信息无障碍通道
您的位置:首页>>互联网

对话安全狗陈奋:为攻防对抗,细谈微隔离

发布时间:2020-05-15  来源:互联网    背景: 无障碍通道

  前言

  在越来越关注攻防对抗实战防护能力的今天,在零信任网络被炒的越来越热的今天,我们重新审视按照这些新理念构建的纵深防御体系,结果发现依然问题重重:在堆砌了大量安全产品后依然发现在资产管理、漏洞安全运营到内部隔离等基础安全工作跟不上安全态势的变化。就拿隔离来说,当攻击者有机会拿到内网一个跳板机,结果发现内网网络基本是畅通的;这两年的HW攻防对抗演练活动中这个问题的暴露尤为明显,原来奉行的内网基本安全的策略在攻防对抗中被“打”的体无完肤;同时随着内部网络的架构从传统的IT架构向虚拟化、混合云和容器化升级变迁,结果发现内部隔离不再是一件容易的事情。为了适应攻防对抗防护的要求、为了满足新的IT架构的要求,我们不得不再重新分析和审视隔离的重要性。

微信图片_20200515113021.jpg

  什么是微隔离

  网络隔离并不是新的概念,而微隔离技术(Micro-Segmentation)是VMware在应对虚拟化隔离技术时提出来的,但真正让微隔离备受大家关注是从2016年起连续3年微隔离技术都进入Gartner年度安全技术榜单开始。在2016年的Gartner安全与风险管理峰会上, Gartner副总裁、知名分析师Neil MacDonald提出了微隔离技术的概念。“安全解决方案应当为企业提供流量的可见性和监控。可视化工具可以让安全运维与管理人员了解内部网络信息流动的情况,使得微隔离能够更好地设置策略并协助纠偏。”

Gartner历年来安全技术榜单中的云安全

2016年

2017年

2018年

2019年

 

软件定义边界SDP

软件定义边界SDP

 

云访问安全代理CASB

云访问安全代理CASB

云访问安全代理CASB

云访问安全代理CASB

微隔离

微隔离

微隔离

 

 

云工作负载保护平台CWPP

 

 

 

容器安全

 

容器安全

 

 

云安全配置管理CSPM

云安全配置管理CSPM

  从微隔离概念和技术诞生以来,对其核心的能力要求是聚焦在东西向流量的隔离上(当然对南北向隔离也能发挥左右):一是有别于防火墙的隔离作用;二是在云计算环境中的真实需求。

  微隔离系统工作范围:

  微隔离顾名思义是细粒度更小的网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向平移(或者叫东西向移动)。

  微隔离系统的组成:

  有别于传统防火墙单点边界上的隔离(控制平台和隔离策略执行单元都是耦合在一台设备系统中),微隔离系统的控制中心平台和策略执行单元是分离的,具备分布式和自适应特点:

  策略控制中心:是微隔离系统的中心大脑,

  需要具备以下几个重点能力:

  1. 能够可视化展现内部系统之间和业务应用之间的访问关系,让平台使用者能够快速理清内部访问关系;

  2. 能够按角色、业务功能等多维度标签对需要隔离的工作负载进行快速分组;

  3. 能够灵活的配置工作负载、业务应用之间的隔离策略,策略能够根据工作组和工作负载进行自适应配置和迁移。

  策略执行单元:执行流量数据监测和隔离策略的工作单元,可以是虚拟化设备也可以是主机Agent。

  为什么需要微隔离

  不少人提出来有VLAN技术、VxLAN技术、VPC技术,为什么还需要微隔离?在回答这个问题之前,我们先来看看这几个技术的定义和作用:

  VLAN:即虚拟局域网,是通过以太网协议将一个物理网络空间逻辑划分成几个隔离的局域网,是我们目前做内部不同局域网段的一种常用技术;由于以太网协议的限制,VLAN能划分的虚拟局域网最多只有4096个。

  VxLAN:即虚拟扩展局域网,为了解决VLAN技术在大规模计算数据中心虚拟网络不足的问题而出现的技术,最多可支持1600万个虚拟网络的同时存在可适应大规模租户的部署。

  VPC:Virtual Private Cloud,即虚拟私有云,最早由AWS于2009年发布的一种技术,为公有云租户实现在公有云上创建相互隔离的虚拟网络,其技术原理类似于VxLAN。

  从技术特点上看,VLAN是一种粗粒度的网络隔离技术,VxLAN和VPC更接近于微隔离的技术要求但还不是微隔离最终的产品形态。我们来看一个真实的生产环境中的工作负载之间的访问关系:

  从这张图中我们看到少数的几台工作负载都会有如何复杂的业务访问关系,那么当工作负载数量急剧上升时我们急需一套更加智能的隔离系统。

  以下是我们总结需要微隔离技术的几大理由:

  1. 实现基于业务角色的快速分组能力,为隔离分区提供基于业务细粒度的视角(解决传统基于IP视角存在较多管理上的问题);

  2. 在业务分组的基础上自动化识别内部业务的访问关系,并能通过可视化方式进行展示;

  3. 实现基于业务组之间的隔离能力、端到端的工作负载隔离能力、异常外联的隔离能力,支持物理服务器之间、虚拟机之间、容器之间的访问隔离;通过隔离全面降低东西向的横向穿透风险,支持隔离到应用访问端口,实现各业务单元的安全运行;

  4. 具备可视化的策略编辑能力和批量设置能力,支持大规模场景下的策略设置和管理;

  5. 具备策略自动化部署能力,能够适应私有云弹性可拓展的特性,在虚拟机迁移、克隆、拓展等场景下,安全策略能够自动迁移;

  6. 在混合云环境下,支持跨平台的流量识别及策略统一管理。

  微隔离技术选型

  目前市面上对于微隔离产品还没有统一的产品检测标准,属于一种比较新的产品形态。

  Gartner给出了评估微隔离的几个关键衡量指标,包括:

  1)是基于代理的、基于虚拟化设备的还是基于容器的?

  2)如果是基于代理的,对宿主的性能影响性如何?

  3)如果是基于虚拟化设备的,它如何接入网络中?

  4)该解决方案支持公共云IaaS吗?

  Gartner还给客户提出了如下几点建议:

  1)欲建微隔离,先从获得网络可见性开始,可见才可隔离;

  2)谨防过度隔离,从关键应用开始;

  3)鞭策IaaS、防火墙、交换机厂商原生支持微隔离;

  从技术层面看微隔离产品实现主要采用虚拟化设备和主机Agent两种模式,这两种方式的技术对比如下表:

 

虚拟化设备模式

主机Agent模式

策略执行单元

虚拟化设备自身的防火墙功能

调用主机自身的防火墙或内核自定义防火墙

策略智能管理中心

基于SDN的策略控制面板

自研的智能策略管控平台

采用的协议

实现(类)VxLan相关协议

沿用系统自带的IP协议栈

对网络的改造

需要引入SDN相关的技术设备

无需改造

是否支持容器场景

较难支持

支持容器场景的隔离

是否支持混合云场景

较难支持,无法跨越多个云环境进行统一管控

容易支持,不受环境限制

是否支持漏洞风险关联

较难支持

可以跟主机应用资产进行关联,快速定位漏洞风险

成本

成本较高

成本适中

  总体来说两种方案各有优缺点:

  1. 如果环境中租户数量较少且有跨云的情况,主机Agent方案可以作为第一选择;

  2. 如果环境中有较多租户分隔的需求且不存在跨云的情况采用SDN虚拟化设备的方式是较优的选择,主机Agent方案作为补充。

  另外主机Agent方案还可以结合主机漏洞风险发现、主机入侵检测能力相结合,形成更立体化的解决方案,顺带提一句,目前我们的工作负载安全解决方案已经可以完全覆盖这个场景的需求。

  企业如何执行微隔离实施工作

  在成功部署微隔离中的最大拦路虎首推可见性问题。分隔粒度越细,IT 部门越需要了解数据流,需要理解系统、应用和服务之间到底是怎样相互沟通的。

  同时需要建立微隔离可持续性。随着公司不断往微隔离中引入更多资产,负责团队需考虑长远发展,微隔离不是“设置了就可以丢开不管”的策略。这意味着,企业需设立长期机制以维持数据流的可见性,设置技术功能以灵活维护策略改变与实施要求;还意味着需清晰描述微隔离配置管理中各人都负责做些什么。

  微隔离管理的角色和责任同样很重要。微隔离规则的改变应经过审查,类似配置控制委员会这种运营和安全团队可验证变更适当性的地方。

  检验微隔离的效果

  检验微隔离是否真正发挥效果,最直接的方式就是在攻防对抗中进行检验。

  我们可以模拟以下几个场景进行检验:

  1. 互联网一台主机被攻陷后,能够触达内部多大范围的主机和工作负载;

  2. 同一业务区域一台主机被攻陷后,能否攻陷该业务区域的其他主机和工作负载(所有工作负载都存在可以利用的漏洞);

  3. 某一业务区域一台主机被攻陷后,能否触达跟该业务区域有访问关系的其他业务区域的核心主机和工作负载;

  4. 内部一台主机被攻陷后,能够触达到域控主机以及能否攻陷域控主机(域控主机存在可以利用的漏洞);

  5. 内部一个容器工作负载被攻陷后,能够触达内部其他多少个容器工作负载;能否通过该容器渗透到宿主主机;

