<optgroup id="m04aa"><small id="m04aa"></small></optgroup><center id="m04aa"><wbr id="m04aa"></wbr></center><center id="m04aa"></center>
<optgroup id="m04aa"><small id="m04aa"></small></optgroup>
<noscript id="m04aa"></noscript>
<optgroup id="m04aa"></optgroup>
侵權投訴
訂閱
糾錯
加入自媒體

微隔離: 零信任三大技術方案之一

2021-12-22 11:38
科技云報道
關注

網絡安全公司Byos在2021年第三季度,對100位企業網絡安全領導者開展了一項關于微隔離策略的調查。

結果顯示,有83%的領導者通過某種形式的微隔離來增強其企業網絡安全性。

企業網絡安全領導者認為微隔離解決方案最有吸引力的功能是:實時威脅管理(76%)、安全遠程訪問(67%)和勒索軟件終止開關(62%)等。 對于已經轉向微隔離的人,有88%的企業網絡安全領導者表示,微隔離對于實現零信任網絡安全至關重要。

甚至更多的領導者(92%)表示,微隔離“比其替代方案更實用、更高效”。 不難發現,微隔離自2016年首次被Gartner確定為信息安全的一項關鍵新興技術,至今已被越來越多的業界人士認可,成為了企業網絡安全的一個關鍵組成部分。 在Gartner 2020年的云安全技術成熟度曲線中,微隔離進入了光明爬坡期,市場價值和技術成熟度已經毋庸置疑。

云化趨勢下的微隔離 微隔離是2016年在Gartner安全與風險管理峰會上,由Gartner副總裁、知名分析師Neil MacDonald提出的概念。 微隔離又稱軟件定義隔離、微分段。從網絡層隔離技術的角度看,小到主機防火墻、VLAN、VPC,大到硬件防火墻、VxLAN、安全域,其實都是隔離技術,微隔離也是其中的一種,只是在不同的基礎設施上有不同的名字。 

隨著內部網絡的架構從傳統的IT架構向虛擬化、混合云和容器化升級變遷,企業發現一旦邊界的防線被攻破或者繞過,攻擊者就可以在數據中心內部橫向移動,內部隔離不再是一件容易的事情。 在近些年來各個領域發生的一些APT攻擊案例中能夠發現,橫向移動已經廣泛應用于復雜的網絡攻擊中。 惡意攻擊者通常會嘗試包括釣魚郵件攻擊、漏洞利用等多種綜合攻擊的方式來突破目標邊界防御系統,然后伺機使用橫向移動來訪問受感染系統中的更多設備,向目標組織內部更多包含重要資產的服務器和主機進行滲透,并伺機潛伏下來進行長期、有計劃性和組織性地竊取敏感數據。一次橫向移動攻擊甚至能夠讓攻擊者控制同一環境下的全部機器。 已知的擅長利用橫向移動攻擊的惡意軟件更是不勝枚舉,如BlackEnergy、Emotet、Trickbot、Petya Ransomware、WannaCry等等,都是其中的佼佼者。 除了在APT攻擊之外,在我國大型攻防對抗演練活動中,這一攻擊手法也十分常見,橫向移動也被滲透測試人員稱為“最爽”的技術之一,一旦在滲透目標系統內部找到通路,就能夠在目標系統內部留下后門,為所欲為。 為了適應攻防對抗防護的要求,滿足新的IT架構的要求,業界不得不再重新分析和審視隔離的重要性,微隔離概念由此誕生。 簡單而言,微隔離能夠應對傳統環境、虛擬化環境、混合云環境、容器環境下,對于東西向流量隔離的需求,重點用于阻止攻擊者進入企業數據中心網絡內部后的橫向移動。

微隔離: 零信任三大技術方案之一 隔離從來都是一種高效可行的安全手段,微隔離技術的出現恰好能滿足新環境、新業務對安全保障的需求。 

事實上,微隔離是最早的一種對零信任概念的具體技術實現,這是因為微隔離技術與零信任安全模型有著天然的契合性。 傳統的安全模型將網絡劃分為不可信和可信兩個區域,用防火墻或網絡設備的ACL將網絡切分邊界進行隔離,防火墻外部是不受信任的,內部則認為是安全可信的。 

在零信任體系中,安全將不再區分網絡的內部、外部,而是深度嵌入業務體系之中,構建自適應的內生安全機制,通過與傳統防火墻、入侵防御等產品的互補,實現更統一、易用的防護體系。 零信任安全針對傳統邊界安全架構思想進行了重新評估和審視,以“持續信任評估,動態訪問控制”為核心原則,因此,基于“軟件定義邊界(SDP)”、“增強身份管理(IAM)”和“微隔離”構成了零信任領域的三個技術基石,以減少暴露面和攻擊面,控制非授權訪問,實現長期的網絡安全保障。 其中,SDP技術是用于實現南北向安全的(用戶跟服務器間的安全),微隔離技術是用于實現東西向安全的(服務器跟服務器間的安全),IAM技術用于資源之間彼此的訪問關系授權。 將微隔離技術與零信任架構相結合,可以實現進程級別的訪問控制與隔離,防止攻擊者使用未經批準的連接或惡意代碼,從已經受到攻擊的應用程序或進程橫向移動感染其他進程。 

