等保2.0關于訪問控制的規(guī)定
等保2.0標準中對訪問控制做了詳細要求,,下面表格中列出了等保2.0對訪問控制的要求,,黑色加粗字體表示是針對上一安全級別增強的要求。
等保2.0中主要在安全區(qū)域邊界和安全計算環(huán)境中提到訪問控制要求,。安全區(qū)域邊界主要指在網(wǎng)絡邊界進行訪問控制,,通過應用ACL,、會話狀態(tài)、應用協(xié)議,、應用內(nèi)容,、通信協(xié)議轉換和通信協(xié)議隔離等方式達到訪問控制要求。安全計算環(huán)境主要指在主機終端進行訪問控制,,通過強化用戶賬戶和權限的授權管理,、授權主體配置訪問控制策略、應用強制訪問控制規(guī)則等方式達到訪問控制要求,。
在等保3級中,,安全區(qū)域邊界要求實現(xiàn)基于應用協(xié)議和應用內(nèi)容的訪問控制,安全計算環(huán)境要求實現(xiàn)重要主客體的安全標記和訪問控制,。在等保4級中,,安全區(qū)域邊界要求通過通信協(xié)議轉換或通信協(xié)議隔離等方式進行數(shù)據(jù)交換,安全計算環(huán)境要求實現(xiàn)主客體安全標記和強制訪問控制,。
鑒于強制訪問控制技術網(wǎng)上已經(jīng)有很詳細的論述,,本文重點講解基于網(wǎng)絡的訪問控制技術。
基于網(wǎng)絡的訪問控制技術
1,、基于ACL規(guī)則的訪問控制技術
訪問控制列表(ACL)是一種基于包過濾的訪問控制技術,,它可以根據(jù)設定的條件對接口上的數(shù)據(jù)包進行過濾,允許其通過或丟棄,。訪問控制列表被廣泛地應用于路由器,、三層交換機和包過濾防火墻等,借助于訪問控制列表,,可以有效地控制用戶對網(wǎng)絡的訪問,,從而最大程度地保障網(wǎng)絡安全。
包過濾防火墻是用一個軟件查看所流經(jīng)的數(shù)據(jù)包的包頭,,由此決定整個包的命運,。包過濾防火墻根據(jù)事先定義的ACL規(guī)則對通過設備的數(shù)據(jù)包進行檢查,限制數(shù)據(jù)包進出內(nèi)部網(wǎng)絡,。包過濾防火墻不檢測會話狀態(tài)和數(shù)據(jù)包內(nèi)容,。
2、基于狀態(tài)檢測的訪問控制技術
狀態(tài)檢測防火墻采用了“狀態(tài)檢測”機制來進行包過濾,?!盃顟B(tài)檢測”機制以流量為單位來對報文進行檢測和轉發(fā),即對一條流量的第一個報文,,進行包過濾規(guī)則檢查,,并將判斷結果作為該條流量的“狀態(tài)”記錄下來,。對于該流量的后續(xù)報文都直接根據(jù)這個“狀態(tài)”來判斷是轉發(fā)還是丟棄,而不會再次檢查報文的數(shù)據(jù)內(nèi)容,。這個“狀態(tài)”就是我們平常所述的會話表項,。這種機制迅速提升了防火墻產(chǎn)品的檢測速率和轉發(fā)效率,已經(jīng)成為目前主流的包過濾機制,。
查詢和創(chuàng)建會話的流程
基于狀態(tài)檢測的訪問控制技術由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查,,而是一個連接的后續(xù)數(shù)據(jù)包通過散列算法,直接進行狀態(tài)檢查,,從而使得性能得到了較大提高,;而且,由于狀態(tài)表是動態(tài)的,,因而可以有選擇地,、動態(tài)地開通1024號以上的端口,使得安全性得到進一步地提高,。
3,、基于應用協(xié)議和應用內(nèi)容的訪問控制技術
應用層防火墻,也稱應用防火墻,,是一種防火墻,,經(jīng)由應用程序或服務來控制網(wǎng)絡封包的流入、流出與系統(tǒng)調(diào)用,,因為運作在OSI模型中的應用層而得名,。它能夠監(jiān)控網(wǎng)絡封包,阻擋不符合防火墻設定規(guī)則的封包進入,、離開以及呼叫系統(tǒng)調(diào)用,。這類防火墻,通常又可以分成以網(wǎng)絡為基礎的應用防火墻與以主機為基礎的應用防火墻,。本節(jié)重點討論以網(wǎng)絡為基礎的應用防火墻,。
基于應用協(xié)議和應用內(nèi)容的訪問控制技術在NGFW中的應用
基于應用協(xié)議和應用內(nèi)容的訪問控制技術,是目前各種應用防火墻安全防護的基礎,。應用協(xié)議識別當前比較流行的技術包括深度包檢測技術(DPI)和深度流檢測技術(DFI),。DPI技術在進行分析報文包頭的基礎上,結合不同的應用協(xié)議的“指紋”綜合判斷所屬的應用,。DFI是一種流量行為分析的應用識別技術,。不同的應用類型體現(xiàn)在會話連接或數(shù)據(jù)流上的狀態(tài)各有不同。DPI技術由于可以比較準確的識別出具體的應用,,因此廣泛的應用于各種需要準確識別應用的系統(tǒng)中,,如運營商的用戶行為分析系統(tǒng)等;而DFI技術由于采用流量模型方式可以識別出DPI技術無法識別的流量,如P2P加密流等,,當前越來越多的在帶寬控制系統(tǒng)中得到應用,。應用內(nèi)容分析,當前各類安全產(chǎn)品主要聚焦在文本,、文件提取等技術,提取文本文件后用于敏感信息檢索,、APT檢測等動作,,根據(jù)檢測結果判定是否放行。
