微隔离实施五步法,让安全防护转起来

news2024/12/23 17:13:19

前言

零信任的最核心原则→最小权限

安全的第一性原理→预防

零信任的最佳实践→微隔离

“零信任”这个术语的正式出现,公认是在2010年由Forrester分析师John Kindervag最早提出。时至今日,“零信任”俨然已成安全领域最热门的词汇,做安全的不提自己是基于零信任原则,就跟2012年做网络的人说自己不基于SDN一样落伍。零信任是不是一个被过度营销的术语?零信任架构、零信任原则,零信任与微隔离的关系等又该如何解读?

小德今天在这里要跟大家分享一些德迅云安全对零信任的思考和微隔离的实践,零信任是目的,微隔离是手段,所以重点是零信任

从“零信任”的起源看其发展

首先谈谈我对零信任的理解,我看待一个新的技术或者理念通常有这样一个心法,那就是先把时间轴拉长,从宏观上看它的发展历程,然后再微观上看,也就是聚焦到最近的集大成者。

这个是零信任的发展历程,2010年由Forester的首席分析师John Kindervag首先提出,那时的理念就是把所有接入设备都连到一个超大的NGFW上做网络微隔离,这是第一代零信任概念

然后是2011年到2017年,Google的BeyondCorp项目和论文,让我们相信SDP理念是可以真正落地的。

在这期间,也就是2013年,CSA成立了SDP工作组并发布了标准规范,掀起了基于SDP技术的零信任产品创业浪潮。一度让业内忘记了第一代零信任概念,认为SDP才是零信任,而微隔离不算。

然后时间来到2017年,Gartner也开始跟进零信任,他不能重新定义,但是他可以用,他整了个CARTA框架,说零信任是CARTA的第一步,这就层次更高了,另外还给SDP起了个业务名字,叫ZTNA。

然后2018年Forester那边赶快对零信任理念来了个扩展,不只看网络,还得看用户,设备,工作负载,不只做微隔离,还得做可视化,分析,自动化编排。这个扩展很重要,相当于给最后的集大成者提供了基础框架。

时间来到2020年,NIST发布了零信任架构白皮书,终于对零信任做了正式定义,不是新产品新技术,而是解决方案,并给出IAM,SDP,微隔离是零信任三大落地实践的指导意见,这就把我们这些做微隔离的给救了,业内终于认可微隔离也是零信任。

终于最后的集大成者出现了,就在两个月前,5月12日,美国拜登政府发布了行政令,要求联邦政府必须使用零信任架构,第二天也就是5月13日,美国国防信息系统局就发布了国防部零信任参考架构。

咱们接着就来从微观上看看这个DOD的零信任架构和它提出的成熟度模型。看用户,看设备,看网络,看工作负载,看数据,做精细的接入控制,做微隔离,做可视化,做自动化编排和响应,怎么样,就是从Forester那个零信任扩展来的吧,人家还给出了三个成熟度等级,让你别急慢慢做,最小权限原则是核心,贯穿三个等级,顺便提一下,微隔离也是贯穿三个等级的,不断增强,不止这两个图,还有个七大支柱和每个支柱上功能点之间的依赖关系,妥妥的落地实践指南,你想不会做都难。

本论点的主题是6A,当然也要讲讲小德的理解,这里的心法就是看变化,以前咱们都提4A嘛,新出来哪两个A呢,一个是控制,一个是应用,我想这是让我们重拾网络安全的第一性原理,我认为是预防,而网络安全的预防就是最小权限的访问控制,不只控制客户端访问服务端,还要控制服务端内部应用跟应用之间的互访,做到6A,你也就做到了零信任。

