微隔离实施五步法,让安全防护转起来

前言

零信任的最核心原则→最小权限

安全的第一性原理→预防

零信任的最佳实践→微隔离

“零信任”这个术语的正式出现,公认是在2010年由Forrester分析师John Kindervag最早提出。时至今日,“零信任”俨然已成安全领域最热门的词汇,做安全的不提自己是基于零信任原则,就跟2012年做网络的人说自己不基于SDN一样落伍。零信任是不是一个被过度营销的术语?零信任架构、零信任原则,零信任与微隔离的关系等又该如何解读?

小德今天在这里要跟大家分享一些德迅云安全对零信任的思考和微隔离的实践,零信任是目的,微隔离是手段,所以重点是零信任

从“零信任”的起源看其发展

首先谈谈我对零信任的理解,我看待一个新的技术或者理念通常有这样一个心法,那就是先把时间轴拉长,从宏观上看它的发展历程,然后再微观上看,也就是聚焦到最近的集大成者。

这个是零信任的发展历程,2010年由Forester的首席分析师John Kindervag首先提出,那时的理念就是把所有接入设备都连到一个超大的NGFW上做网络微隔离,这是第一代零信任概念

然后是2011年到2017年,Google的BeyondCorp项目和论文,让我们相信SDP理念是可以真正落地的。

在这期间,也就是2013年,CSA成立了SDP工作组并发布了标准规范,掀起了基于SDP技术的零信任产品创业浪潮。一度让业内忘记了第一代零信任概念,认为SDP才是零信任,而微隔离不算。

然后时间来到2017年,Gartner也开始跟进零信任,他不能重新定义,但是他可以用,他整了个CARTA框架,说零信任是CARTA的第一步,这就层次更高了,另外还给SDP起了个业务名字,叫ZTNA。

然后2018年Forester那边赶快对零信任理念来了个扩展,不只看网络,还得看用户,设备,工作负载,不只做微隔离,还得做可视化,分析,自动化编排。这个扩展很重要,相当于给最后的集大成者提供了基础框架。

时间来到2020年,NIST发布了零信任架构白皮书,终于对零信任做了正式定义,不是新产品新技术,而是解决方案,并给出IAM,SDP,微隔离是零信任三大落地实践的指导意见,这就把我们这些做微隔离的给救了,业内终于认可微隔离也是零信任。

终于最后的集大成者出现了,就在两个月前,5月12日,美国拜登政府发布了行政令,要求联邦政府必须使用零信任架构,第二天也就是5月13日,美国国防信息系统局就发布了国防部零信任参考架构。

咱们接着就来从微观上看看这个DOD的零信任架构和它提出的成熟度模型。看用户,看设备,看网络,看工作负载,看数据,做精细的接入控制,做微隔离,做可视化,做自动化编排和响应,怎么样,就是从Forester那个零信任扩展来的吧,人家还给出了三个成熟度等级,让你别急慢慢做,最小权限原则是核心,贯穿三个等级,顺便提一下,微隔离也是贯穿三个等级的,不断增强,不止这两个图,还有个七大支柱和每个支柱上功能点之间的依赖关系,妥妥的落地实践指南,你想不会做都难。

本论点的主题是6A,当然也要讲讲小德的理解,这里的心法就是看变化,以前咱们都提4A嘛,新出来哪两个A呢,一个是控制,一个是应用,我想这是让我们重拾网络安全的第一性原理,我认为是预防,而网络安全的预防就是最小权限的访问控制,不只控制客户端访问服务端,还要控制服务端内部应用跟应用之间的互访,做到6A,你也就做到了零信任。

