng)的挑戰(zhàn),使企業(yè)能夠安全地隔離工作負(fù)載,實(shí)現(xiàn)細(xì)粒度的網(wǎng)絡(luò)保護(hù)。
如今,網(wǎng)絡(luò)攻擊者正在不斷嘗試?yán)@過(guò)安全措施的新方法,因此能夠有效阻斷橫向移動(dòng)的微隔離已成為主流安全技術(shù)之一。
微隔離與SDP和零信任架構(gòu)的關(guān)系
一個(gè)典型的基于SDP/微隔離框架的零信任架構(gòu)
提到微隔離,我們有必要先回顧一下零信任架構(gòu)的概念。零信任是一個(gè)全新的安全機(jī)制和構(gòu)想,即所有資產(chǎn)都必須先經(jīng)過(guò)身份驗(yàn)證和授權(quán),然后才能啟動(dòng)與另一資產(chǎn)的通信。SDP是一種零信任實(shí)現(xiàn)框架,通過(guò)使用微隔離在資產(chǎn)之間創(chuàng)建信任關(guān)系,將零信任安全性概念應(yīng)用于網(wǎng)絡(luò)中。SDP可以作為有效的網(wǎng)絡(luò)安全控制措施,使組織更能抵御傳統(tǒng)的網(wǎng)絡(luò)安全攻擊。因此,微隔離是基于SDP實(shí)現(xiàn)零信任架構(gòu)的重要技術(shù),但是與很多新興技術(shù)一樣,SDP也有很多實(shí)現(xiàn)方法和路徑,不同的企業(yè)需要根據(jù)自身需求以及不同方法的優(yōu)缺點(diǎn)來(lái)選擇適合自己的道路。
微隔離的工作原理
微隔離不僅是網(wǎng)絡(luò)性能和管理分段技術(shù)所邁出的一步,也是專門為解決關(guān)鍵網(wǎng)絡(luò)安全問(wèn)題而設(shè)計(jì)的,可以降低風(fēng)險(xiǎn)并使安全性能夠適應(yīng)不斷變化的IT環(huán)境。
過(guò)去二十年間,信息安全專家們已經(jīng)大量探討了零信任技術(shù)的各種實(shí)施方案和潛在問(wèn)題。瞻博網(wǎng)絡(luò)(Juniper)技術(shù)安全負(fù)責(zé)人Trevor Pott認(rèn)為:“微隔離是'安全簡(jiǎn)化'的實(shí)現(xiàn),”它擁有自動(dòng)化和編排工具,提供詳細(xì)報(bào)告和復(fù)雜的圖形用戶界面。他補(bǔ)充說(shuō):“如今,我們不再有任何借口不去做我們20年前就應(yīng)該做的事情。”
微隔離通過(guò)單個(gè)中央策略將安全性實(shí)施分配到每個(gè)單獨(dú)的系統(tǒng)。網(wǎng)絡(luò)安全提供商OPAQ的首席技術(shù)官湯姆·克羅斯(Tom Cross)解釋說(shuō):“微隔離使整個(gè)企業(yè)網(wǎng)絡(luò)(而不只是在邊界)可以執(zhí)行精細(xì)的安全策略。”“這種方法是必要的,因?yàn)橥鈬踩袝r(shí)會(huì)失敗,并且因?yàn)?a href="http://m.xsypw.cn/v/tag/475/" target="_blank">云計(jì)算的應(yīng)用普及,網(wǎng)絡(luò)外圍正變得千瘡百孔。”
微隔離仍然依靠傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù),例如訪問(wèn)控制網(wǎng)絡(luò)。IT服務(wù)提供商Entrust Solutions的IT主管兼網(wǎng)絡(luò)安全專家Brad Willman表示:“微隔離的獨(dú)特之處在于,這些(傳統(tǒng))安全方法適用于微隔離網(wǎng)絡(luò)中的各個(gè)工作負(fù)載。”
微隔離已經(jīng)吸引了許多企業(yè)和機(jī)構(gòu)的關(guān)注。IT咨詢公司Kelser的高級(jí)咨詢工程師Andrew Tyler認(rèn)為:“微隔離是一種策略,它不僅可以防止數(shù)據(jù)泄露,而且還可以通過(guò)將泄露限制在網(wǎng)絡(luò)的一個(gè)局部來(lái)極大地減少破壞(如果發(fā)生)。”
不同的微隔離方法
