做零信任,微隔离是认真的

2022-04-16 15:55:53 浏览数 (1)

网络安全公司Byos在2021年第三季度,对100位企业网络安全领导者开展了一项关于微隔离策略的调查。

结果显示,有83%的领导者通过某种形式的微隔离来增强其企业网络安全性。

企业网络安全领导者认为微隔离解决方案最有吸引力的功能是:实时威胁管理(76%)、安全远程访问(67%)和勒索软件终止开关(62%)等。

对于已经转向微隔离的人,有88%的企业网络安全领导者表示,微隔离对于实现零信任网络安全至关重要。

甚至更多的领导者(92%)表示,微隔离“比其替代方案更实用、更高效”。

不难发现,微隔离自2016年首次被Gartner确定为信息安全的一项关键新兴技术,至今已被越来越多的业界人士认可,成为了企业网络安全的一个关键组成部分。

在Gartner 2020年的云安全技术成熟度曲线中,微隔离进入了光明爬坡期,市场价值和技术成熟度已经毋庸置疑。

云化趋势下的微隔离

微隔离是2016年在Gartner安全与风险管理峰会上,由Gartner副总裁、知名分析师Neil MacDonald提出的概念。

微隔离又称软件定义隔离、微分段。从网络层隔离技术的角度看,小到主机防火墙、VLAN、VPC,大到硬件防火墙、VxLAN、安全域,其实都是隔离技术,微隔离也是其中的一种,只是在不同的基础设施上有不同的名字。

随着内部网络的架构从传统的IT架构向虚拟化、混合云和容器化升级变迁,企业发现一旦边界的防线被攻破或者绕过,攻击者就可以在数据中心内部横向移动,内部隔离不再是一件容易的事情。

在近些年来各个领域发生的一些APT攻击案例中能够发现,横向移动已经广泛应用于复杂的网络攻击中。

恶意攻击者通常会尝试包括钓鱼邮件攻击、漏洞利用等多种综合攻击的方式来突破目标边界防御系统,然后伺机使用横向移动来访问受感染系统中的更多设备,向目标组织内部更多包含重要资产的服务器和主机进行渗透,并伺机潜伏下来进行长期、有计划性和组织性地窃取敏感数据。一次横向移动攻击甚至能够让攻击者控制同一环境下的全部机器。

已知的擅长利用横向移动攻击的恶意软件更是不胜枚举,如BlackEnergy、Emotet、Trickbot、Petya Ransomware、WannaCry等等,都是其中的佼佼者。

除了在APT攻击之外,在我国大型攻防对抗演练活动中,这一攻击手法也十分常见,横向移动也被渗透测试人员称为“最爽”的技术之一,一旦在渗透目标系统内部找到通路,就能够在目标系统内部留下后门,为所欲为。

为了适应攻防对抗防护的要求,满足新的IT架构的要求,业界不得不再重新分析和审视隔离的重要性,微隔离概念由此诞生。

简单而言,微隔离能够应对传统环境、虚拟化环境、混合云环境、容器环境下,对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向移动。

微隔离:

零信任三大技术方案之一

隔离从来都是一种高效可行的安全手段,微隔离技术的出现恰好能满足新环境、新业务对安全保障的需求。

事实上,微隔离是最早的一种对零信任概念的具体技术实现,这是因为微隔离技术与零信任安全模型有着天然的契合性。

传统的安全模型将网络划分为不可信和可信两个区域,用防火墙或网络设备的ACL将网络切分边界进行隔离,防火墙外部是不受信任的,内部则认为是安全可信的。

在零信任体系中,安全将不再区分网络的内部、外部,而是深度嵌入业务体系之中,构建自适应的内生安全机制,通过与传统防火墙、入侵防御等产品的互补,实现更统一、易用的防护体系。

零信任安全针对传统边界安全架构思想进行了重新评估和审视,以“持续信任评估,动态访问控制”为核心原则,因此,基于“软件定义边界(SDP)”、“增强身份管理(IAM)”和“微隔离”构成了零信任领域的三个技术基石,以减少暴露面和攻击面,控制非授权访问,实现长期的网络安全保障。

其中,SDP技术是用于实现南北向安全的(用户跟服务器间的安全),微隔离技术是用于实现东西向安全的(服务器跟服务器间的安全),IAM技术用于资源之间彼此的访问关系授权。