微隔离的技术背景

微隔离,故事就简单了,因为大家早就被各微隔离厂商灌输的太多了。

Gartner给出的三种微隔离技术实现,云平台原生的,第三方虚拟化防火墙的,第三方主机Agent的,没有谁好谁不好,只有不同的客户业务环境下谁更合适。

Gartner2020年的云安全技术成熟度曲线,微隔离已经进入了光明爬坡期,市场价值和技术成熟度都肯定没争议了。

Gartner云工作负载保护控制分层体系,也就是CWPP,核心功能要求微隔离。 

Gartner容器安全控制分层体系,基础控制要求微隔离。

微隔离: 零信任三大技术方案之一

隔离从来都是一种高效可行的安全手段,微隔离技术的出现恰好能满足新环境、新业务对安全保障的需求。

事实上,微隔离是最早的一种对零信任概念的具体技术实现,这是因为微隔离技术与零信任安全模型有着天然的契合性。

传统的安全模型将网络划分为不可信和可信两个区域,用防火墙或网络设备的ACL将网络切分边界进行隔离,防火墙外部是不受信任的,内部则认为是安全可信的。

在零信任体系中,安全将不再区分网络的内部、外部,而是深度嵌入业务体系之中,构建自适应的内生安全机制,通过与传统防火墙、入侵防御等产品的互补,实现更统一、易用的防护体系。 

零信任安全针对传统边界安全架构思想进行了重新评估和审视,以“持续信任评估,动态访问控制”为核心原则,因此,基于“软件定义边界(SDP)”、“增强身份管理(IAM)”和“微隔离”构成了零信任领域的三个技术基石,以减少暴露面和攻击面,控制非授权访问,实现长期的网络安全保障。 

其中,SDP技术是用于实现南北向安全的(用户跟服务器间的安全),微隔离技术是用于实现东西向安全的(服务器跟服务器间的安全),IAM技术用于资源之间彼此的访问关系授权。 

将微隔离技术与零信任架构相结合,可以实现进程级别的访问控制与隔离,防止攻击者使用未经批准的连接或恶意代码,从已经受到攻击的应用程序或进程横向移动感染其他进程。 

举个例子,如果黑客已经攻进了一个服务器,那么他就可以利用这个服务器做跳板,进一步攻击网络中的其他服务器。 

但微隔离可以阻止这种来自内部的横向攻击。微隔离通过服务器间的访问控制,阻断勒索病毒在内部网络中的蔓延,降低黑客的攻击面。 

这正好符合了零信任的原则:假设已经被攻破;持续验证,永不信任;只授予必须的最小权限。

微隔离的实现方式

目前,微隔离已有多种实现方式,企业可以根据自身需要进行选择。

  1. 云原生控制

这种在虚拟化平台提供者中比较常见,在虚拟化平台、laas、hypervisor或者基础设施中提供,比如阿里云、VMware NSX等。

优势是与云平台整合的更加完善,属于同一供应商,支持自动化编排。但劣势在于只支持自身虚拟化平台、不支持混合云;更适合于隔离,而不是访问控制;东西向的管理能力有限。

  1. 第三方防火墙

主要是基于第三方防火墙供应商提供的虚拟化防火墙。这种方案的优势在于具备丰富的安全能力,如:入侵检测、防病毒等功能,能集成IPS、av等功能,与防火墙配置逻辑一致,普遍支持自动化编排。

但劣势也很明显,需要与虚拟化平台做对接,费用高,且有性能损耗。

  1. 基于主机代理模式

这种模式就是采用Agent,将Agent部署到每台主机(虚拟机)中,Agent调用主机自身的防火墙或内核自定义防火墙来做服务器间的访问控制。这种方式就是用微隔离实现零信任的模式之一。

优势在于与底层架构无关,支持多云和容器;主机迁移时安全策略也能跟随着迁移;支持自动化编排。

缺点在于必须在每个服务器上安装agent客户端,有人会担心资源占用问题,担心影响现有业务。

  1. 混合模型

一般都是通过其它模式组合使用,例如本地与第三方组合。

优势是可以基于现有的内容进行升级改造,在不同的位置使用不同模式的优势。但缺点是通常无法统一管理,需要多种管理工具,且云厂商往往对第三方产品的支持度不够高。

总体来说,四种方案各有优缺点,需要企业安全团队结合自身的实际情况来优化和处理。

如果环境中租户数量较少且有跨云的情况,主机Agent方案可以作为第一选择。

如果环境中有较多租户分隔的需求且不存在跨云的情况,采用SDN虚拟化设备的方式是较优的选择,主机Agent方案作为补充。

另外,主机Agent方案也可以结合主机漏洞风险发现、主机入侵检测能力相结合,形成更立体化的解决方案。

蜂巢的微隔离之路

定义蜂巢微隔离原生自适应容器多变的环境。通过对访问关系的梳理和学习,提供自适应、自迁移、自维护的网络隔离策略,帮助用户快速、安全地落地容器微隔离能力。

模块介绍:

提供业务视角的网络拓扑关系——基于实际业务的⼯作负载可视化展示容器间的访问⾏为,清晰展示网络拓扑关系,方便运维和安全人员理解。

覆盖各种云原生场景的隔离策略——

集群内网络隔离
可设置基于Namespace、Label、Controller、IP/CIDR的隔离策略。

集群间网络隔离
可设置基于集群与非容器集群,集群与外部网络之间的隔离策略。

纯容器与胖容器
针对纯容器与胖容器提供不同的隔离策略。

提供“告警”模式,让用户放心设置策略——针对工作负载提供“仅告警”业务模式,不下发实际的隔离策略,而是模拟下发的情况,当发现偏离策略的行为则进行告警提示。通过此种模式,可避免因隔离错误而对业务造成影响。

全面适配云原生的网络环境——适配Underlay、Overlay、Vxlan、Macvlan、Ovs等诸多网络架构。

微隔离的实施过程

微隔离的实践,实施过程五步法,是我们从用户的使用过程中总结出来的。

定义资产就是从云平台同步资产的ID信息,因为后面做流量可视化和微隔离策略都是面向资产ID开展的。

梳理业务模型就是流量可视化,可视化出来哪些是合法的访问,哪些是非法的访问,后面好做微隔离策略。

实施保护就是配置网络微隔离策略,阻断哪些,放行哪些。

细化安全策略是对放行的流量说的,要进一步做应用层安全检查。

最后一步,持续监控就是对被微隔离控制住的攻击和违规进行溯源调查,持续优化微隔离策略,让PDCA转起来。

如何检验微隔离的效果?

检验微隔离是否真正发挥效果,最直接的方式就是在攻防对抗中进行检验。企业可以模拟以下几个场景进行检验: 

  1. 互联网一台主机被攻陷后,能够触达内部多大范围的主机和工作负载;

  1. 同一业务区域一台主机被攻陷后,能否攻陷该业务区域的其他主机和工作负载(所有工作负载都存在可以利用的漏洞);

  1. 某一业务区域一台主机被攻陷后,能否触达跟该业务区域有访问关系的其他业务区域的核心主机和工作负载;

  1. 内部一台主机被攻陷后,能够触达到域控主机以及能否攻陷域控主机(域控主机存在可以利用的漏洞);

  1.  内部一个容器工作负载被攻陷后,能够触达内部其他多少个容器工作负载;能否通过该容器渗透到宿主主机;

  1.  以上所有网络访问行为是否在微隔离系统中的策略智能管控平台上监测到,是否有明显报警标记。

 事实上,从原有的传统安全架构升级到零信任架构注定是一个长期的整体工程,这是一个不断自我提升和完善的过程,因此在微隔离的建设规划中,企业应该专注于自身安全防御能力的提升和优化,将策略和技术手段结合起来,来制定一个适合自身的建设方案。 

同时,企业安全部门还可以根据自身业务的实际情况,模拟更多的攻防对抗场景进行检验,才能做到“知己知彼,百战不殆”。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1636815.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

如何使用Go语言进行并发安全的数据访问?

