在越来越关注攻防对抗实战防护能力的今天,在零信任网络被炒的越来越热的今天,我们重新审视按照这些新理念构建的纵深防御体系,结果发现依然问题重重:在堆砌了大量安全产品后依然发现在资产管理、漏洞安全运营到内部隔离等基础安全工作跟不上安全态势的变化。
就拿隔离来说,当攻击者有机会拿到内网一个跳板机,结果发现内网网络基本是畅通的;这两年的攻防对抗演练活动中这个问题的暴露尤为明显,原来奉行的内网基本安全的策略在攻防对抗中被「打」的体无完肤;同时随着内部网络的架构从传统的 IT 架构向虚拟化、混合云和容器化升级变迁,结果发现内部隔离不再是一件容易的事情。为了适应攻防对抗防护的要求、为了满足新的 IT 架构的要求,我们不得不再重新分析和审视隔离的重要性。
一、什么是微隔离
网络隔离并不是新的概念,而微隔离技术(Micro-Segmentation)是 VMware 在应对虚拟化隔离技术时提出来的,但真正让微隔离备受大家关注是从 2016 年起连续 3 年微隔离技术都进入 Gartner 年度安全技术榜单开始。在 2016 年的 Gartner 安全与风险管理峰会上,Gartner 副总裁、知名分析师 Neil MacDonald 提出了微隔离技术的概念。「安全解决方案应当为企业提供流量的可见性和监控。可视化工具可以让安全运维与管理人员了解内部网络信息流动的情况,使得微隔离能够更好地设置策略并协助纠偏。」
从微隔离概念和技术诞生以来,对其核心的能力要求是聚焦在东西向流量的隔离上(当然对南北向隔离也能发挥左右),一是有别于防火墙的隔离作用,二是在云计算环境中的真实需求。
微隔离系统工作范围:微隔离顾名思义是细粒度更小的网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向平移(或者叫东西向移动)。
微隔离系统的组成:有别于传统防火墙单点边界上的隔离(控制平台和隔离策略执行单元都是耦合在一台设备系统中),微隔离系统的控制中心平台和策略执行单元是分离的,具备分布式和自适应特点:
(1)策略控制中心:是微隔离系统的中心大脑,需要具备以下几个重点能力:
(2)策略执行单元:执行流量数据监测和隔离策略的工作单元,可以是虚拟化设备也可以是主机 Agent。
二、为什么需要微隔离
不少人提出来有 VLAN 技术、VxLAN 技术、VPC 技术,为什么还需要微隔离?在回答这个问题之前,我们先来看看这几个技术的定义和作用:
从技术特点上看,VLAN 是一种粗粒度的网络隔离技术,VxLAN 和 VPC 更接近于微隔离的技术要求但还不是微隔离最终的产品形态。
我们来看一个真实的生产环境中的工作负载之间的访问关系:
从这张图中我们看到少数的几台工作负载都会有如何复杂的业务访问关系,那么当工作负载数量急剧上升时我们急需一套更加智能的隔离系统。以下是我们总结需要微隔离技术的几大理由:
三、微隔离技术选型
目前市面上对于微隔离产品还没有统一的产品检测标准,属于一种比较新的产品形态。
Gartner 给出了评估微隔离的几个关键衡量指标,包括:
Gartner 还给客户提出了如下几点建议:
从技术层面看微隔离产品实现主要采用虚拟化设备和主机 Agent 两种模式,这两种方式的技术对比如下表:
总体来说两种方案各有优缺点:
另外主机 Agent 方案还可以结合主机漏洞风险发现、主机入侵检测能力相结合,形成更立体化的解决方案,顺带提一句,目前我们的工作负载安全解决方案已经可以完全覆盖这个场景的需求。
四、企业如何执行微隔离实施工作
在成功部署微隔离中的最大拦路虎首推可见性问题。分隔粒度越细,IT 部门越需要了解数据流,需要理解系统、应用和服务之间到底是怎样相互沟通的。
同时需要建立微隔离可持续性。随着公司不断往微隔离中引入更多资产,负责团队需考虑长远发展,微隔离不是「设置了就可以丢开不管」的策略。这意味着,企业需设立长期机制以维持数据流的可见性,设置技术功能以灵活维护策略改变与实施要求;还意味着需清晰描述微隔离配置管理中各人都负责做些什么。
微隔离管理的角色和责任同样很重要。微隔离规则的改变应经过审查,类似配置控制委员会这种运营和安全团队可验证变更适当性的地方。
五、检验微隔离的效果
检验微隔离是否真正发挥效果,最直接的方式就是在攻防对抗中进行检验。我们可以模拟以下几个场景进行检验:
以上是我们可以总结的一些检测场景,安全部门还可以根据自身业务的实际情况模拟更多的攻防对抗场景进行检验,才能做到「知己知彼,百战不殆」。
2019年8月,乌克兰核电站雇员为了挖币而将部分内部网络连到外网,导致国家机密潜...
比特币最大的机遇不在于加密货币本身,而在于区块链的快速发展。随着越来越多的...
区块链技术正在获得发展动能。企业块链市场预计将在未来五年内达到210亿美元。离...
你有没有想过你的 Linux 机器到底安全不安全?Linux 发行版众多,每个发行版都有...
# 云原生安全 # IBM冯靓:混合云时代的原生安全观 混合云环境下,企业应该重新树...
互联网自诞生到现在,我们都见识了互联网的价值,现在互联网已经成了全球国家关...
近日,绿盟科技应急响应团队通过对2020年处理的安全事件进行深入整理与分析,并...
Zend Framework (ZF)是Zend公司推出的一套PHP开发框架。是用 PHP 5 来开发 web程...
8月3日,工业和信息化部发布通知,要求开展2020年网络安全技术应用试点示范工作...
9 月10日,德国杜塞尔多夫大学医院遭到网络攻击,系统崩溃,一名患者因此错过治...