随着云计算、虚拟化技术的快速发展,越来越多企业将数据与业务迁移到云计算环境。包含有敏感数据和业务的云计算工作负载,在云环境下网络边界变得模糊。
云环境中南北向的数据通过防火墙的策略规则可以做到网络隔离,而东西向的数据,就会绕开防火墙。传统防御方式只是单纯地从位置、环境、应用出发,进行粗粒度的网络隔离。
面对云环境下的安全防护需求,传统防火墙、WAF、IPS 等端点安全和网络安全手段显得力不从心。
一、顺应时代的微隔离
2016年,国际专业咨询机构Gartner指出:“微隔离应当为企业提供流量的可见性和监控。可视化工具可以让安全运维与管理人员了解内部网络信息流动的情况,使得微隔离能够更好地设置策略并协助纠偏。”
对比传统防火墙等隔离方式,微隔离所实现的细粒度网络隔离更能满足当下的安全防护需求。微隔离是基于主机Agent技术实现了应用程序、端口、进程和容器的网络隔离,解决了云化场景以及跨混合云架构下的细粒度网络隔离。
传统粗粒度隔离vs微隔离细粒度隔离
微隔离作为零信任的重要组件,主要实现内部防护信任。2020年美国NIST在其发布的零信任标准中提出,企业可以选择使用软件代理即Agent来实现基于主机的微隔离。
零信任是新一代网络安全架构,主张所有资产都必须先经过身份验证和授权,然后才能与另一资产通信。微隔离技术实现最细粒度的访问控制,面向业务应用,而非单一的IP地址的方式实现数据中心资产东西向之间的身份验证和授权访问,是零信任在数据中心的最佳实践。
简单来说,服务器网络层采用微隔离进行防护后,就相当于泰坦尼克号随身携带可灵活安装的安全阀门。在行驶过程中随时会遇到导致船进水的因素,但因为有“微隔离”安全阀门,可以及时地、细粒度地控制进水区域,既保证进水区域不会进一步扩大,又保证船能继续正常行驶。
二、新一代安全防护需求
微隔离产品基于CWPP技术方案,通过在公有云、私有云、混合云模式下的服务器工作负载安装Agent,采集工作负载之间的网络流量,以可视化展示网络访问关系,实现根据业务需求设置访问控制策略,并且能够适配容器环境。
云工作负载平台agent安全部署后进行流量上报,通过可视化管理、策略管理,各个模块进行联动,模块间数据联通,形成闭环系统,实现对数据中心、云环境主机的业务访问可视化管理,绘制可视化的业务拓扑。同时提供多种微隔离能力,对主机进行全方位的精细化隔离与防护策略管理,控制业务流量访问。
1.2大核心组成模块
主要由安全策略计算中心和智能策略执行节点(Agent)2大模块组合而成。
通过部署在私有云、公有云、数据中心等工作负载上的策略执行节点实时收集工作负载上的信息并反馈给安全策略计算中心,同时根据策略计算中心下发的策略对工作负载上的安全策略做实时的精确调整。
策略计算中心接受来自执行节点的信息后制作应用通信的拓扑图,根据应用的实时拓扑图,编写安全策略,对安全策略进行持续的计算,并将计算结果推送给执行节点以对工作负载进行安全防护。
覆盖私有云、公有云、数据中心的智能策略执行节点
2.六步法简单实现细粒度隔离
① 为工作负载贴标签:为工作负载贴标签。工作组标签和角色标签组合形成唯一的安全属性。自动根据工作组标签分组 。
② 业务拓扑绘制:流量采集至云端后,会自动绘制对应的实时应用拓扑图,为安全策略的编写提供基础。
③ 策略发布:确认策略编写无误后,可将策略在云端发布。在开启防护模式时,最新安全策略下发至工作负载。
④ 策略预览:编写好安全策略后,可直接通过拓扑图验证策略的有效性和准确性,并进一步调整策略,直至安全策略覆盖度达到100%。
⑤ 策略建模:根据业务拓扑图,通过自然语言模型编写安全策略,并能够通过策略生成器,快速生成安全策略。
⑥ 策略回滚:支持记录发布、回滚。当察觉到已发布的策略不适用时,可进行策略回滚。
3.可实现的核心价值
① 业务流量可视化:采用标签的形式在拓扑图上抽象展示工作负载;识别访问工作负载的业务流量,标识协议和端口;自动绘制实时业务拓扑图,基于流量线颜色标识出合规流量与异常流量;
