《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 【零信任】用"微隔離"實(shí)現(xiàn)零信任

【零信任】用"微隔離"實(shí)現(xiàn)零信任

2021-04-21
作者: 冀托
來(lái)源: 白話零信任
關(guān)鍵詞: 零信任 微隔離

  1、零信任微隔離的關(guān)系

  零信任是新一代網(wǎng)絡(luò)安全架構(gòu),,主張所有資產(chǎn)都必須先經(jīng)過(guò)身份驗(yàn)證和授權(quán),,然后才能與另一資產(chǎn)通信。

  NIST白皮書(shū)總結(jié)了零信任的幾種實(shí)現(xiàn)方式,。其中,,SDP技術(shù)是用于實(shí)現(xiàn)南北向安全的(用戶(hù)跟服務(wù)器間的安全),微隔離技術(shù)是用于實(shí)現(xiàn)東西向安全的(服務(wù)器跟服務(wù)器間的安全),。微隔離是零信任架構(gòu)的重要組成部分,。

  2.png

  NIST給出的基于微隔離技術(shù)實(shí)現(xiàn)的零信任架構(gòu)如下圖。圖中業(yè)務(wù)系統(tǒng)服務(wù)器上安裝了agent,,數(shù)據(jù)資源前面安裝了網(wǎng)關(guān),。兩者都受到管理平臺(tái)的統(tǒng)一管理。

  3.png

  從架構(gòu)圖上可以看到,,微隔離技術(shù)就是把服務(wù)器之間做了隔離,,一個(gè)服務(wù)器訪問(wèn)另一個(gè)服務(wù)器的資源之前,首先要認(rèn)證身份,。

  業(yè)務(wù)系統(tǒng)先通過(guò)agent做身份認(rèn)證,。認(rèn)證通過(guò)后,網(wǎng)關(guān)才會(huì)放行業(yè)務(wù)系統(tǒng)去獲取數(shù)據(jù)資源,。否則,,會(huì)被網(wǎng)關(guān)攔截。

  2,、微隔離有什么好處

  如果黑客已經(jīng)攻進(jìn)了一個(gè)服務(wù)器,,那么他就可以利用這個(gè)服務(wù)器做跳板,進(jìn)一步攻擊網(wǎng)絡(luò)中的其他服務(wù)器,。

  微隔離可以阻止這種來(lái)自?xún)?nèi)部的橫向攻擊,。微隔離通過(guò)服務(wù)器間的訪問(wèn)控制,阻斷勒索病毒在內(nèi)部網(wǎng)絡(luò)中的蔓延,,降低黑客的攻擊面,。

  這正好符合了零信任的原則:

  (1)假設(shè)已經(jīng)被攻破

 ?。?)持續(xù)驗(yàn)證,,永不信任

  (3)只授予必須的最小權(quán)限

  5.png

  下面舉個(gè)例子,??纯础坝小焙汀皼](méi)有”微隔離的情況下,黑客的打擊面分別是多大,。

  假設(shè)一個(gè)網(wǎng)絡(luò)中有9個(gè)服務(wù)器,,其中2個(gè)web服務(wù)是暴露在互聯(lián)網(wǎng)上的,。

  (1)先看只有一個(gè)防火墻,,服務(wù)器間完全沒(méi)有隔離的情況,。

6.png

7.png

  (2)再看看加上一層內(nèi)網(wǎng)的防護(hù)的情況,。一般來(lái)說(shuō),,這層防護(hù)可能是防火墻或者ADC。(ADC可以理解為帶有部分安全功能的負(fù)載)

 8.png

9.png

 ?。?)最后來(lái)看一下微隔離的情況。服務(wù)器之間做了訪問(wèn)控制,。例如web服務(wù)器只能訪問(wèn)他對(duì)應(yīng)的應(yīng)用服務(wù)器,。應(yīng)用服務(wù)器只能訪問(wèn)他對(duì)應(yīng)的數(shù)據(jù)庫(kù)。

  10.png

11.png

  總結(jié)一下可以得到這個(gè)表格,。

12.png

  從這個(gè)表格里可以看出幾個(gè)問(wèn)題:

 ?。?)微隔離對(duì)黑客從內(nèi)部開(kāi)始攻擊的場(chǎng)景特別有效,能大幅降低攻擊面

 ?。?)攻擊面是不可能降低到0的,,微隔離在所有場(chǎng)景中都能將攻擊面降低到一個(gè)可接受的程度,但不是絕對(duì)防御,。

  13.png

  有個(gè)很好的比喻,,微隔離有點(diǎn)像疫情時(shí)期的口罩。面對(duì)疫情,,單靠每棟大廈門(mén)口的體溫檢測(cè)是不夠的,。很容易有無(wú)癥狀的感染者混入大廈。面對(duì)這種情況,,最有效的手段是每個(gè)人都帶上口罩,,互相隔離。

  就像黑客攻擊和勒索病毒,,它們很容易繞過(guò)防火墻的檢測(cè),。但是只要每個(gè)服務(wù)器都做了微隔離,那么威脅就不會(huì)大規(guī)模擴(kuò)散,。

  3,、以前為什么沒(méi)有微隔離

  其實(shí)微隔離的理念很簡(jiǎn)單易懂,但是管控太細(xì),,會(huì)帶來(lái)復(fù)雜性問(wèn)題,。太復(fù)雜管不過(guò)來(lái),就容易出差錯(cuò),,反而帶來(lái)壞處,。

 15.png

  例如,,IT部門(mén)要了解數(shù)據(jù)流,要理解系統(tǒng)之間的溝通機(jī)制,,要了解通信的端口,、協(xié)議、方向,。數(shù)據(jù)流梳理不清就貿(mào)然隔離,,會(huì)導(dǎo)致正常業(yè)務(wù)的停擺。

  所以,,很多企業(yè)只是分隔了外網(wǎng)和內(nèi)網(wǎng),,就像上面的單層防護(hù)模型。有些企業(yè)會(huì)做分區(qū),,區(qū)域之間做隔離,。但這些區(qū)域也往往很大。

  微隔離理念在業(yè)界很早就已經(jīng)形成,,只是缺乏基礎(chǔ)技術(shù)來(lái)更好的支撐,。直到SDN、容器等等虛擬化,、自動(dòng)化技術(shù)的出現(xiàn),。過(guò)去只能靠硬件防火墻路由規(guī)則來(lái)做的事,現(xiàn)在可以方便地用軟件定義,,自適應(yīng)來(lái)輕松實(shí)現(xiàn),。

  有了這些基礎(chǔ)技術(shù),微隔離才終于得以從理論進(jìn)入實(shí)踐,。

  4,、怎么實(shí)現(xiàn)微隔離

  微隔離有多種實(shí)現(xiàn)方式,企業(yè)可以根據(jù)自身需要進(jìn)行選擇,。

 ?。?) 基于agent客戶(hù)端實(shí)現(xiàn)微隔離。

  這種模式需要每個(gè)服務(wù)器的操作系統(tǒng)上裝一個(gè)agent,。Agent調(diào)用主機(jī)自身的防火墻或內(nèi)核自定義防火墻來(lái)做服務(wù)器間的訪問(wèn)控制,。這種模式就是本文最前面介紹的NIST的用微隔離實(shí)現(xiàn)零信任的模式。

  圖中右側(cè)紅方塊是管理平臺(tái),,負(fù)責(zé)制定策略,,收集信息。

 17.png

  優(yōu)勢(shì):與底層無(wú)關(guān),,支持容器,,支持多云。

  缺點(diǎn):必須在每個(gè)服務(wù)器上安裝agent客戶(hù)端。有人會(huì)擔(dān)心資源占用問(wèn)題,,擔(dān)心影響現(xiàn)有業(yè)務(wù),。

