关键词:
科技云报道原创。
网络安全公司Byos在2021年第三季度,对100位企业网络安全领导者开展了一项关于微隔离策略的调查。结果显示,有83%的领导者通过某种形式的微隔离来增强其企业网络安全性。
企业网络安全领导者认为微隔离解决方案最有吸引力的功能是:实时威胁管理(76%)、安全远程访问(67%)和勒索软件终止开关(62%)等。
对于已经转向微隔离的人,有88%的企业网络安全领导者表示,微隔离对于实现零信任网络安全至关重要。甚至更多的领导者(92%)表示,微隔离“比其替代方案更实用、更高效”。
不难发现,微隔离自2016年首次被Gartner确定为信息安全的一项关键新兴技术,至今已被越来越多的业界人士认可,成为了企业网络安全的一个关键组成部分。
在Gartner 2020年的云安全技术成熟度曲线中,微隔离进入了光明爬坡期,市场价值和技术成熟度已经毋庸置疑。
云化趋势下的微隔离
微隔离是2016年在Gartner安全与风险管理峰会上,由Gartner副总裁、知名分析师Neil MacDonald提出的概念。
微隔离又称软件定义隔离、微分段。从网络层隔离技术的角度看,小到主机防火墙、VLAN、VPC,大到硬件防火墙、VxLAN、安全域,其实都是隔离技术,微隔离也是其中的一种,只是在不同的基础设施上有不同的名字。
随着内部网络的架构从传统的IT架构向虚拟化、混合云和容器化升级变迁,企业发现一旦边界的防线被攻破或者绕过,攻击者就可以在数据中心内部横向移动,内部隔离不再是一件容易的事情。
在近些年来各个领域发生的一些APT攻击案例中能够发现,横向移动已经广泛应用于复杂的网络攻击中。
恶意攻击者通常会尝试包括钓鱼邮件攻击、漏洞利用等多种综合攻击的方式来突破目标边界防御系统,然后伺机使用横向移动来访问受感染系统中的更多设备,向目标组织内部更多包含重要资产的服务器和主机进行渗透,并伺机潜伏下来进行长期、有计划性和组织性地窃取敏感数据。一次横向移动攻击甚至能够让攻击者控制同一环境下的全部机器。
已知的擅长利用横向移动攻击的恶意软件更是不胜枚举,如BlackEnergy、Emotet、Trickbot、Petya Ransomware、WannaCry等等,都是其中的佼佼者。
除了在APT攻击之外,在我国大型攻防对抗演练活动中,这一攻击手法也十分常见,横向移动也被渗透测试人员称为“最爽”的技术之一,一旦在渗透目标系统内部找到通路,就能够在目标系统内部留下后门,为所欲为。
为了适应攻防对抗防护的要求,满足新的IT架构的要求,业界不得不再重新分析和审视隔离的重要性,微隔离概念由此诞生。
简单而言,微隔离能够应对传统环境、虚拟化环境、混合云环境、容器环境下,对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向移动。
微隔离:零信任三大技术方案之一
隔离从来都是一种高效可行的安全手段,微隔离技术的出现恰好能满足新环境、新业务对安全保障的需求。
事实上,微隔离是最早的一种对零信任概念的具体技术实现,这是因为微隔离技术与零信任安全模型有着天然的契合性。
传统的安全模型将网络划分为不可信和可信两个区域,用防火墙或网络设备的ACL将网络切分边界进行隔离,防火墙外部是不受信任的,内部则认为是安全可信的。
在零信任体系中,安全将不再区分网络的内部、外部,而是深度嵌入业务体系之中,构建自适应的内生安全机制,通过与传统防火墙、入侵防御等产品的互补,实现更统一、易用的防护体系。
零信任安全针对传统边界安全架构思想进行了重新评估和审视,以“持续信任评估,动态访问控制”为核心原则,因此,基于 “软件定义边界(SDP)”、“增强身份管理(IAM)”和“微隔离”构成了零信任领域的三个技术基石,以减少暴露面和攻击面,控制非授权访问,实现长期的网络安全保障。
其中,SDP技术是用于实现南北向安全的(用户跟服务器间的安全),微隔离技术是用于实现东西向安全的(服务器跟服务器间的安全),IAM技术用于资源之间彼此的访问关系授权。
将微隔离技术与零信任架构相结合,可以实现进程级别的访问控制与隔离,防止攻击者使用未经批准的连接或恶意代码,从已经受到攻击的应用程序或进程横向移动感染其他进程。
举个例子,如果黑客已经攻进了一个服务器,那么他就可以利用这个服务器做跳板,进一步攻击网络中的其他服务器。
但微隔离可以阻止这种来自内部的横向攻击。微隔离通过服务器间的访问控制,阻断勒索病毒在内部网络中的蔓延,降低黑客的攻击面。
这正好符合了零信任的原则:假设已经被攻破;持续验证,永不信任;只授予必须的最小权限。
微隔离的实现方式
目前,微隔离已有多种实现方式,企业可以根据自身需要进行选择。
云原生控制
这种在虚拟化平台提供者中比较常见,在虚拟化平台、laas、hypervisor或者基础设施中提供,比如阿里云、VMware NSX等。
优势是与云平台整合的更加完善,属于同一供应商,支持自动化编排。但劣势在于只支持自身虚拟化平台、不支持混合云;更适合于隔离,而不是访问控制;东西向的管理能力有限。
第三方防火墙
主要是基于第三方防火墙供应商提供的虚拟化防火墙。这种方案的优势在于具备丰富的安全能力,如:入侵检测、防病毒等功能,能集成IPS、av等功能,与防火墙配置逻辑一致,普遍支持自动化编排。
但劣势也很明显,需要与虚拟化平台做对接,费用高,且有性能损耗。
基于主机代理模式
这种模式就是采用Agent,将Agent部署到每台主机(虚拟机)中,Agent调用主机自身的防火墙或内核自定义防火墙来做服务器间的访问控制。这种方式就是用微隔离实现零信任的模式之一。
优势在于与底层架构无关,支持多云和容器;主机迁移时安全策略也能跟随着迁移;支持自动化编排。
缺点在于必须在每个服务器上安装agent客户端,有人会担心资源占用问题,担心影响现有业务。
混合模型
一般都是通过其它模式组合使用,例如本地与第三方组合。
优势是可以基于现有的内容进行升级改造,在不同的位置使用不同模式的优势。但缺点是
通常无法统一管理,需要多种管理工具,且云厂商往往对第三方产品的支持度不够高。
总体来说,四种方案各有优缺点,需要企业安全团队结合自身的实际情况来优化和处理。
如果环境中租户数量较少且有跨云的情况,主机Agent方案可以作为第一选择。
如果环境中有较多租户分隔的需求且不存在跨云的情况,采用SDN虚拟化设备的方式是较优的选择,主机Agent方案作为补充。
另外,主机Agent方案也可以结合主机漏洞风险发现、主机入侵检测能力相结合,形成更立体化的解决方案。
如何检验微隔离的效果?
检验微隔离是否真正发挥效果,最直接的方式就是在攻防对抗中进行检验。企业可以模拟以下几个场景进行检验:
互联网一台主机被攻陷后,能够触达内部多大范围的主机和工作负载;
同一业务区域一台主机被攻陷后,能否攻陷该业务区域的其他主机和工作负载(所有工作负载都存在可以利用的漏洞);
某一业务区域一台主机被攻陷后,能否触达跟该业务区域有访问关系的其他业务区域的核心主机和工作负载;
内部一台主机被攻陷后,能够触达到域控主机以及能否攻陷域控主机(域控主机存在可以利用的漏洞);
内部一个容器工作负载被攻陷后,能够触达内部其他多少个容器工作负载;能否通过该容器渗透到宿主主机;
以上所有网络访问行为是否在微隔离系统中的策略智能管控平台上监测到,是否有明显报警标记。
事实上,从原有的传统安全架构升级到零信任架构注定是一个长期的整体工程,这是一个不断自我提升和完善的过程,因此在微隔离的建设规划中,企业应该专注于自身安全防御能力的提升和优化,将策略和技术手段结合起来,来制定一个适合自身的建设方案。
同时,企业安全部门还可以根据自身业务的实际情况,模拟更多的攻防对抗场景进行检验,才能做到“知己知彼,百战不殆”。
【关于科技云报道】
专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。
科技云报道:远程接入时代,零信任如何“拯救”企业内网安全?
科技云报道原创。后疫情时代,开启远程办公,随时随地接入企业内网,已经成为一种新常态。远程办公不仅是突发状况面前的应急方案,也已成为企业提质增效的创新尝试,成为越来越多打工人的“心头好... 查看详情
科技云报道:被封神的零信任,如何走下神坛?
科技云报道原创。如今安全业内言必谈零信任。根据知名咨询机构Gartner发布的2021年企业网络技术成熟度曲线,零信任已走过了低谷期,进入了稳步爬升的光明期。Gartner曾预测,到2023年,60%企业会逐步淘汰虚拟... 查看详情
科技云报道:你的密码还安全吗?探究密码发展的“冰火两重天”
科技云报道原创。一直以来,密码都是维护计算机安全的核心技术和黄金标准。密码算法和协议作为解决人、机、物的身份标识,身份鉴别,统一管理,信任传递和行为审计问题,是实现安全可信、可控的互... 查看详情
科技云报道:云原生时代,it运维视角为何要转向可观测性?
科技云报道原创。云原生时代,可观测性变成了基础设施级的诉求。随着微服务、容器化的兴起,云原生带来的应用复杂度呈指数级上升,这种复杂度增加了系统状态可视化的难度,企业对于系统可观测能力提出... 查看详情
科技云报道:上云“既要又要还要”?托管云真香了!
科技云报道原创。历经十年,上云不再是一个陌生词汇,公有云和私有云孰优孰劣也不再能激起业界争执。但如何上好云、用好云,依然是横亘在大多数企业面前的一道难题。用户的上云焦虑如今中国云计算市场已步... 查看详情
科技云报道:拐点已至,今天,你的企业“云原生”了吗
科技云报道原创。自2006年谷歌提出云计算概念以来,云计算已经进入到第十五个年头。在这期间,包括亚马逊、微软、谷歌、阿里巴巴、腾讯、华为、百度等在内的全球科技巨头均纷纷下场参与这场竞争。在历经多年发... 查看详情
科技云报道:如何破解devsecops实施三大挑战?
科技云报道原创。随着DevOps的普及,DevSecOps也开始被一些企业关注。根据GitLab发布的2021年全球DevSecOps年度调查报告,36%的受访者团队已经使用了DevOps或者DevSecOps开发软件,尤其是那些迁往云平台的新兴应用,DevSec... 查看详情
科技云报道:开源“新风潮”
科技云报道原创。1991年,对于开源来讲,是一个值得被行业铭记的年份。伴随Linux正式问世,开源对企业的重要性开始显现,开源运动被证明为是一种更好、更快的核心软件开发方式。之后,开源的基础技术... 查看详情
科技云报道:云原生时代,存储长什么样?
科技云报道原创。据IDC称,到2023年,将有超5亿的应用和服务以云原生的方式进行开发和部署,这一数字与过去40年以来人们开发的应用总数相当。云原生的加速发展为每个行业带来新的竞争需求,云原生和容器正... 查看详情
科技云报道:pingcap黄东旭:serverless是数据库的未来形态
科技云报道原创。30年前,程序员要想写代码,必须使用复杂的汇编语言。但在今天,几乎没有程序员知道如何使用汇编语言,更加简易的高级语言如C++,C#,JAVA,Rust,Go已成为开发主流。随... 查看详情
科技云报道:web3.0与元宇宙是什么关系?
科技云报道原创。最近,Meta裁员的靴子正式落地:扎克伯格正式宣布裁员1.1万人,占员工总数的13%。去年十月,扎克伯格宣布Facebook将更名为Meta,这也是元宇宙“MetaVerse”的前缀。他曾放话,希望用五年... 查看详情
科技云报道:dhci没有大火的命?
科技云报道原创。今年8月,Gartner公布了2021年存储和数据保护技术成熟度曲线。和2020年的技术炒作曲线相比,dHCI(分离式超融合基础架构)已经脱离了炒作周期。为什么dHCI还没火起来就要退出历史舞台了?... 查看详情
科技云报道:数字自由从“预见”到“遇见”,还需多久?
科技云报道原创。什么是自由?这是一个哲学问题。古往今来争议颇大,英国哲学家阿克顿勋爵统计,对于“自由”的定义约有200种之多。那么,“数字自由”又指的是什么呢?近日,青云科技在京举办“... 查看详情
科技云报道:2021年,隐私计算进入商业落地元年
科技云报道原创。隐私计算(PrivacyComputing)又称隐私增强计算(Privacy-EnhancingComputation)或机密计算(ConfidentialComputing),隐私也即是信息安全中的机密性。按照普遍定义,“隐私计算”是指在处理... 查看详情
科技云报道:软件定义汽车时代,云计算成幕后重要推手
科技云报道原创。作为中国经济发展的“中流砥柱”,汽车产业正在发生着显著变化,以电动化、智能化、网联化和共享化为代表的汽车产业“新四化”,已经被公认为汽车行业的未来趋势。随着5G、大数据、云计算... 查看详情
科技云报道:大风起兮,元宇宙的迷惑与野望
科技云报道原创。“超元域的天空和大地都是漆黑一片,宛如一幅没有任何图像显示的电脑屏幕。这里永远都是夜晚,而大街上始终华丽耀眼,灿烂夺目,就像超脱了物理法则和金钱限制的拉斯维加斯。”——《... 查看详情
科技云报道:信创基础设施迎来“升级潮”,可持续性架构成关键技术
科技云报道原创。如果说单一领域的技术突破是河流,信创毫无疑问是汪洋大海。随着“数字中国”战略的明确,数字化转型进程加速,信创产业成为国家战略布局的重点领域之一,是缩短科技发展周期以及国内... 查看详情
科技云报道:云原生无处不在,数字化转型怎样才能不迷路?
科技云报道原创。在这充满变化的年代,数字技术在快速发展,数字化发展已成为全球重要的共识。今天,全球已经有超过170个国家发布了国家数字战略。各行各业的数字化转型需求从未像今天这么迫切。对于企业尤... 查看详情