Cross建議,技術(shù)高明的攻擊者在嘗試滲透企業(yè)資源時(shí)會(huì)采用多個(gè)步驟,因此基礎(chǔ)架構(gòu)防御者應(yīng)考慮在每個(gè)步驟上建立控制措施。他說(shuō):“系統(tǒng)之間的內(nèi)部橫向化移動(dòng)在最近的安全事件中起了關(guān)鍵作用,諸如Mimikatz和Bloodhound之類的工具為攻擊者提供了豐富的功能。”“微隔離可以有效切斷防御者在內(nèi)部網(wǎng)絡(luò)中傳播的潛在路徑,使防御者能夠有效破壞攻擊行動(dòng)。”
需要重點(diǎn)指出的是,微隔離不僅是面向數(shù)據(jù)中心的技術(shù)。Cross說(shuō):“許多安全事件始于最終用戶工作站,因?yàn)閱T工單擊釣魚鏈接,或者他們的系統(tǒng)受到其他方式的破壞。”從最初的感染點(diǎn)開始,攻擊者可以流竄到整個(gè)企業(yè)網(wǎng)絡(luò)。他解釋說(shuō):“微隔離平臺(tái)應(yīng)該能夠通過(guò)單個(gè)控制臺(tái)在數(shù)據(jù)中心,云工作負(fù)載和最終用戶工作站上實(shí)施策略。”“它還應(yīng)該能夠阻止攻擊在任何這些環(huán)境中的橫向傳播。”
與許多新興技術(shù)一樣,安全供應(yīng)商正從各個(gè)方向著手實(shí)現(xiàn)微隔離方案。三種傳統(tǒng)的微隔離類型是基于主機(jī)代理的微隔離,基于虛擬機(jī)監(jiān)控程序和網(wǎng)絡(luò)隔離。
(1) 基于主機(jī)代理。這種微隔離類型依賴位于端點(diǎn)中的代理。所有數(shù)據(jù)流都是可見的并將其中繼到中央管理器,這種方法可以減輕發(fā)現(xiàn)挑戰(zhàn)性協(xié)議或加密流量的麻煩。主機(jī)代理技術(shù)通常被認(rèn)為是一種高效的微隔離方法。“由于受感染的設(shè)備是主機(jī),因此良好的主機(jī)策略甚至可以阻止問(wèn)題進(jìn)入網(wǎng)絡(luò),”軟件開發(fā)和IT服務(wù)初創(chuàng)公司Mulytic Labs的CTO David Johnson說(shuō)道。但是,它要求所有主機(jī)都安裝軟件,“對(duì)遺留操作系統(tǒng)和舊系統(tǒng)可能并不友好”。
(2) 基于虛擬機(jī)監(jiān)控程序。使用這種微隔離,所有流量都流經(jīng)管理程序。Johnson解釋說(shuō):“監(jiān)視虛擬機(jī)管理程序流量的能力意味著人們可以使用現(xiàn)有的防火墻,并且可以根據(jù)日常運(yùn)營(yíng)實(shí)例的需要將策略轉(zhuǎn)移至新的虛擬機(jī)管理程序。”這種方法的缺點(diǎn)是虛擬機(jī)管理程序分段通常不適用于云環(huán)境、容器或裸機(jī)。他建議說(shuō):“在能夠派上用場(chǎng)的場(chǎng)景中,基于虛擬機(jī)監(jiān)控程序的方法非常有效。”
(3) 網(wǎng)絡(luò)隔離。這種方法基本上是對(duì)現(xiàn)有安全架構(gòu)的擴(kuò)展,它基于訪問(wèn)控制列表(ACL)和其他經(jīng)過(guò)時(shí)間檢驗(yàn)的方法進(jìn)行細(xì)分。約翰遜說(shuō):“到目前為止,這是最簡(jiǎn)單的方法,因?yàn)榇蠖鄶?shù)網(wǎng)絡(luò)專業(yè)人員都熟悉這種方法。”“但是,大型網(wǎng)絡(luò)段可能無(wú)法實(shí)現(xiàn)微隔離,并且這種做法在大型數(shù)據(jù)中心中管理起來(lái)可能既復(fù)雜又昂貴。”
在購(gòu)買微隔離工具時(shí),重要的是要記住,并非所有微隔離產(chǎn)品都能很好地適合這三個(gè)基本類別。許多供應(yīng)商正在探索提供彈性網(wǎng)絡(luò)微隔離的新方法和改進(jìn)的方法,例如機(jī)器學(xué)習(xí)和AI 監(jiān)控。在投入任何特定的微隔離產(chǎn)品之前,請(qǐng)確保詳細(xì)了解供應(yīng)商的特定技術(shù)方法,以及是否與企業(yè)自身的架構(gòu)和運(yùn)營(yíng)要求存在兼容性問(wèn)題。