将微隔离技术与零信任架构相结合,可以实现进程级别的访问控制与隔离,防止攻击者使用未经批准的连接或恶意代码,从已经受到攻击的应用程序或进程横向移动感染其他进程。

举个例子,如果黑客已经攻进了一个服务器,那么他就可以利用这个服务器做跳板,进一步攻击网络中的其他服务器。

但微隔离可以阻止这种来自内部的横向攻击。微隔离通过服务器间的访问控制,阻断勒索病毒在内部网络中的蔓延,降低黑客的攻击面。

这正好符合了零信任的原则:假设已经被攻破;持续验证,永不信任;只授予必须的最小权限。

微隔离的实现方式

目前,微隔离已有多种实现方式,企业可以根据自身需要进行选择。

  • 云原生控制

这种在虚拟化平台提供者中比较常见,在虚拟化平台、laas、hypervisor或者基础设施中提供,比如阿里云、VMware NSX等。

优势是与云平台整合的更加完善,属于同一供应商,支持自动化编排。但劣势在于只支持自身虚拟化平台、不支持混合云;更适合于隔离,而不是访问控制;东西向的管理能力有限。

  • 第三方防火墙

主要是基于第三方防火墙供应商提供的虚拟化防火墙。这种方案的优势在于具备丰富的安全能力,如:入侵检测、防病毒等功能,能集成IPS、av等功能,与防火墙配置逻辑一致,普遍支持自动化编排。

但劣势也很明显,需要与虚拟化平台做对接,费用高,且有性能损耗。

  • 基于主机代理模式

这种模式就是采用Agent,将Agent部署到每台主机(虚拟机)中,Agent调用主机自身的防火墙或内核自定义防火墙来做服务器间的访问控制。这种方式就是用微隔离实现零信任的模式之一。

优势在于与底层架构无关,支持多云和容器;主机迁移时安全策略也能跟随着迁移;支持自动化编排。

缺点在于必须在每个服务器上安装agent客户端,有人会担心资源占用问题,担心影响现有业务。

  • 混合模型

一般都是通过其它模式组合使用,例如本地与第三方组合。

优势是可以基于现有的内容进行升级改造,在不同的位置使用不同模式的优势。但缺点是

通常无法统一管理,需要多种管理工具,且云厂商往往对第三方产品的支持度不够高。

总体来说,四种方案各有优缺点,需要企业安全团队结合自身的实际情况来优化和处理。

如果环境中租户数量较少且有跨云的情况,主机Agent方案可以作为第一选择。

如果环境中有较多租户分隔的需求且不存在跨云的情况,采用SDN虚拟化设备的方式是较优的选择,主机Agent方案作为补充。

另外,主机Agent方案也可以结合主机漏洞风险发现、主机入侵检测能力相结合,形成更立体化的解决方案。

如何检验微隔离的效果?

检验微隔离是否真正发挥效果,最直接的方式就是在攻防对抗中进行检验。企业可以模拟以下几个场景进行检验:

  • 互联网一台主机被攻陷后,能够触达内部多大范围的主机和工作负载;
  • 同一业务区域一台主机被攻陷后,能否攻陷该业务区域的其他主机和工作负载(所有工作负载都存在可以利用的漏洞);
  • 某一业务区域一台主机被攻陷后,能否触达跟该业务区域有访问关系的其他业务区域的核心主机和工作负载;
  • 内部一台主机被攻陷后,能够触达到域控主机以及能否攻陷域控主机(域控主机存在可以利用的漏洞);
  • 内部一个容器工作负载被攻陷后,能够触达内部其他多少个容器工作负载;能否通过该容器渗透到宿主主机;
  • 以上所有网络访问行为是否在微隔离系统中的策略智能管控平台上监测到,是否有明显报警标记。

事实上,从原有的传统安全架构升级到零信任架构注定是一个长期的整体工程,这是一个不断自我提升和完善的过程,因此在微隔离的建设规划中,企业应该专注于自身安全防御能力的提升和优化,将策略和技术手段结合起来,来制定一个适合自身的建设方案。

同时,企业安全部门还可以根据自身业务的实际情况,模拟更多的攻防对抗场景进行检验,才能做到“知己知彼,百战不殆”。

0 人点赞