文章目录 并发安全问题的原因解决方案1. 使用互斥锁(Mutex)示例代码: 2. 使用原子操作(Atomic Operations)示例代码: 3. 使用通道(Channels) 在Go语言中,进行并发编程是常…

《QT实用小工具·四十九》QT开发的轮播图

1、概述 源码放在文章末尾 该项目实现了界面轮播图的效果,包含如下特点: 左右轮播 鼠标悬浮切换,无需点击 自动定时轮播 自动裁剪和缩放不同尺寸图片 任意添加、插入、删除 单击事件,支持索引和自定义文本 界面美观,圆…

遥感雷达波段的原理及应用

雷达波段是不同波长的组。每一种都有其独特的穿透地球表面的能力。它们还可以揭示环境的不同方面。 雷达频段在电磁频谱内具有特定的频率范围。这些波段由 L-、S-、C- 和 X-波段等字母表示。稍后会详细介绍这一点。 什么是合成孔径雷达? 合成孔径雷达 (SAR) 是一…

C语言实验-循环结构和选择结构

一&#xff1a; 求和:1(14)(149)(14916)…(14916…n2)? 其中n的值由键盘输入&#xff1b; #define _CRT_SECURE_NO_WARNINGS #include<stdio.h>int main() {int sum 0;int n 0;printf("请输入一个整数");scanf("%d", &n);for (int i 0; i &l…

MATLAB 字符串

MATLAB 字符串 在MATLAB中创建字符串非常简单。实际上&#xff0c;我们已经使用了很多次。例如&#xff0c;您在命令提示符下键入以下内容- 示例 my_string ‘(cainiaojc.com)’ MATLAB将执行上述语句并返回以下结果 my_string (cainiaojc.com) MATLAB将所有变量视为数组&a…

Python基础学习之记录中间文件

倘若想记录代码运行过程中的结果文件&#xff0c;那么以下函数仅供参考 代码示例&#xff1a; import os import datetime import sys import pandas as pd# 定义总的文件夹路径 base_folder E:\\D\\log\\product_data_compare_log# 定义一个函数来创建带时间戳的文件夹 def…

特征提取(Feature Extraction)常见统计特征笔记(三)

统计特征是描述数据集中值的一组量&#xff0c;通常用于了解数据的分布、集中趋势和变异程度。常见的统计特征包括均值、中位数、众数、标准差、方差等。下面会详细解释每个统计特征&#xff0c;并给出相应的Python代码。 1、均值&#xff08;Mean&#xff09;&#xff1a;所有…

【团体程序设计天梯赛】往年关键真题 L2-036 网红点打卡攻略 模拟 L2-037 包装机 栈和队列 详细分析完整AC代码

【团体程序设计天梯赛 往年关键真题 详细分析&完整AC代码】搞懂了赛场上拿下就稳 【团体程序设计天梯赛 往年关键真题 25分题合集 详细分析&完整AC代码】&#xff08;L2-001 - L2-024&#xff09;搞懂了赛场上拿下就稳了 【团体程序设计天梯赛 往年关键真题 25分题合…

【webrtc】MessageHandler 4: 基于线程的消息处理:以Fake 收发包模拟为例

G:\CDN\rtcCli\m98\src\media\base\fake_network_interface.h// Fake NetworkInterface that sends/receives RTP/RTCP packets.虚假的网络接口,用于模拟发送包、接收包单纯仅是处理一个ST_RTP包 消息的id就是ST_RTP 类型,– 然后给到目的地:mediachannel处理: 最后消息消…

沟通是SAP项目成功的关键

我在前面的文章中提到SAP项目并不是传统意义上的IT项目&#xff0c;因为SAP项目实施的不仅仅是一个简单的ERP系统&#xff0c;除了系统之外还有流程再造、组织结构变更、用户培训等。在实施过程中有很多部门都要参与进来讨论和做决定&#xff0c;有很多问题和冲突需要解决。从关…

LangChain入门2 RAG详解

RAG概述 一个典型的RAG应用程序,它有两个主要组件&#xff1a; 索引&#xff1a;从源中获取数据并对其进行索引的管道。这通常在脱机情况下发生。检索和生成&#xff1a;在运行时接受用户查询&#xff0c;并从索引中检索相关数据&#xff0c;然后将其传递给模型。 从原始数据…

透明加密的解释及意义,透明加密软件有哪些?

