域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過
從攻擊面視角理解零信任
Gartner在2022年發(fā)布的《2022年網(wǎng)絡(luò)安全重點(diǎn)趨勢(shì)(Top Trends in Cybersecurity 2022)》報(bào)告中,把“攻擊面擴(kuò)大”作為重要的一項(xiàng)提出。
報(bào)告指出:為了管理一系列擴(kuò)大的安全攻擊暴露面,組織機(jī)構(gòu)需要關(guān)注的遠(yuǎn)不只是針對(duì)漏洞進(jìn)行補(bǔ)丁修復(fù)。由于一系列數(shù)字化方案的應(yīng)用帶來的變化,例如新型混合網(wǎng)絡(luò)架構(gòu)、公有云的加速應(yīng)用、互連更緊密的供應(yīng)鏈、外部可訪問數(shù)字資產(chǎn)增多及物聯(lián)網(wǎng)科技的更多應(yīng)用,導(dǎo)致攻擊面大幅擴(kuò)大。組織機(jī)構(gòu)必須開始在傳統(tǒng)的“安全屋”方案之上思考新戰(zhàn)略,盡快采取行動(dòng)提升安全可視化及關(guān)鍵業(yè)務(wù)的風(fēng)險(xiǎn)防范水平。
攻擊面的定義是:一個(gè)給定的計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)可以被惡意人員訪問和利用的漏洞的總和。 為了對(duì)攻擊面進(jìn)行持續(xù)可視化呈現(xiàn)和縮減,需要做好以下幾方面工作:
業(yè)務(wù)訪問:即人訪問業(yè)務(wù)系統(tǒng)的過程管理。
漏洞管理:優(yōu)先級(jí)排序、分類與可視化處置。
資產(chǎn)安全:測(cè)繪、脆弱性管理、合規(guī)建設(shè)等。
零信任是一種架構(gòu)和方法論,其關(guān)注點(diǎn)在于提供安全的應(yīng)用訪問路徑。 從攻擊面視角出發(fā),零信任主要針對(duì)“業(yè)務(wù)訪問”部分給出解決方案,可進(jìn)一步細(xì)化為幾個(gè)重點(diǎn):
權(quán)限與路徑:圍繞人和應(yīng)用的訪問權(quán)限與路徑,進(jìn)行可視化呈現(xiàn)、梳理與管理,消除違規(guī)和越權(quán)訪問,規(guī)劃最優(yōu)路徑。
通信安全:將通信內(nèi)容進(jìn)行加密,對(duì)通信的雙方進(jìn)行身份校驗(yàn),避免通信被監(jiān)聽或破壞。
內(nèi)容審計(jì):將通信內(nèi)容進(jìn)行還原、記錄和留存。
在保護(hù)數(shù)據(jù)安全方面,相比數(shù)據(jù)安全領(lǐng)域的脫敏、泄露防護(hù)、數(shù)據(jù)庫(kù)防護(hù)等專用技術(shù),零信任解決方案的核心作用在“關(guān)口前移”。對(duì)于關(guān)鍵數(shù)據(jù)設(shè)置合理的訪問權(quán)限與路徑,實(shí)現(xiàn)高效率管理,從源頭提升非法接觸數(shù)據(jù)的難度和門檻,可以有效幫助數(shù)據(jù)安全整體方案進(jìn)行落地。
零信任實(shí)踐的三個(gè)層次
對(duì)于零信任建設(shè),本文將按照以下三個(gè)層次進(jìn)行分析:
零信任的三個(gè)層次
1、南北向:外部遠(yuǎn)程接入
在南北向,訪問控制的主要挑戰(zhàn)來自于傳統(tǒng)VPN技術(shù)的幾個(gè)隱患:
長(zhǎng)期開放固定端口,導(dǎo)致網(wǎng)絡(luò)層暴露面持續(xù)存在,這一缺陷在攻防演練中多次被攻擊方成功利用。
長(zhǎng)連接機(jī)制下,網(wǎng)絡(luò)質(zhì)量敏感型應(yīng)用可能存在性能問題。
