久久久亚洲精品成人,色五月丁香六月欧美综合,午夜影视啪啪免费体验区,噜噜综合亚洲AV中文无码

安全資訊

網(wǎng)絡(luò)安全研究之微隔離

前言

在越來(lái)越關(guān)注攻防對(duì)抗實(shí)戰(zhàn)防護(hù)能力的今天,在零信任網(wǎng)絡(luò)被炒的越來(lái)越熱的今天,我們重新審視按照這些新理念構(gòu)建的縱深防御體系,結(jié)果發(fā)現(xiàn)依然問(wèn)題重重:在堆砌了大量安全產(chǎn)品后依然發(fā)現(xiàn)在資產(chǎn)管理、漏洞安全運(yùn)營(yíng)到內(nèi)部隔離等基礎(chǔ)安全工作跟不上安全態(tài)勢(shì)的變化。就拿隔離來(lái)說(shuō),當(dāng)攻擊者有機(jī)會(huì)拿到內(nèi)網(wǎng)一個(gè)跳板機(jī),結(jié)果發(fā)現(xiàn)內(nèi)網(wǎng)網(wǎng)絡(luò)基本是暢通的;這兩年的HW攻防對(duì)抗演練活動(dòng)中這個(gè)問(wèn)題的暴露尤為明顯,原來(lái)奉行的內(nèi)網(wǎng)基本安全的策略在攻防對(duì)抗中被“打”的體無(wú)完膚;同時(shí)隨著內(nèi)部網(wǎng)絡(luò)的架構(gòu)從傳統(tǒng)的IT架構(gòu)向虛擬化、混合云和容器化升級(jí)變遷,結(jié)果發(fā)現(xiàn)內(nèi)部隔離不再是一件容易的事情。為了適應(yīng)攻防對(duì)抗防護(hù)的要求、為了滿足新的IT架構(gòu)的要求,我們不得不再重新分析和審視隔離的重要性。



網(wǎng)絡(luò)隔離并不是新的概念,而微隔離技術(shù)(Micro-Segmentation)是VMware在應(yīng)對(duì)虛擬化隔離技術(shù)時(shí)提出來(lái)的,但真正讓微隔離備受大家關(guān)注是從2016年起連續(xù)3年微隔離技術(shù)都進(jìn)入年度安全技術(shù)榜單開(kāi)始。在2016年的安全與風(fēng)險(xiǎn)管理峰會(huì)上提出了微隔離技術(shù)的概念。“安全解決方案應(yīng)當(dāng)為企業(yè)提供流量的可見(jiàn)性和監(jiān)控??梢暬ぞ呖梢宰尠踩\(yùn)維與管理人員了解內(nèi)部網(wǎng)絡(luò)信息流動(dòng)的情況,使得微隔離能夠更好地設(shè)置策略并協(xié)助糾偏?!?/span>



2016年

2017年

2018年

2019年




歷年來(lái)安全技術(shù)榜單中的云安全

軟件定義邊界SDP
軟件定義邊界SDP

云訪問(wèn)安全代理CASB
云訪問(wèn)安全代理CASB
云訪問(wèn)安全代理CASB
云訪問(wèn)安全代理CASB
微隔離
微隔離
微隔離


云工作負(fù)載保護(hù)平臺(tái)CWPP



容器安全

容器安全


云安全配置管理CSPM
云安全配置管理CSPM


從微隔離概念和技術(shù)誕生以來(lái),對(duì)其核心的能力要求是聚焦在東西向流量的隔離上(當(dāng)然對(duì)南北向隔離也能發(fā)揮左右):

一是有別于防火墻的隔離作用,二是在云計(jì)算環(huán)境中的真實(shí)需求。


l  微隔離系統(tǒng)工作范圍:

微隔離顧名思義是細(xì)粒度更小的網(wǎng)絡(luò)隔離技術(shù),能夠應(yīng)對(duì)傳統(tǒng)環(huán)境、虛擬化環(huán)境、混合云環(huán)境、容器環(huán)境下對(duì)于東西向流量隔離的需求,重點(diǎn)用于阻止攻擊者進(jìn)入企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向平移(或者叫東西向移動(dòng))。


l  微隔離系統(tǒng)的組成:

有別于傳統(tǒng)防火墻單點(diǎn)邊界上的隔離(控制平臺(tái)和隔離策略執(zhí)行單元都是耦合在一臺(tái)設(shè)備系統(tǒng)中),微隔離系統(tǒng)的控制中心 

平臺(tái)和策略執(zhí)行單元是分離的,具備分布式和自適應(yīng)特點(diǎn):

(1)策略控制中心:是微隔離系統(tǒng)的中心大腦,需要具備以下幾個(gè)重點(diǎn)能力:

  • 能夠可視化展現(xiàn)內(nèi)部系統(tǒng)之間和業(yè)務(wù)應(yīng)用之間的訪問(wèn)關(guān)系,讓平臺(tái)使用者能夠快速理清內(nèi)部訪問(wèn)關(guān)系;

  • 能夠按角色、業(yè)務(wù)功能等多維度標(biāo)簽對(duì)需要隔離的工作負(fù)載進(jìn)行快速分組;

  • 能夠靈活的配置工作負(fù)載、業(yè)務(wù)應(yīng)用之間的隔離策略,策略能夠根據(jù)工作組和工作負(fù)載進(jìn)行自適應(yīng)配置和遷移。

(2)策略執(zhí)行單元:執(zhí)行流量數(shù)據(jù)監(jiān)測(cè)和隔離策略的工作單元,可以是虛擬化設(shè)備也可以是主機(jī)Agent。

不少人提出來(lái)有VLAN技術(shù)、VxLAN技術(shù)、VPC技術(shù),為什么還需要微隔離?在回答這個(gè)問(wèn)題之前,我們先來(lái)看看這幾個(gè)技術(shù)的定義和作用:

VLAN即虛擬局域網(wǎng),是通過(guò)以太網(wǎng)協(xié)議將一個(gè)物理網(wǎng)絡(luò)空間邏輯劃分成幾個(gè)隔離的局域網(wǎng),是我們目前做內(nèi)部不同局域網(wǎng)段的一種常用技術(shù);由于以太網(wǎng)協(xié)議的限制,VLAN能劃分的虛擬局域網(wǎng)最多只有4096個(gè)。

VxLAN即虛擬擴(kuò)展局域網(wǎng),為了解決VLAN技術(shù)在大規(guī)模計(jì)算數(shù)據(jù)中心虛擬網(wǎng)絡(luò)不足的問(wèn)題而出現(xiàn)的技術(shù),最多可支持1600萬(wàn)個(gè)虛擬網(wǎng)絡(luò)的同時(shí)存在可適應(yīng)大規(guī)模租戶的部署。

VPCVirtual Private Cloud,即虛擬私有云,最早由AWS于2009年發(fā)布的一種技術(shù),為公有云租戶實(shí)現(xiàn)在公有云上創(chuàng)建相互隔離的虛擬網(wǎng)絡(luò),其技術(shù)原理類似于VxLAN。


從技術(shù)特點(diǎn)上看,VLAN是一種粗粒度的網(wǎng)絡(luò)隔離技術(shù),VxLAN和VPC更接近于微隔離的技術(shù)要求但還不是微隔離最終的產(chǎn)品形態(tài)。

我們來(lái)看一個(gè)真實(shí)的生產(chǎn)環(huán)境中的工作負(fù)載之間的訪問(wèn)關(guān)系:

我們看到少數(shù)的幾臺(tái)工作負(fù)載都會(huì)有如何復(fù)雜的業(yè)務(wù)訪問(wèn)關(guān)系,那么當(dāng)工作負(fù)載數(shù)量急劇上升時(shí)我們急需一套更加智能的隔離系統(tǒng)。

以下是我們總結(jié)需要微隔離技術(shù)的幾大理由:

  • 實(shí)現(xiàn)基于業(yè)務(wù)角色的快速分組能力,為隔離分區(qū)提供基于業(yè)務(wù)細(xì)粒度的視角(解決傳統(tǒng)基于IP視角存在較多管理上的問(wèn)題);