一、什么是透明加密及意义 透明数据加密&#xff08;Transparent Data Encryption (简称TDE)&#xff09;是指可以在文件层对数据和文件进行实时加密和解密&#xff0c;落盘的文件是加密后的内容&#xff0c;而对于上层应用系统和开发人员而言&#xff0c;加解密过程是无感知的…

Python_GUI框架 PyQt 与 Pyside6的介绍

Python_GUI框架 PyQt 与 Pyside6的介绍 一、简介 在Python的GUI&#xff08;图形用户界面&#xff09;开发领域&#xff0c;PyQt和PySide6是两个非常重要的工具包。它们都基于Qt库&#xff0c;为Python开发者提供了丰富的GUI组件和强大的功能。当然Python也有一些其他的GUI工…

Python 绘图边缘留白问题解决方案 / plt.savefig / plt.subplots_adjust 函数简析

文章目录 Part.I IntroductionPart.II 解决方案Chap.I plt.savefigChap.II plt.subplots_adjustChap.III plt.margins Part.III 探索历程Chap.I 默认保存方式Chap.II 使用 bbox_inches 参数控制Chap.III 自定义留白 Reference Part.I Introduction Python 绘图默认保存&#x…

【DeepL】菜鸟教程:如何申请DeepL免费API并使用Python的DeepL

前言 在这篇技术博文中,我们将介绍如何利用DeepL的强大功能,通过其免费API在Python项目中实现高质量的文本翻译。我们将从基础开始,解释DeepL是什么,它的用途,如何申请免费API,以及如何在Python中使用DeepL库。 什么是DeepL? DeepL是一个基于人工智能的翻译服务,它以…

开通Jetbrains个人账号,赠送这些付费插件

开通Jetbrains个人账号&#xff0c;或者Jetbrains现成账号的, 可赠送以下付费插件 现成账号&#xff1a;https://web.52shizhan.cn/activity/xqt8ly 个人账号&#xff1a;https://web.52shizhan.cn/legal 账号支持全家桶系列&#xff1a;AppCode,CLion,DataGrip,GoLand,Intell…

3.9设计模式——Strategy 策略模式(行为型)

意图 定义一系列的算法&#xff0c;把它们一个个封装起来&#xff0c;并且使他们可以相互替换此模式使得算法可以独立于使用它们的客户而变化 结构 Strategy&#xff08;策略&#xff09;定义所有支持的算法的公共入口。Context使用这个接口来调用某ConcreteStrategy定义的方…

C++编译器的程序转化

编译器在某些情况下会对程序进行转化&#xff0c;有些是编译器需要的&#xff0c;有些是出于性能考虑的&#xff0c;转化可能会产生出乎意料的结果 文章目录 明确的初始化操作参数的初始化返回值的初始化在使用者层面做优化在编译器层面做优化NRV 优化NRV优化的弊端 参考资料 明…

【MyBatis】 MyBatis框架下的高效数据操作:深入理解增删查改(CRUD)

&#x1f493; 博客主页&#xff1a;从零开始的-CodeNinja之路 ⏩ 收录文章&#xff1a;【MyBatis】 MyBatis框架下的高效数据操作&#xff1a;深入理解增删查改&#xff08;CRUD&#xff09; &#x1f389;欢迎大家点赞&#x1f44d;评论&#x1f4dd;收藏⭐文章 目录 My …

算法入门<二>:分治算法之汉诺塔问题及递归造成的栈溢出

1、分治算法 分治&#xff08;divide and conquer&#xff09;&#xff0c;全称分而治之&#xff0c;是一种非常重要且常见的算法策略。分治通常基于递归实现&#xff0c;包括“分”和“治”两个步骤。 分&#xff08;划分阶段&#xff09;&#xff1a;递归地将原问题分解为两…