在多云和混合云接入環(huán)境下,權(quán)限控制不夠精細(xì)或維護(hù)成本過高。
終端安全管控能力不足。
目前主流的VPN替代方案是軟件定義邊界SDP(Software Defined Perimeter),這一方案已有較為廣泛的應(yīng)用 ,其核心優(yōu)勢(shì)如下:
采用先認(rèn)證再連接模式,避免固定端口暴露。
使用短連接方案,增強(qiáng)業(yè)務(wù)性能體驗(yàn)。
基于人和業(yè)務(wù)系統(tǒng)定制全局策略并實(shí)現(xiàn)動(dòng)態(tài)自適應(yīng),在多云和混合云接入場(chǎng)景下更為適用,且能降低維護(hù)難度。
支持全品類主機(jī)和移動(dòng)終端操作系統(tǒng)、SDK及瀏覽器環(huán)境接入,采用人+端+接入環(huán)境三維校驗(yàn)技術(shù),在終端身份核驗(yàn)方面更具執(zhí)行力,更適合移動(dòng)應(yīng)用和IoT終端接入場(chǎng)景。
2、東西向:內(nèi)部主機(jī)互訪
在東西向流量層面,零信任的主要解決方案是微隔離。其針對(duì)的主要安全攻擊手段是橫向擴(kuò)散,也即攻擊者獲取失陷主機(jī)后作為跳板在安全域內(nèi)繼續(xù)擴(kuò)大攻擊,最終威脅到核心資產(chǎn)。 微隔離可以通俗地理解為業(yè)務(wù)系統(tǒng)間防火墻,在數(shù)據(jù)中心等場(chǎng)景中,大二層環(huán)境和虛擬化工作負(fù)載使得這一技術(shù)更為流行。
微隔離產(chǎn)品一般可以做三種分類,分別是:
Hyper-V微隔離:以VM為單位進(jìn)行隔離。
網(wǎng)絡(luò)微隔離:在L3/L4進(jìn)行隔離(經(jīng)常借助SDN控制器)。
主機(jī)微隔離:基于主機(jī)/業(yè)務(wù)系統(tǒng)進(jìn)行隔離。
其中最受歡迎的微隔離方案是主機(jī)微隔離 ,其中一個(gè)原因是這個(gè)方案相對(duì)容易部署,通過管理平臺(tái)和主機(jī)上部署Agent就可以開始部署策略。無(wú)論是Windows或Linux操作系統(tǒng),Agent可以通過iptables等方式進(jìn)行策略控制,而在管理平臺(tái)上可以將主機(jī)互訪關(guān)系與路徑進(jìn)行可視化與管理,并針對(duì)訪問需求進(jìn)行策略自適應(yīng)計(jì)算、異常分析與下發(fā),這種方案在云負(fù)載、虛擬負(fù)載和物理服務(wù)器上都保持一致有效,從而阻斷東西向安全威脅,縮減業(yè)務(wù)交付時(shí)間和維護(hù)成本。
3、斜向:安全域訪問控制
除了討論特別多的南北向和東西向之外,兼具二者的所謂“斜向”經(jīng)常被忽略,尤其是當(dāng)網(wǎng)絡(luò)規(guī)模足夠大和安全訪問控制策略足夠復(fù)雜時(shí),這一方向會(huì)顯得尤為重要。 在跨廣域網(wǎng)的多分支機(jī)構(gòu)網(wǎng)絡(luò)中,同時(shí)有眾多遠(yuǎn)程接入用戶,包括居家辦公員工、供應(yīng)鏈及第三方合作伙伴,此時(shí)安全域的劃分與安全策略規(guī)劃將會(huì)比較復(fù)雜。試想,此時(shí)兩個(gè)主機(jī)之間的訪問可能會(huì)跨三層及安全域,也就是說在南北和東西兩個(gè)方向同時(shí)發(fā)生,而真正的訪問控制落地會(huì)在安全設(shè)備的訪問控制策略上,單純的南北向或東西向權(quán)限控制都不能獨(dú)立解決問題。