微隔离的技术背景

微隔离,故事就简单了,因为大家早就被各微隔离厂商灌输的太多了。

Gartner给出的三种微隔离技术实现,云平台原生的,第三方虚拟化防火墙的,第三方主机Agent的,没有谁好谁不好,只有不同的客户业务环境下谁更合适。

Gartner2020年的云安全技术成熟度曲线,微隔离已经进入了光明爬坡期,市场价值和技术成熟度都肯定没争议了。

Gartner云工作负载保护控制分层体系,也就是CWPP,核心功能要求微隔离。 

Gartner容器安全控制分层体系,基础控制要求微隔离。

微隔离: 零信任三大技术方案之一

隔离从来都是一种高效可行的安全手段,微隔离技术的出现恰好能满足新环境、新业务对安全保障的需求。

事实上,微隔离是最早的一种对零信任概念的具体技术实现,这是因为微隔离技术与零信任安全模型有着天然的契合性。

传统的安全模型将网络划分为不可信和可信两个区域,用防火墙或网络设备的ACL将网络切分边界进行隔离,防火墙外部是不受信任的,内部则认为是安全可信的。

在零信任体系中,安全将不再区分网络的内部、外部,而是深度嵌入业务体系之中,构建自适应的内生安全机制,通过与传统防火墙、入侵防御等产品的互补,实现更统一、易用的防护体系。 

零信任安全针对传统边界安全架构思想进行了重新评估和审视,以“持续信任评估,动态访问控制”为核心原则,因此,基于“软件定义边界(SDP)”、“增强身份管理(IAM)”和“微隔离”构成了零信任领域的三个技术基石,以减少暴露面和攻击面,控制非授权访问,实现长期的网络安全保障。 

其中,SDP技术是用于实现南北向安全的(用户跟服务器间的安全),微隔离技术是用于实现东西向安全的(服务器跟服务器间的安全),IAM技术用于资源之间彼此的访问关系授权。 

将微隔离技术与零信任架构相结合,可以实现进程级别的访问控制与隔离,防止攻击者使用未经批准的连接或恶意代码,从已经受到攻击的应用程序或进程横向移动感染其他进程。 

举个例子,如果黑客已经攻进了一个服务器,那么他就可以利用这个服务器做跳板,进一步攻击网络中的其他服务器。 

但微隔离可以阻止这种来自内部的横向攻击。微隔离通过服务器间的访问控制,阻断勒索病毒在内部网络中的蔓延,降低黑客的攻击面。 

这正好符合了零信任的原则:假设已经被攻破;持续验证,永不信任;只授予必须的最小权限。

微隔离的实现方式

目前,微隔离已有多种实现方式,企业可以根据自身需要进行选择。

  1. 云原生控制

这种在虚拟化平台提供者中比较常见,在虚拟化平台、laas、hypervisor或者基础设施中提供,比如阿里云、VMware NSX等。

优势是与云平台整合的更加完善,属于同一供应商,支持自动化编排。但劣势在于只支持自身虚拟化平台、不支持混合云;更适合于隔离,而不是访问控制;东西向的管理能力有限。

  1. 第三方防火墙

主要是基于第三方防火墙供应商提供的虚拟化防火墙。这种方案的优势在于具备丰富的安全能力,如:入侵检测、防病毒等功能,能集成IPS、av等功能,与防火墙配置逻辑一致,普遍支持自动化编排。

但劣势也很明显,需要与虚拟化平台做对接,费用高,且有性能损耗。

  1. 基于主机代理模式

这种模式就是采用Agent,将Agent部署到每台主机(虚拟机)中,Agent调用主机自身的防火墙或内核自定义防火墙来做服务器间的访问控制。这种方式就是用微隔离实现零信任的模式之一。

优势在于与底层架构无关,支持多云和容器;主机迁移时安全策略也能跟随着迁移;支持自动化编排。

缺点在于必须在每个服务器上安装agent客户端,有人会担心资源占用问题,担心影响现有业务。

  1. 混合模型

一般都是通过其它模式组合使用,例如本地与第三方组合。

优势是可以基于现有的内容进行升级改造,在不同的位置使用不同模式的优势。但缺点是通常无法统一管理,需要多种管理工具,且云厂商往往对第三方产品的支持度不够高。

总体来说,四种方案各有优缺点,需要企业安全团队结合自身的实际情况来优化和处理。

如果环境中租户数量较少且有跨云的情况,主机Agent方案可以作为第一选择。

如果环境中有较多租户分隔的需求且不存在跨云的情况,采用SDN虚拟化设备的方式是较优的选择,主机Agent方案作为补充。

另外,主机Agent方案也可以结合主机漏洞风险发现、主机入侵检测能力相结合,形成更立体化的解决方案。

蜂巢的微隔离之路

定义蜂巢微隔离原生自适应容器多变的环境。通过对访问关系的梳理和学习,提供自适应、自迁移、自维护的网络隔离策略,帮助用户快速、安全地落地容器微隔离能力。

模块介绍:

提供业务视角的网络拓扑关系——基于实际业务的⼯作负载可视化展示容器间的访问⾏为,清晰展示网络拓扑关系,方便运维和安全人员理解。

覆盖各种云原生场景的隔离策略——

集群内网络隔离
可设置基于Namespace、Label、Controller、IP/CIDR的隔离策略。

集群间网络隔离
可设置基于集群与非容器集群,集群与外部网络之间的隔离策略。

纯容器与胖容器
针对纯容器与胖容器提供不同的隔离策略。

提供“告警”模式,让用户放心设置策略——针对工作负载提供“仅告警”业务模式,不下发实际的隔离策略,而是模拟下发的情况,当发现偏离策略的行为则进行告警提示。通过此种模式,可避免因隔离错误而对业务造成影响。

全面适配云原生的网络环境——适配Underlay、Overlay、Vxlan、Macvlan、Ovs等诸多网络架构。

微隔离的实施过程

微隔离的实践,实施过程五步法,是我们从用户的使用过程中总结出来的。

定义资产就是从云平台同步资产的ID信息,因为后面做流量可视化和微隔离策略都是面向资产ID开展的。

梳理业务模型就是流量可视化,可视化出来哪些是合法的访问,哪些是非法的访问,后面好做微隔离策略。

实施保护就是配置网络微隔离策略,阻断哪些,放行哪些。

细化安全策略是对放行的流量说的,要进一步做应用层安全检查。

最后一步,持续监控就是对被微隔离控制住的攻击和违规进行溯源调查,持续优化微隔离策略,让PDCA转起来。

如何检验微隔离的效果?

检验微隔离是否真正发挥效果,最直接的方式就是在攻防对抗中进行检验。企业可以模拟以下几个场景进行检验: 

  1. 互联网一台主机被攻陷后,能够触达内部多大范围的主机和工作负载;

  1. 同一业务区域一台主机被攻陷后,能否攻陷该业务区域的其他主机和工作负载(所有工作负载都存在可以利用的漏洞);

  1. 某一业务区域一台主机被攻陷后,能否触达跟该业务区域有访问关系的其他业务区域的核心主机和工作负载;

  1. 内部一台主机被攻陷后,能够触达到域控主机以及能否攻陷域控主机(域控主机存在可以利用的漏洞);

  1.  内部一个容器工作负载被攻陷后,能够触达内部其他多少个容器工作负载;能否通过该容器渗透到宿主主机;

  1.  以上所有网络访问行为是否在微隔离系统中的策略智能管控平台上监测到,是否有明显报警标记。

 事实上,从原有的传统安全架构升级到零信任架构注定是一个长期的整体工程,这是一个不断自我提升和完善的过程,因此在微隔离的建设规划中,企业应该专注于自身安全防御能力的提升和优化,将策略和技术手段结合起来,来制定一个适合自身的建设方案。 

同时,企业安全部门还可以根据自身业务的实际情况,模拟更多的攻防对抗场景进行检验,才能做到“知己知彼,百战不殆”。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/5496.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

想要接触网络安全,应该怎么入门学习?