微隔離的缺點(diǎn)
盡管優(yōu)點(diǎn)一大堆,但微隔離也帶來(lái)了一些應(yīng)用和操作方面的挑戰(zhàn)。當(dāng)有供應(yīng)商向你兜售“一鍵式”解決方案的時(shí)候,企業(yè)安全主管尤其需要警惕,因?yàn)槲⒏綦x的初始部署通常會(huì)特別麻煩。Tyler警告說(shuō):“實(shí)施微隔離對(duì)有些業(yè)務(wù)和應(yīng)用可能會(huì)具有破壞性。”“您可能會(huì)發(fā)現(xiàn)一些不支持微隔離的關(guān)鍵業(yè)務(wù)功能和應(yīng)用打嗝。”
另一個(gè)潛在的絆腳石是制定解決每個(gè)內(nèi)部系統(tǒng)需求的策略。對(duì)于很多企業(yè)而言,這可能是一個(gè)復(fù)雜且耗時(shí)的過(guò)程,因?yàn)樵谥匦聶?quán)衡和定義IT政策及其含義時(shí),可能會(huì)發(fā)生內(nèi)部斗爭(zhēng)。Cross觀察到:“在大多數(shù)組織中,任何對(duì)內(nèi)部控制的觸動(dòng)都會(huì)阻力重重。”
當(dāng)高敏感度資產(chǎn)和低敏感度資產(chǎn)同時(shí)存在于同一安全邊界內(nèi)時(shí),了解不同網(wǎng)絡(luò)通信所需匹配的端口和協(xié)議(以及方向)是很重要的。實(shí)施不當(dāng)會(huì)導(dǎo)致網(wǎng)絡(luò)意外中斷。NCC集團(tuán)北美公司技術(shù)總監(jiān),關(guān)鍵基礎(chǔ)設(shè)施防御專家達(dá)蒙·斯莫爾(Damon Small)表示:“此外,請(qǐng)記住,實(shí)施微隔離所需的更改可能需要停機(jī),因此精心計(jì)劃很重要。” 。
微隔離技術(shù)一般都支持各種流行操作系統(tǒng)(例如Linux、Windows和MacOS)環(huán)境。但對(duì)于使用大型機(jī)或其他舊技術(shù)的組織而言,微隔離技術(shù)的兼容性并不樂(lè)觀。Cross警告說(shuō):“他們可能發(fā)現(xiàn)微隔離軟件不適用于這些遺留平臺(tái)。”
微隔離入門
要成功部署微隔離,必須對(duì)網(wǎng)絡(luò)體系結(jié)構(gòu)以及受支持的系統(tǒng)和應(yīng)用程序有詳細(xì)的了解。Small指出:“具體來(lái)說(shuō),企業(yè)應(yīng)該知道系統(tǒng)之間如何通信。”“具體可能需要與供應(yīng)商緊密合作或進(jìn)行詳細(xì)分析,以確定應(yīng)將微隔離放置在何處以及如何以不中斷生產(chǎn)的方式來(lái)放置微分段。”
啟動(dòng)微隔離計(jì)劃的最佳方法是制定詳細(xì)的資產(chǎn)管理計(jì)劃。Pott說(shuō):“在全面掌握網(wǎng)絡(luò)資產(chǎn)并設(shè)計(jì)出一些方法對(duì)這些系統(tǒng)進(jìn)行分類之前,您無(wú)法對(duì)如何分割網(wǎng)絡(luò)做出理性的決定。”
解決了資產(chǎn)發(fā)現(xiàn)、分類和管理自動(dòng)化問(wèn)題后,IT環(huán)境才算是為微隔離準(zhǔn)備就緒。Pott建議說(shuō):“現(xiàn)在,安全主管們是時(shí)候到安全廠商那里購(gòu)物了,并提出很多有關(guān)總擁有成本,集成能力,可擴(kuò)展性的尖銳問(wèn)題。”
Cross觀察到,微隔離平臺(tái)的性能取決于執(zhí)行策略。他說(shuō):“用戶需要了解攻擊者的攻擊環(huán)節(jié)和步驟,并確保其策略能切斷最有價(jià)值的途徑,這一點(diǎn)很重要。”“一些簡(jiǎn)單的規(guī)則可以將Windows Networking、RDP服務(wù)和SSH在內(nèi)部網(wǎng)絡(luò)上的使用范圍縮小到特定用戶,從而可以抵御流行的攻擊技術(shù),而不會(huì)干擾業(yè)務(wù)流程。”
工商網(wǎng)監(jiān)
評(píng)論