斜向?qū)?yīng)的零信任解決方案是NSPM(Network security policy management)技術(shù)。 在NSPM的訪問控制基線管理功能中,可以基于業(yè)務(wù)需求和安全域訪問規(guī)則設(shè)置訪問控制基線,訪問控制基線信息至少包括源域、源地址、目的域、目的地址、協(xié)議、端口、動(dòng)作等信息,支持黑白名單、高危端口、病毒端口的自定義,支持定期依據(jù)訪問控制基線對(duì)網(wǎng)絡(luò)訪問控制策略進(jìn)行檢查,及時(shí)發(fā)現(xiàn)和清除導(dǎo)致非法越權(quán)訪問的違規(guī)策略。此外,NSPM的網(wǎng)絡(luò)暴露風(fēng)險(xiǎn)管理功能能夠以某一主機(jī)或主機(jī)組為對(duì)象,自動(dòng)化實(shí)現(xiàn)網(wǎng)絡(luò)暴露路徑與暴露風(fēng)險(xiǎn)的分析,從網(wǎng)絡(luò)訪問關(guān)系與安全路徑的角度描述其對(duì)外的暴露情況,可以幫助用戶及時(shí)了解某些重要主機(jī)與網(wǎng)絡(luò)暴露面的大小、風(fēng)險(xiǎn)的高低,輔助用戶進(jìn)行暴露面收斂與暴露路徑的安全加固。
為了系統(tǒng)性解決權(quán)限控制問題,需要將南北向、東西向和斜向解決方案進(jìn)行有機(jī)結(jié)合。當(dāng)前,將SDP、主機(jī)微隔離和NSPM結(jié)合的零信任解決方案并不常見,國(guó)內(nèi)的廠商安博通是供應(yīng)商之一,產(chǎn)品均已適配信創(chuàng)終端環(huán)境,在金融和運(yùn)營(yíng)商行業(yè)已有成功案例。
信創(chuàng)終端環(huán)境落地經(jīng)驗(yàn)總結(jié)
將零信任技術(shù)方案應(yīng)用于信創(chuàng)環(huán)境,工作主要在于完成相關(guān)軟件在信創(chuàng)CPU(龍芯/鯤鵬/飛騰)、信創(chuàng)操作系統(tǒng)(麒麟、統(tǒng)信)及信創(chuàng)網(wǎng)卡和信創(chuàng)數(shù)據(jù)庫(kù)等環(huán)境中的適配。這一落地過程中需要克服的主要技術(shù)難點(diǎn)包括:
硬件無(wú)關(guān)化程度:當(dāng)軟件主要在用戶態(tài)實(shí)現(xiàn)時(shí),遷移到信創(chuàng)過程中將不會(huì)涉及到過多的驅(qū)動(dòng)工作,更加順利。
解決跨平臺(tái)編譯和各語(yǔ)言、組件版本升降級(jí)問題。
各類國(guó)產(chǎn)化產(chǎn)品的適配和遷移工作。
克服開發(fā)工具鏈相對(duì)薄弱的現(xiàn)狀進(jìn)行持續(xù)調(diào)試。
與體系架構(gòu)相關(guān)的開源軟件重構(gòu)和遷移。
通過幾個(gè)體系的信創(chuàng)領(lǐng)域產(chǎn)品推進(jìn),零信任相關(guān)產(chǎn)品已經(jīng)在信創(chuàng)終端環(huán)境下實(shí)現(xiàn)了較好的落地。從應(yīng)用效果看,盡管在性能和加解密能力等方面還有優(yōu)化空間,但已可以成功應(yīng)用于通用環(huán)境。
未來展望
在政策和技術(shù)雙重驅(qū)動(dòng)下,零信任安全在信創(chuàng)領(lǐng)域已取得了不錯(cuò)成果,未來將會(huì)迎來更大機(jī)遇,尤其是在金融市場(chǎng)的加速應(yīng)用。零信任解決方案的落地過程中需要關(guān)注多個(gè)層面,持續(xù)縮減攻擊面和控制訪問權(quán)限,守好前置關(guān),成為數(shù)字化轉(zhuǎn)型和數(shù)據(jù)安全的重要措施。
參考文獻(xiàn):
《Guide to Network Security Concepts》,Gartner
《Top Trends in Cybersecurity 2022》,Gartne
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!