  • 在業(yè)務(wù)分組的基礎(chǔ)上自動(dòng)化識(shí)別內(nèi)部業(yè)務(wù)的訪問(wèn)關(guān)系,并能通過(guò)可視化方式進(jìn)行展示;

  • 實(shí)現(xiàn)基于業(yè)務(wù)組之間的隔離能力、端到端的工作負(fù)載隔離能力、異常外聯(lián)的隔離能力,支持物理服務(wù)器之間、虛擬機(jī)之間、容器之間的訪問(wèn)隔離;通過(guò)隔離全面降低東西向的橫向穿透風(fēng)險(xiǎn),支持隔離到應(yīng)用訪問(wèn)端口,實(shí)現(xiàn)各業(yè)務(wù)單元的安全運(yùn)行;

  • 具備可視化的策略編輯能力和批量設(shè)置能力,支持大規(guī)模場(chǎng)景下的策略設(shè)置和管理;

  • 具備策略自動(dòng)化部署能力,能夠適應(yīng)私有云彈性可拓展的特性,在虛擬機(jī)遷移、克隆、拓展等場(chǎng)景下,安全策略能夠自動(dòng)遷移;

  • 在混合云環(huán)境下,支持跨平臺(tái)的流量識(shí)別及策略統(tǒng)一管理。 


目前市面上對(duì)于微隔離產(chǎn)品還沒(méi)有統(tǒng)一的產(chǎn)品檢測(cè)標(biāo)準(zhǔn),屬于一種比較新的產(chǎn)品形態(tài)。我們給出了評(píng)估微隔離的幾個(gè)關(guān)鍵衡量指標(biāo),包括:

1)是基于代理的、基于虛擬化設(shè)備的還是基于容器的?

2)如果是基于代理的,對(duì)宿主的性能影響性如何?

3)如果是基于虛擬化設(shè)備的,它如何接入網(wǎng)絡(luò)中?

4)該解決方案支持公共云IaaS嗎?


我們還給客戶提出了如下幾點(diǎn)建議:

1)欲建微隔離,先從獲得網(wǎng)絡(luò)可見(jiàn)性開(kāi)始,可見(jiàn)才可隔離;

2)謹(jǐn)防過(guò)度隔離,從關(guān)鍵應(yīng)用開(kāi)始;

3)鞭策IaaS、防火墻、交換機(jī)廠商原生支持微隔離;

從技術(shù)層面看微隔離產(chǎn)品實(shí)現(xiàn)主要采用虛擬化設(shè)備和主機(jī)Agent兩種模式,這兩種方式的技術(shù)對(duì)比如下表:



虛擬化設(shè)備模式

主機(jī)Agent模式

策略執(zhí)行單元

虛擬化設(shè)備自身的防火墻功能

調(diào)用主機(jī)自身的防火墻或內(nèi)核自定義防火墻

策略智能管理中心

基于SDN的策略控制面板

自研的智能策略管控平臺(tái)

采用的協(xié)議

實(shí)現(xiàn)(類)VxLan相關(guān)協(xié)議

沿用系統(tǒng)自帶的IP協(xié)議棧

對(duì)網(wǎng)絡(luò)的改造

需要引入SDN相關(guān)的技術(shù)設(shè)備

無(wú)需改造

是否支持容器場(chǎng)景

較難支持

支持容器場(chǎng)景的隔離

是否支持混合云場(chǎng)景

較難支持,無(wú)法跨越多個(gè)云環(huán)境進(jìn)行統(tǒng)一管控

容易支持,不受環(huán)境限制

是否支持漏洞風(fēng)險(xiǎn)關(guān)聯(lián)

較難支持

可以跟主機(jī)應(yīng)用資產(chǎn)進(jìn)行關(guān)聯(lián),快速定位漏洞風(fēng)險(xiǎn)

成本

成本較高

成本適中


總體來(lái)說(shuō)兩種方案各有優(yōu)缺點(diǎn)

  • 如果環(huán)境中租戶數(shù)量較少且有跨云的情況,主機(jī)Agent方案可以作為第一選擇;