  (2)基于云原生能力實(shí)現(xiàn)微隔離。

  使用云平臺(tái)基礎(chǔ)架構(gòu)中虛擬化設(shè)備自身的防火墻功能來(lái)做訪問(wèn)控制,。

18.png

  優(yōu)點(diǎn):隔離功能與基礎(chǔ)架構(gòu)都是云提供的,,所以?xún)烧呒嫒菪愿茫僮鹘缑嬉差?lèi)似,。

  缺點(diǎn):無(wú)法跨越多個(gè)云環(huán)境進(jìn)行統(tǒng)一管控,。

  (3)基于第三方防火墻實(shí)現(xiàn)微隔離。

  利用現(xiàn)有的防火墻做訪問(wèn)控制,。

 19.png

  優(yōu)勢(shì):網(wǎng)絡(luò)人員很熟悉,,有入侵檢測(cè)、防病毒等功能,。

  缺點(diǎn):防火墻本身跑在服務(wù)器上,,缺少對(duì)底層的控制。

  5,、實(shí)施微隔離的關(guān)鍵步驟

  微隔離對(duì)現(xiàn)有業(yè)務(wù)系統(tǒng)的影響非常大。所以微隔離的實(shí)施應(yīng)該格外謹(jǐn)慎,,最好是分階段實(shí)施,。

  (1)可視化

  識(shí)別信息在公司中的流動(dòng)方式,,知道有哪些數(shù)據(jù)流流經(jīng)你的路由網(wǎng)關(guān),,標(biāo)識(shí)應(yīng)用間的連接和依賴(lài)性,建立整體架構(gòu)的可視化流量拓?fù)鋱D,。

21.png

 ?。?)專(zhuān)注高優(yōu)先級(jí)目標(biāo)

  了解每個(gè)主機(jī)的攻擊面,從關(guān)鍵應(yīng)用開(kāi)始隔離,。應(yīng)該使用白名單策略,,保持默認(rèn)拒絕。

22.png

  (3)策略模型

  不是針對(duì)網(wǎng)絡(luò)結(jié)構(gòu)(例如,,vlan,、子網(wǎng)、區(qū)域或IP地址等)創(chuàng)建策略,,而是基于應(yīng)用,、角色、標(biāo)簽,、分組來(lái)定義策略,。制定能以最少數(shù)量提供最大覆蓋面的規(guī)則集。

23.png

  (4)避免中斷

  邀請(qǐng)業(yè)務(wù)負(fù)責(zé)人和利益相關(guān)者一起參與詳細(xì)設(shè)計(jì),。

  基于可視化視圖流建立分隔的網(wǎng)絡(luò),,確定哪里應(yīng)該部署微隔離,以及如何在不引發(fā)生產(chǎn)中斷的情況下部署,。

 ?。?)里程碑

  設(shè)置能反映階段性進(jìn)展的里程碑和度量指標(biāo)。及時(shí)測(cè)試每個(gè)階段的成果,。

 ?。?)持續(xù)監(jiān)控安全事件

  監(jiān)控端口掃描行為、針對(duì)防火墻的攻擊,,監(jiān)控流量變化是否異常,。

  24.png

  (7)自動(dòng)化

  建立專(zhuān)門(mén)團(tuán)隊(duì)監(jiān)視和更新策略,,并盡可能往維護(hù)過(guò)程中引入自動(dòng)化,,確保安全策略隨著環(huán)境的變化而適應(yīng)。

  維護(hù)一組REST API,,與業(yè)務(wù)流程工具集成,,增強(qiáng)補(bǔ)救能力。與SIEM集成,,實(shí)現(xiàn)安全事件的自動(dòng)響應(yīng),。

  6、評(píng)價(jià)微隔離的效果

  實(shí)施了微隔離之后,,可以從以下幾方面檢驗(yàn)微隔離是否真正發(fā)揮效果,。

  (1)攻擊面有沒(méi)有縮小了,。就像本文第二節(jié)的例子一樣,,可以算一算各種場(chǎng)景下,黑客的攻擊面到底是多少,。

 ?。?)性能是否有降低。

 ?。?)模擬攻擊行為,,看是否能被監(jiān)測(cè)到。

  7,、總結(jié)

  東西向的訪問(wèn)控制是零信任模型中的重要一環(huán),,微隔離是實(shí)現(xiàn)東西向安全的有效手段。微隔離的實(shí)施是最具挑戰(zhàn)的地方,,用好了就是銅墻鐵壁,,用不好可能反而變成給自己設(shè)置的陷阱,。

 


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。