  6. 以上所有网络访问行为是否在微隔离系统中的策略智能管控平台上监测到,是否有明显报警标记。

  以上是我们可以总结的一些检测场景,安全部门还可以根据自身业务的实际情况模拟更多的攻防对抗场景进行检验,才能做到“知己知彼,百战不殆”。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
第五代扩音器得胜DA5迷你扩音器集麦克风、功放、扩音器于一体
6月11日,第五代扩音器“得胜DA5迷你扩音器”在国内正式亮相。
日期:08-12
齐向东:内生安全框架要立足解决未来20年网络安全
8月12日,以“并肩应对威胁挑战”为主题的2020中国网络安全年会在网上成功召开。奇安信集...
日期:08-12
速读腾讯财报 Q2收入1148亿元 微信生态促进“内循环”
8月12日晚,腾讯控股(HK,00700)发布2020年二季报,实现营业收入1148.83亿元,同比增长29%,Non-IFRS净利...
日期:08-12
MAXHUB会议平板荣获德国iF设计大奖背后,真正好用的会议平板实力何在?
智能办公时代,企业对于办公设备的要求不再停留在提升办公效率层面,而是延伸出包括产品外观、功能人...
日期:08-12
苏宁818活动什么时候开始?这份购物宝典快快get!
2014年张近东动员京东全体员工,宣布将每年的8月-11月定为公司的“百日大战”,由于天猫双...
日期:08-12
宁畅线下“首秀”携五大机型亮相  诚邀各界伙伴莅临CITE2020展区
8月14日-16日,第八届中国电子信息博览会(CITE2020)将在深圳会展中心举行。宁畅信息产业(北京)有限...
日期:08-12
腾讯教育联合智谷星图、FISCO BCOS开源社区推出全国线上区块链(工科)师资培训课程!
根据拉勾大数据研究院发布的《2020年新基建人才报告》的报告显示,随着更多新基建人才需求被释放,...
日期:08-12
全网剪辑师“拯救喵大大”:投稿原视频赢万兴喵影超级大奖
一场关于“拯救喵大大”的原生视频素材征集行动,正在B站、微博持续发酵。
日期:08-12
京东数科完成转型 助力城市服务
前段时间,京东金融APP悄然上线了一项新功能,那就是京东交通卡。 据了解,此功能是京东金融与华为携手...
日期:08-12
当贝和泰捷盒子对比,配置、系统全方位真实介绍!
随着小米在十周年之际推出OLED大师系列的高端电视,国产电视的上限被提升到了透明电视的级别。科技发...
日期:08-12
专业电视盒子排行榜:高性价比电视盒子推荐
作为一个电视盒子从业者,看到很多人购买电视盒子都会踩坑,买了配置低的体验差的盒子回去用,因此给各...
日期:08-12
解码世纪互联蓝云:从微软背后的“隐形人”到“新基建的云伙伴”
小王是某企业的IT管理员,自从公司使用微软Azure云服务之后,在享受到成本降低、效率提升等诸多优势...
日期:08-12
不玩科技玩情怀!京东热8购物季独家首发尼康Z5
尼康Z5全画幅微单可谓是相机行业今年最受关注的产品之一了。还没开售,就有大批发烧友们放在愿望清...
日期:08-12
引领八月消费热潮 京东“热8购物季”撬动线上电器消费市场
经过多日的爆品秒杀“热身”,8月12日,京东“热8购物季”正式开启,以爱之名...
日期:08-12
黑鲨3S 2020年下半年最值得入手的游戏手机
流火八月,游戏手机市场和这个夏天一样火热,各大游戏手机品牌集中发力,展开了2020年下半年的终极...
日期:08-12
远离电信诈骗,ColorOS 7.2 用户记得开启这个功能
随着暑假的来临,针对孩子的电信诈骗也进入高发期。而在日常生活中,忙于工作的家长大多无法做到时...
日期:08-12
阿里巴巴市场公关主席王帅或离职
创头条讯,阿里巴巴集团合伙人、市场公关委员会主席王帅8月11日在朋友圈晒图称,“想退休&rdqu...
日期:08-12
福布斯丨用机器人服务员,重新定义「中国火锅」
近日,全球餐饮机器人行业标杆企业擎朗智能的机器人落地拉斯维加斯的智慧火锅餐厅THE X POT,引起全球...
日期:08-12
齐聚苏州 共襄盛举 2020全球智博会本周开幕
  8月10日,2020全球人工智能产品应用博览会(AIExpo2020)新闻发...
日期:08-12
张歆艺提前预热苏宁易购818 直播间内狂撒“五折爆品”底气足
二姐张歆艺发话啦,8月12号,她要在苏宁易购直播和抖音苏宁易购超级买手直播间开播,一大波“五折...
日期:08-12
  专栏介绍
半斤 的专栏
半斤发表的文章
积分:
自我介绍 :