4,、基于通信協(xié)議轉換或通信協(xié)議隔離的訪問控制技術
通信協(xié)議轉換是一種映射,,就是把某一協(xié)議的收發(fā)信息序列映射為另一協(xié)議的收發(fā)信息序列。通信協(xié)議轉換裝置就是網(wǎng)關,,用于構架網(wǎng)絡連接,,將一種協(xié)議轉換為另一種協(xié)議。通信協(xié)議隔離應用了網(wǎng)絡隔離技術,,在兩個或兩個以上的計算機或網(wǎng)絡在斷開連接的基礎上,,實現(xiàn)信息交換和資源共享。采用通信協(xié)議隔離技術既可以使兩個網(wǎng)絡實現(xiàn)物理上的隔離,,又能在安全的網(wǎng)絡環(huán)境下進行數(shù)據(jù)交換,。
在電力行業(yè),正向隔離裝置和反向隔離裝置都應用了通信協(xié)議隔離的相關技術,。在智能制造行業(yè),,隨著萬物互聯(lián)和工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,通信協(xié)議轉換裝置應用更加普遍,。
5,、基于零信任架構的訪問控制技術
零信任安全架構基于“以身份為基石、業(yè)務安全訪問,、持續(xù)信任評估,、動態(tài)訪問控制”四大關鍵能力,構筑以身份為基石的動態(tài)虛擬邊界產(chǎn)品與解決方案,。
數(shù)據(jù)中心網(wǎng)絡的南北和東西向流量
基于零信任架構的訪問控制技術可以解決南北向和東西向的安全防護問題,。NIST白皮書總結了零信任的幾種實現(xiàn)方式,SDP技術是用于實現(xiàn)南北向安全的(用戶跟服務器間的安全),,微隔離技術是用于實現(xiàn)東西向安全的(服務器跟服務器間的安全),。
SDP全稱是Software Defined Perimeter,即軟件定義邊界,,是由國際云安全聯(lián)盟CSA于2013年提出的基于零信任理念的新一代網(wǎng)絡安全技術架構,。SDP以預認證和預授權作為它的兩個基本支柱。通過在單數(shù)據(jù)包到達目標服務器之前對用戶和設備進行身份驗證和授權,,SDP可以在網(wǎng)絡層上執(zhí)行最小權限原則,,可以顯著地縮小攻擊面,。
基于SDP的南北向安全防護
SDP架構由客戶端、安全網(wǎng)關和控制中心三個主要組件組成,??蛻舳撕桶踩W(wǎng)關之間的連接是通過控制中心與安全控制通道的信息交互來管理的。該結構使得控制平面與數(shù)據(jù)平面保持分離,,以便實現(xiàn)完全可擴展的安全系統(tǒng),。此外,SDP架構的所有組件都可以集群部署,,用于擴容或提高系統(tǒng)穩(wěn)定運行時間,。
微隔離的概念最早由VMware在發(fā)布NSX產(chǎn)品時正式提出,而真正讓它備受關注是從2016年開始連續(xù)3年被評為全球十大安全項目之一,,并在2018年的 《Hype Cycle for Threat-Facing Technologies》(威脅應對技術成熟度曲線)中首次超過下一代防火墻(NGFW),。
微隔離技術的領先者illumio產(chǎn)品的東西向流量可視化
微隔離是在數(shù)據(jù)中心和云平臺中以創(chuàng)建安全區(qū)域的方式,隔離工作流,,并對其進行單獨保護,,目的是讓網(wǎng)絡安全更具粒度化。微隔離是一種能夠識別和管理數(shù)據(jù)中心與云平臺內(nèi)部流量的隔離技術,。對于微隔離,,其核心是對全部東西向流量的可視化識別與訪問控制。微隔離是一種典型的軟件定義安全結構,。它的策略是由一個統(tǒng)一的計算平臺來計算的,,而且需要根據(jù)虛擬化環(huán)境的變化,做實時的自適應策略重算,。微隔離技術的核心指標就在于它能夠管理的工作負載的規(guī)模,。
當前比較流行的SDP和微隔離技術,均是典型的軟件定義安全的技術,。以上述零信任技術為核心的安全產(chǎn)品,,正在越來越多的應用到IT和OT的各個領域,有效的提升企業(yè)南北和東西向流量的可視化識別與訪問控制,。零信任產(chǎn)品的快速應用,,可以滿足企業(yè)等保2.0安全測評的要求,同時提升企業(yè)安全運維自動化和智能化的水平,。
3,、訪問控制技術對比分析
上面小節(jié)討論的訪問控制技術的對比分析如下表:
