盡管在過去幾年中企業(yè)安全架構(gòu)進(jìn)行了一系列改進(jìn),但有一個重要轉(zhuǎn)型已經(jīng)達(dá)成共識,那就是企業(yè)不能僅依靠外圍邊界的“馬其頓防線”來阻止網(wǎng)絡(luò)攻擊者。通過將IT環(huán)境劃分為可控的細(xì)分區(qū)間——即所謂的“微隔離”,能有效解決未經(jīng)授權(quán)的橫向移動的挑戰(zhàn),使企業(yè)能夠安全地隔離工作負(fù)載,實現(xiàn)細(xì)粒度的網(wǎng)絡(luò)保護(hù)。
如今,網(wǎng)絡(luò)攻擊者正在不斷嘗試?yán)@過安全措施的新方法,因此能夠有效阻斷橫向移動的微隔離已成為主流安全技術(shù)之一。
微隔離與SDP和零信任架構(gòu)的關(guān)系
一個典型的基于SDP/微隔離框架的零信任架構(gòu)
提到微隔離,我們有必要先回顧一下零信任架構(gòu)的概念。零信任是一個全新的安全機(jī)制和構(gòu)想,即所有資產(chǎn)都必須先經(jīng)過身份驗證和授權(quán),然后才能啟動與另一資產(chǎn)的通信。SDP是一種零信任實現(xiàn)框架,通過使用微隔離在資產(chǎn)之間創(chuàng)建信任關(guān)系,將零信任安全性概念應(yīng)用于網(wǎng)絡(luò)中。SDP可以作為有效的網(wǎng)絡(luò)安全控制措施,使組織更能抵御傳統(tǒng)的網(wǎng)絡(luò)安全攻擊。因此,微隔離是基于SDP實現(xiàn)零信任架構(gòu)的重要技術(shù),但是與很多新興技術(shù)一樣,SDP也有很多實現(xiàn)方法和路徑,不同的企業(yè)需要根據(jù)自身需求以及不同方法的優(yōu)缺點來選擇適合自己的道路。
微隔離的工作原理
微隔離不僅是網(wǎng)絡(luò)性能和管理分段技術(shù)所邁出的一步,也是專門為解決關(guān)鍵網(wǎng)絡(luò)安全問題而設(shè)計的,可以降低風(fēng)險并使安全性能夠適應(yīng)不斷變化的IT環(huán)境。
過去二十年間,信息安全專家們已經(jīng)大量探討了零信任技術(shù)的各種實施方案和潛在問題。瞻博網(wǎng)絡(luò)(Juniper)技術(shù)安全負(fù)責(zé)人Trevor Pott認(rèn)為:“微隔離是'安全簡化'的實現(xiàn),”它擁有自動化和編排工具,提供詳細(xì)報告和復(fù)雜的圖形用戶界面。他補充說:“如今,我們不再有任何借口不去做我們20年前就應(yīng)該做的事情。”
微隔離通過單個中央策略將安全性實施分配到每個單獨的系統(tǒng)。網(wǎng)絡(luò)安全提供商OPAQ的首席技術(shù)官湯姆·克羅斯(Tom Cross)解釋說:“微隔離使整個企業(yè)網(wǎng)絡(luò)(而不只是在邊界)可以執(zhí)行精細(xì)的安全策略。”“這種方法是必要的,因為外圍安全有時會失敗,并且因為云計算的應(yīng)用普及,網(wǎng)絡(luò)外圍正變得千瘡百孔?!?/p>
微隔離仍然依靠傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù),例如訪問控制網(wǎng)絡(luò)。IT服務(wù)提供商Entrust Solutions的IT主管兼網(wǎng)絡(luò)安全專家Brad Willman表示:“微隔離的獨特之處在于,這些(傳統(tǒng))安全方法適用于微隔離網(wǎng)絡(luò)中的各個工作負(fù)載。”
微隔離已經(jīng)吸引了許多企業(yè)和機(jī)構(gòu)的關(guān)注。IT咨詢公司Kelser的高級咨詢工程師Andrew Tyler認(rèn)為:“微隔離是一種策略,它不僅可以防止數(shù)據(jù)泄露,而且還可以通過將泄露限制在網(wǎng)絡(luò)的一個局部來極大地減少破壞(如果發(fā)生)?!?/p>
不同的微隔離方法
Cross建議,技術(shù)高明的攻擊者在嘗試滲透企業(yè)資源時會采用多個步驟,因此基礎(chǔ)架構(gòu)防御者應(yīng)考慮在每個步驟上建立控制措施。他說:“系統(tǒng)之間的內(nèi)部橫向化移動在最近的安全事件中起了關(guān)鍵作用,諸如Mimikatz和Bloodhound之類的工具為攻擊者提供了豐富的功能?!薄拔⒏綦x可以有效切斷防御者在內(nèi)部網(wǎng)絡(luò)中傳播的潛在路徑,使防御者能夠有效破壞攻擊行動?!?/p>
需要重點指出的是,微隔離不僅是面向數(shù)據(jù)中心的技術(shù)。Cross說:“許多安全事件始于最終用戶工作站,因為員工單擊釣魚鏈接,或者他們的系統(tǒng)受到其他方式的破壞?!睆淖畛醯母腥军c開始,攻擊者可以流竄到整個企業(yè)網(wǎng)絡(luò)。他解釋說:“微隔離平臺應(yīng)該能夠通過單個控制臺在數(shù)據(jù)中心,云工作負(fù)載和最終用戶工作站上實施策略?!薄八€應(yīng)該能夠阻止攻擊在任何這些環(huán)境中的橫向傳播。”
與許多新興技術(shù)一樣,安全供應(yīng)商正從各個方向著手實現(xiàn)微隔離方案。三種傳統(tǒng)的微隔離類型是基于主機(jī)代理的微隔離,基于虛擬機(jī)監(jiān)控程序和網(wǎng)絡(luò)隔離。
(1) 基于主機(jī)代理。這種微隔離類型依賴位于端點中的代理。所有數(shù)據(jù)流都是可見的并將其中繼到中央管理器,這種方法可以減輕發(fā)現(xiàn)挑戰(zhàn)性協(xié)議或加密流量的麻煩。主機(jī)代理技術(shù)通常被認(rèn)為是一種高效的微隔離方法。“由于受感染的設(shè)備是主機(jī),因此良好的主機(jī)策略甚至可以阻止問題進(jìn)入網(wǎng)絡(luò),”軟件開發(fā)和IT服務(wù)初創(chuàng)公司Mulytic Labs的CTO David Johnson說道。但是,它要求所有主機(jī)都安裝軟件,“對遺留操作系統(tǒng)和舊系統(tǒng)可能并不友好”。
(2) 基于虛擬機(jī)監(jiān)控程序。使用這種微隔離,所有流量都流經(jīng)管理程序。Johnson解釋說:“監(jiān)視虛擬機(jī)管理程序流量的能力意味著人們可以使用現(xiàn)有的防火墻,并且可以根據(jù)日常運營實例的需要將策略轉(zhuǎn)移至新的虛擬機(jī)管理程序?!边@種方法的缺點是虛擬機(jī)管理程序分段通常不適用于云環(huán)境、容器或裸機(jī)。他建議說:“在能夠派上用場的場景中,基于虛擬機(jī)監(jiān)控程序的方法非常有效?!?/p>
(3) 網(wǎng)絡(luò)隔離。這種方法基本上是對現(xiàn)有安全架構(gòu)的擴(kuò)展,它基于訪問控制列表(ACL)和其他經(jīng)過時間檢驗的方法進(jìn)行細(xì)分。約翰遜說:“到目前為止,這是最簡單的方法,因為大多數(shù)網(wǎng)絡(luò)專業(yè)人員都熟悉這種方法?!薄暗?,大型網(wǎng)絡(luò)段可能無法實現(xiàn)微隔離,并且這種做法在大型數(shù)據(jù)中心中管理起來可能既復(fù)雜又昂貴?!?/p>
在購買微隔離工具時,重要的是要記住,并非所有微隔離產(chǎn)品都能很好地適合這三個基本類別。許多供應(yīng)商正在探索提供彈性網(wǎng)絡(luò)微隔離的新方法和改進(jìn)的方法,例如機(jī)器學(xué)習(xí)和AI 監(jiān)控。在投入任何特定的微隔離產(chǎn)品之前,請確保詳細(xì)了解供應(yīng)商的特定技術(shù)方法,以及是否與企業(yè)自身的架構(gòu)和運營要求存在兼容性問題。
微隔離的缺點
盡管優(yōu)點一大堆,但微隔離也帶來了一些應(yīng)用和操作方面的挑戰(zhàn)。當(dāng)有供應(yīng)商向你兜售“一鍵式”解決方案的時候,企業(yè)安全主管尤其需要警惕,因為微隔離的初始部署通常會特別麻煩。Tyler警告說:“實施微隔離對有些業(yè)務(wù)和應(yīng)用可能會具有破壞性?!薄澳赡軙l(fā)現(xiàn)一些不支持微隔離的關(guān)鍵業(yè)務(wù)功能和應(yīng)用打嗝。”
另一個潛在的絆腳石是制定解決每個內(nèi)部系統(tǒng)需求的策略。對于很多企業(yè)而言,這可能是一個復(fù)雜且耗時的過程,因為在重新權(quán)衡和定義IT政策及其含義時,可能會發(fā)生內(nèi)部斗爭。Cross觀察到:“在大多數(shù)組織中,任何對內(nèi)部控制的觸動都會阻力重重?!?/p>
當(dāng)高敏感度資產(chǎn)和低敏感度資產(chǎn)同時存在于同一安全邊界內(nèi)時,了解不同網(wǎng)絡(luò)通信所需匹配的端口和協(xié)議(以及方向)是很重要的。實施不當(dāng)會導(dǎo)致網(wǎng)絡(luò)意外中斷。NCC集團(tuán)北美公司技術(shù)總監(jiān),關(guān)鍵基礎(chǔ)設(shè)施防御專家達(dá)蒙·斯莫爾(Damon Small)表示:“此外,請記住,實施微隔離所需的更改可能需要停機(jī),因此精心計劃很重要?!?。
微隔離技術(shù)一般都支持各種流行操作系統(tǒng)(例如Linux、Windows和MacOS)環(huán)境。但對于使用大型機(jī)或其他舊技術(shù)的組織而言,微隔離技術(shù)的兼容性并不樂觀。Cross警告說:“他們可能發(fā)現(xiàn)微隔離軟件不適用于這些遺留平臺?!?/p>
微隔離入門
要成功部署微隔離,必須對網(wǎng)絡(luò)體系結(jié)構(gòu)以及受支持的系統(tǒng)和應(yīng)用程序有詳細(xì)的了解。Small指出:“具體來說,企業(yè)應(yīng)該知道系統(tǒng)之間如何通信。”“具體可能需要與供應(yīng)商緊密合作或進(jìn)行詳細(xì)分析,以確定應(yīng)將微隔離放置在何處以及如何以不中斷生產(chǎn)的方式來放置微分段。”
啟動微隔離計劃的最佳方法是制定詳細(xì)的資產(chǎn)管理計劃。Pott說:“在全面掌握網(wǎng)絡(luò)資產(chǎn)并設(shè)計出一些方法對這些系統(tǒng)進(jìn)行分類之前,您無法對如何分割網(wǎng)絡(luò)做出理性的決定?!?/p>
解決了資產(chǎn)發(fā)現(xiàn)、分類和管理自動化問題后,IT環(huán)境才算是為微隔離準(zhǔn)備就緒。Pott建議說:“現(xiàn)在,安全主管們是時候到安全廠商那里購物了,并提出很多有關(guān)總擁有成本,集成能力,可擴(kuò)展性的尖銳問題?!?/p>
Cross觀察到,微隔離平臺的性能取決于執(zhí)行策略。他說:“用戶需要了解攻擊者的攻擊環(huán)節(jié)和步驟,并確保其策略能切斷最有價值的途徑,這一點很重要?!薄耙恍┖唵蔚囊?guī)則可以將Windows Networking、RDP服務(wù)和SSH在內(nèi)部網(wǎng)絡(luò)上的使用范圍縮小到特定用戶,從而可以抵御流行的攻擊技術(shù),而不會干擾業(yè)務(wù)流程?!?/p>
評論