作为一个网络安全新手,首先你要明确以下几点: 我刚入门网络安全,该怎么学?要学哪些东西?有哪些方向?怎么选?这一行职业前景如何? 其次,如果你现在不清楚学什么的话&…

物联网实战--平台篇之(二)基础搭建

目录 一、Qt工程创建 二、数据库知识 三、通信协议 四、名词定义 本项目的交流QQ群:701889554 物联网实战--入门篇https://blog.csdn.net/ypp240124016/category_12609773.html 物联网实战--驱动篇https://blog.csdn.net/ypp240124016/category_12631333.html 一、Qt工程…

如何使用ChatGPT进行高效的中文到科学英文翻译?

如何使用ChatGPT进行高效的中文到科学英文翻译 在全球化加速的今天,科学交流往往需要跨越语言障碍。特别是在科研领域,有效地将中文研究成果转化为精准的科学英语描述,对于学术发表和国际合作尤为关键。AI翻译工具如ChatGPT可以在这一过程中…

ubuntu入门

基础命令 cd 切换命令 ls 查看当前目录下所有的文件 cp a.c b.c 拷贝a.c 到 b.c touch a.c 创建a.c文件 mkdir file 创建文件夹file rm file 删除文件 rmdir 删除test文件夹 rmdir test/ mv 移动文件 mv a.c b.c 把a.c 替换成b.c ifconfig 查看电脑网络信息 rm xx 删…

虹科Pico汽车示波器 | 免拆诊断案例 | 起动机免拆诊断故障 2 例

电磁开关、换向器烧蚀及炭刷磨损均会导致起动机偶尔不工作,使发动机偶尔无法起动。由于故障是偶发的,且没有故障代码,这往往会让维修人员无从下手,而用Pico示波器测量起动电流,就会让这些“亚健康状态”一目了然。 案例…

MongoDB磁盘空间占满,导致数据库被锁定,如何清理数据和磁盘空间

一、问题 1、我在实际项目中,遇到一个问题,随着数据每天的不断增加,导致mongodb的磁盘空间站满了,数据库被锁了,无法使用。 2、故障表现 部署的应用程序突然无法将数据写入数据库,但是可以正常读取数据。…

与 Apollo 共创生态:观看7周年大会的心路历程

前言 在科技飞速发展的今天,自动驾驶技术已然成为行业创新的热点之一。作为一名长期关注自动驾驶领域的技术人员,我有幸见证了Apollo平台的成长与壮大。七年前,Apollo的诞生为我们带来了无尽的想象与期待;七年后的今天&#xff0…

1天搞定uniApp+Vue3+vite+Element UI或者Element Plus开发学习,使用vite构建管理项目,HBuilderX做为开发者工具

我们通常给小程序或者app开发后台时,不可避免的要用到可视化的数据管理后台,而vue和Element是我们目前比较主流的开发管理后台的主流搭配。所以今天石头哥就带大家来一起学习下vue3和Element plus的开发。 准备工作 1,下载HBuilderX 开发者…

STL——stackqueue

stack stack即为栈&#xff0c;先进后出是其特点 栈只有栈顶元素能被外界使用&#xff0c;故不存在遍历行为 栈中常用接口 构造函数 stack<T> stk; //默认构造方式 stack(const stack &stk); //拷贝构造 赋值操作 stack& operator(const stack &stk); …

Linux服务器安全基础 - 查看入侵痕迹

1. 常见系统日志 /var/log/cron 记录了系统定时任务相关的日志 /var/log/dmesg 记录了系统在开机时内核自检的信息&#xff0c;也可以使用dmesg命令直接查看内核自检信息 /var/log/secure:记录登录系统存取数据的文件;例如:pop3,ssh,telnet,ftp等都会记录在此. /var/log/btmp:记…