  • 如果環(huán)境中有較多租戶分隔的需求且不存在跨云的情況采用SDN虛擬化設(shè)備的方式是較優(yōu)的選擇,主機(jī)Agent方案作為補(bǔ)充。


另外主機(jī)Agent方案還可以結(jié)合主機(jī)漏洞風(fēng)險(xiǎn)發(fā)現(xiàn)、主機(jī)入侵檢測(cè)能力相結(jié)合,形成更立體化的解決方案。順帶提一句,目前我們的工作負(fù)載安全解決方案已經(jīng)可以完全覆蓋這個(gè)場(chǎng)景的需求。


在成功部署微隔離中的最大攔路虎首推可見(jiàn)性問(wèn)題。分隔粒度越細(xì),IT 部門越需要了解數(shù)據(jù)流,需要理解系統(tǒng)、應(yīng)用和服務(wù)之間到底是怎樣相互溝通的。


同時(shí)需要建立微隔離可持續(xù)性。隨著公司不斷往微隔離中引入更多資產(chǎn),負(fù)責(zé)團(tuán)隊(duì)需考慮長(zhǎng)遠(yuǎn)發(fā)展,微隔離不是“設(shè)置了就可以丟開(kāi)不管”的策略。這意味著,企業(yè)需設(shè)立長(zhǎng)期機(jī)制以維持?jǐn)?shù)據(jù)流的可見(jiàn)性,設(shè)置技術(shù)功能以靈活維護(hù)策略改變與實(shí)施要求;還意味著需清晰描述微隔離配置管理中各人都負(fù)責(zé)做些什么。


微隔離管理的角色和責(zé)任同樣很重要。微隔離規(guī)則的改變應(yīng)經(jīng)過(guò)審查,類似配置控制委員會(huì)這種運(yùn)營(yíng)和安全團(tuán)隊(duì)可驗(yàn)證變更適當(dāng)性的地方。

 

檢驗(yàn)微隔離是否真正發(fā)揮效果,最直接的方式就是在攻防對(duì)抗中進(jìn)行檢驗(yàn)。

我們可以模擬以下幾個(gè)場(chǎng)景進(jìn)行檢驗(yàn):

(1)互聯(lián)網(wǎng)一臺(tái)主機(jī)被攻陷后,能夠觸達(dá)內(nèi)部多大范圍的主機(jī)和工作負(fù)載;

(2)同一業(yè)務(wù)區(qū)域一臺(tái)主機(jī)被攻陷后,能否攻陷該業(yè)務(wù)區(qū)域的其他主機(jī)和工作負(fù)載(所有工作負(fù)載都存在可以利用的漏洞);

(3)某一業(yè)務(wù)區(qū)域一臺(tái)主機(jī)被攻陷后,能否觸達(dá)跟該業(yè)務(wù)區(qū)域有訪問(wèn)關(guān)系的其他業(yè)務(wù)區(qū)域的核心主機(jī)和工作負(fù)載;

(4)內(nèi)部一臺(tái)主機(jī)被攻陷后,能夠觸達(dá)到域控主機(jī)以及能否攻陷域控主機(jī)(域控主機(jī)存在可以利用的漏洞);

(5)內(nèi)部一個(gè)容器工作負(fù)載被攻陷后,能夠觸達(dá)內(nèi)部其他多少個(gè)容器工作負(fù)載;能否通過(guò)該容器滲透到宿主主機(jī);

(6)以上所有網(wǎng)絡(luò)訪問(wèn)行為是否在微隔離系統(tǒng)中的策略智能管控平臺(tái)上監(jiān)測(cè)到,是否有明顯報(bào)警標(biāo)記。


 以上是我們可以總結(jié)的一些檢測(cè)場(chǎng)景,安全部門還可以根據(jù)自身業(yè)務(wù)的實(shí)際情況模擬更多的攻防對(duì)抗場(chǎng)景進(jìn)行檢驗(yàn),才能做到“知己知彼,百戰(zhàn)不殆”。

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號(hào)

微信公眾號(hào)

克山县| 延津县| 宜城市| 南康市| 衡东县| 佳木斯市| 新闻| 长丰县| 邢台县| 安乡县|