舉個例子,如果黑客已經攻進了一個服務器,那么他就可以利用這個服務器做跳板,進一步攻擊網絡中的其他服務器。 但微隔離可以阻止這種來自內部的橫向攻擊。微隔離通過服務器間的訪問控制,阻斷勒索病毒在內部網絡中的蔓延,降低黑客的攻擊面。 這正好符合了零信任的原則:假設已經被攻破;持續驗證,永不信任;只授予必須的最小權限。

微隔離的實現方式 目前,微隔離已有多種實現方式,企業可以根據自身需要進行選擇。

云原生控制

這種在虛擬化平臺提供者中比較常見,在虛擬化平臺、laas、hypervisor或者基礎設施中提供,比如阿里云、VMware NSX等。 優勢是與云平臺整合的更加完善,屬于同一供應商,支持自動化編排。但劣勢在于只支持自身虛擬化平臺、不支持混合云;更適合于隔離,而不是訪問控制;東西向的管理能力有限。

第三方防火墻

主要是基于第三方防火墻供應商提供的虛擬化防火墻。這種方案的優勢在于具備豐富的安全能力,如:入侵檢測、防病毒等功能,能集成IPS、av等功能,與防火墻配置邏輯一致,普遍支持自動化編排。 但劣勢也很明顯,需要與虛擬化平臺做對接,費用高,且有性能損耗。

基于主機代理模式

這種模式就是采用Agent,將Agent部署到每臺主機(虛擬機)中,Agent調用主機自身的防火墻或內核自定義防火墻來做服務器間的訪問控制。這種方式就是用微隔離實現零信任的模式之一。 優勢在于與底層架構無關,支持多云和容器;主機遷移時安全策略也能跟隨著遷移;支持自動化編排。 缺點在于必須在每個服務器上安裝agent客戶端,有人會擔心資源占用問題,擔心影響現有業務。

混合模型

一般都是通過其它模式組合使用,例如本地與第三方組合。 優勢是可以基于現有的內容進行升級改造,在不同的位置使用不同模式的優勢。但缺點是通常無法統一管理,需要多種管理工具,且云廠商往往對第三方產品的支持度不夠高。 總體來說,四種方案各有優缺點,需要企業安全團隊結合自身的實際情況來優化和處理。 如果環境中租戶數量較少且有跨云的情況,主機Agent方案可以作為第一選擇。 如果環境中有較多租戶分隔的需求且不存在跨云的情況,采用SDN虛擬化設備的方式是較優的選擇,主機Agent方案作為補充。 另外,主機Agent方案也可以結合主機漏洞風險發現、主機入侵檢測能力相結合,形成更立體化的解決方案。

如何檢驗微隔離的效果? 檢驗微隔離是否真正發揮效果,最直接的方式就是在攻防對抗中進行檢驗。企業可以模擬以下幾個場景進行檢驗:

互聯網一臺主機被攻陷后,能夠觸達內部多大范圍的主機和工作負載;

同一業務區域一臺主機被攻陷后,能否攻陷該業務區域的其他主機和工作負載(所有工作負載都存在可以利用的漏洞);

某一業務區域一臺主機被攻陷后,能否觸達跟該業務區域有訪問關系的其他業務區域的核心主機和工作負載;

內部一臺主機被攻陷后,能夠觸達到域控主機以及能否攻陷域控主機(域控主機存在可以利用的漏洞);

內部一個容器工作負載被攻陷后,能夠觸達內部其他多少個容器工作負載;能否通過該容器滲透到宿主主機;

以上所有網絡訪問行為是否在微隔離系統中的策略智能管控平臺上監測到,是否有明顯報警標記。

事實上,從原有的傳統安全架構升級到零信任架構注定是一個長期的整體工程,這是一個不斷自我提升和完善的過程,因此在微隔離的建設規劃中,企業應該專注于自身安全防御能力的提升和優化,將策略和技術手段結合起來,來制定一個適合自身的建設方案。 同時,企業安全部門還可以根據自身業務的實際情況,模擬更多的攻防對抗場景進行檢驗,才能做到“知己知彼,百戰不殆”。

聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權或其他問題,請聯系舉報。

發表評論

0條評論,0人參與

請輸入評論內容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯
x
*文字標題:
*糾錯內容:
聯系郵箱:
*驗 證 碼:

粵公網安備 44030502002758號

太大太粗太爽免费视频
<optgroup id="m04aa"><small id="m04aa"></small></optgroup><center id="m04aa"><wbr id="m04aa"></wbr></center><center id="m04aa"></center>
<optgroup id="m04aa"><small id="m04aa"></small></optgroup>
<noscript id="m04aa"></noscript>
<optgroup id="m04aa"></optgroup>