Flask教程1:flask框架基础入门,路由、模板、装饰器

文章目录 一、 简介二、 概要 一、 简介 Flask是一个非常小的Python Web框架&#xff0c;被称为微型框架&#xff1b;只提供了一个稳健的核心&#xff0c;其他功能全部是通过扩展实现的&#xff1b;意思就是我们可以根据项目的需要量身定制&#xff0c;也意味着我们需要学习各…

(7)快速调优

文章目录 前言 1 安装脚本 2 运行 QuikTune 3 高级配置 前言 VTOL QuikTune Lua 脚本简化了为多旋翼飞行器的姿态控制参数寻找最佳调整的过程。 脚本会缓慢增加相关增益&#xff0c;直到检测到振荡。然后&#xff0c;它将增益降低 60%&#xff0c;并进入下一个增益。所有增…

VScode 无法连接云服务器

试了很多方法&#xff0c;比如更换VScode版本&#xff0c;卸载重装&#xff0c;删除配置文件 重启电脑&#xff0c;都无法成功。最后重置电脑后才连接上&#xff0c;但是重启服务器后又出现该问题。 方法一&#xff1a;修改环境 方法二&#xff1a;把vscode卸载干净重下

JVM支持的可配置参数查看和分类

JVM参数大致可以分为三类: 标注指令:-开头。 这些是所有的HotSpot都支持的参数。可以用java-help 打印出来。 非标准指令: -X开头。 这些指令通常是跟特定的HotSpot版本对应的。可以用java -X打印出来。 不稳定参数: -XX 开头。 这一类参数是跟特定HotSpot版本对应的&#x…

Java Maven 编译资源文件拷贝错误 dirCompressed.zip failed with MalformedInputException:

完整的错误信息为&#xff1a; [ERROR] Failed to execute goal org.apache.maven.plugins:maven-resources-plugin:3.3.1:resources (default-resources) on project core-java-io: filtering C:\WorkDir\Repository\iSharkfly-Docs\java-tutorials\core-java-modules\core-ja…

VitePress 构建的博客如何部署到 Netlify 平台?

VitePress 构建的博客如何部署到 Netlify 平台&#xff1f; 前言 之前写了篇文章【使用 Vitepress 构建博客并部署到 github 平台】&#xff0c;有个老哥说 github page 访问太慢了&#xff0c;希望放到 Netlify 平台上面。 咱也没部署过&#xff0c;就试了一下&#xff0c;发…

【计算智能】基本遗传算法在优化问题中的应用与实验【理论到程序】

文章目录 1. 引言&#xff1a;遗传算法简介2. 基本遗传算法&#xff08;SGA&#xff09;2.1 基本遗传算法的构成要素1. 染色体编码2. 适应度函数3. 遗传算子 2.2 实验设计与方法1. 算法流程2. 伪代码3. python实现1. 导入模块2. 目标函数 f(x)3 初始化种群4. 计算适应度5. 选择…

再谈有效地访问Github

文章目录 1. 知识回顾2. 问题描述3. 问题解决3.1 Mac系统3.2 Windows系统4. 内容总结1. 知识回顾 我们在之前的内容中介绍过如何有效地访问Github。如果大家忘记的话可以点击这里查看。之前的内容主要偏重于问题的分析和解决的思路,有些朋友看了后还是不清楚如何解决问题。 …

设计模式之工厂模式FactoryPattern(二)

一、简单工厂 package com.xu.demo.factoryPattern;/*** 简单工厂模式类*/ public class SimpleFactoryPattern {public static Phone create(String name) {//根据输入对象名称判断返回相匹配的对象if("IPhone".equals(name)) {//返回对象return new IPhone();}else…

【补充】图神经网络前传——图论

本文作为对图神经网络的补充。主要内容是看书。 仅包含Introduction to Graph Theory前五章以及其他相关书籍的相关内容&#xff08;如果后续在实践中发现前五章不够&#xff0c;会补上剩余内容&#xff09; 引入 什么是图&#xff1f; 如上图所示的路线图和电路图都可以使用…