② 多维标签化管理:通过四维标签的形式,形成工作负载唯一的安全属性;根据工作组标签自动分组;
③ 策略管理:通过接近自然语言模型进行策略管理;支持策略验证,提高策略配置的准确性和有效性;支持策略回滚,提高策略配置灵活度;支持组内、组间策略级别,根据端口协议添加策略,并支持设置策略优先级;
④ 自动安全策略生成:支持根据数据中心内部变化自动调整规则策略,实现精细化访问控制;支持通过策略生成器,根据不同维度自动生成策略规则;支持增量、全量维度生成安全策略;
⑤ 流量线合并:通过分析相同特征的工作负载,支持对访问数据中心复杂的流量进行合并;支持多维度的流量合并,包括:业务角色合并、工作组合并;
⑥ 服务管理:支持采集主机资产,获取提供对外服务的端口信息、进程信息;通过分析相同特征的服务信息,通过端口缩减实现主机安全精细化管理。
三、大型攻防演练中的应用场景
在近几年攻防演练的漏洞排行榜中,可以看到网络缺乏细粒度隔离措施的问题一直“榜上有名”,换而言之,在攻防演练场景下乃至实际的日常安全运维场景中,没有对网络做细粒度隔离措施的企业更容易遭受攻击者的“毒手”。
在云计算时代的主流趋势下,除了日常的安全运营时对微隔离的需求外,在大型攻防演练的几个场景中,也能帮助防守方有效应对攻击:
1.难以修复漏洞的老旧系统
企业因自身规模不断壮大,多个业务系统新旧更迭不断,在安全运营团队水平有限的情况下,难以解决的老漏洞一直存在,同时新的漏洞因其复杂度未能及时打补丁修复,导致老旧系统遭到不法分子的反复利用。在大型攻防演练期间,这些无法被修复的漏洞容易成为攻击者的攻击目标,横向扩散后导致全网瘫痪。
结合产品的细粒度隔离特点,对复杂且难以解决的漏洞问题进行识别后并预警,有针对性地制定安全策略并下发后,可以有效防止漏洞问题扩散或被加以利用,使相应的安全设备不受影响,继续安稳地发挥应有的作用。
2.东西向异常流量识别
云计算时代下,80%的南北向流量转变为80%的东西向流量,不同于南北向流量,东西向流量容易绕开防火墙,无法被识别。同时,由于云平台的多租户结构,同一个云平台上的恶意租户有可能利用虚拟机逃逸等方式攻击,从而得到其他业务系统中的数据或导致整个云平台瘫痪。
产品采用标签的形式在拓扑图上抽象展示工作负载;识别访问工作负载的业务流量,标识协议和端口;自动绘制实时业务拓扑图,基于流量线颜色标识出合规流量与异常流量。有效识别出东西向异常流量后利用安全策略控制进一步访问,既可降低内部横向入侵的几率,又可为后续溯源增加时间。
3.及时防护内部病毒横向传播
以数据文件为核心进行业务开展的企业对数据文件的相关性大、依赖程度高,如果缺乏扎实的安全防护实力,外加系统设施脆弱等因素,拥有此特点的企业容易成为勒索病毒的攻击目标,陷入敏感数据被泄露、高额勒索赎金等处境中。
产品根据生成的实时业务拓扑图,基于自然语言模型编写安全策略,支持严格、宽松、自定义等策略集模式,同时支持组内策略、组间策略、IP列表策略3个安全策略维度。当病毒进入组间试图发起横向攻击时,通过监测组间异常流量,及时进行红色预警以及实时阻断,协助安全运营人员及时发现并控制勒索病毒,有效保护业务数据和业务系统的正常运作。
四、微隔离的未来化和常态化
当前大型攻防演练越来越趋于常态化、实用化,国家、政府、省部、各企事业单位总部等自上到下、从被动到主动地展开相应的工作,一定程度上也预示着大型攻防演练活动的重要性与日俱增。此外,随着云计算方式的范围扩大,传统防御解决方案将被优化甚至颠覆。在这样的安全环境和挑战下,微隔离作为新一代的网络隔离控制技术,不仅是未来云端安全管理必不可少的一环,也是适应攻防对抗防护的基本手段。
因为从长远来看,微隔离的实行能帮助企业大幅降低不可避免的安全入侵风险,在增加安全控制的同时,还保留了发挥现代工作流和混合基础设施优势所必需的灵活性,最终帮助安全团队以细粒度维持 IT 资产的保密性、完整性和可用性。
希望我们在结合云安全领域新技术,融入多年的攻防对抗实战经验后的迭代新版本能帮助各行各业做好防入侵工作,为企业用户更好地应对即将到来的攻防对抗做准备!