云网络/云探测+零信任架构初阶知识扫盲

一、关键（边界）节点

1、边界

（1）CiscoASA Firepower

思科 Firepower NGFW（下一代防火墙）是专注于威胁防御的下一代防火墙，它将多种功能完全集于一身，采用统一管理，可在攻击前、攻击中和攻击后提供独一无二的高级威胁防护。

阻止更多威胁：使用行业领先的思科高级恶意软件防护 (AMP) 和沙盒技术遏制各种已知和未知恶意软件。

获得更出色的可视性：思科 Firepower 下一代 IPS 可对环境提供卓越的可视性。它能自动确定风险评级和影响标记，从而帮助确定事务优先级。

加快检测和响应速度：从受到感染到发现威胁的平均时间为 100 天。而思科能够将检测时间缩短至不到一天。

降低复杂性：通过紧密集成应用防火墙、NGIPS 和 AMP 等安全功能实现统一管理和自动威胁关联。

强大的可视可控能力，细微度控制网络访问；

五大智能自动化帮助实现自动化入侵防御；

AMP 高级恶意软件防御，四道屏障帮助抵御勒索软件；

Talos 全球威胁情报系统，全球化视角，一次发现，全面打击；

（2）F5

F5 公司是一家提供多云应用安全和应用交付服务的公司。产品功能特点如下：

Web应用和API保护（WAAP）：降低风险和复杂性，以便可以继续推动业务发展。

防欺诈和滥用行为：防止欺诈，同时保持应用可供合法用户使用

零信任安全：防止未经授权访问网络、应用和API

应用和网络性能：提高应用的可用性和性能，以优化用户体验

现代应用交付：改善数字体验，跨所有环境（包括云和边缘位置）分布应用服务，可以帮助满足客户需求，改善数字体验，但同时也增加了复杂性和风险。借助 F5 的产品及服务，可以在任意位置运行和连接工作负载与服务，提供可控的应用交付，并拥有当今现代基础设施所需的安全性和弹性。

BIG-IP是f5公司的一系列硬件产品，它的主要职能就是对进出此设备的网络流量进行管理。
最适宜用在需要对ip流量和web访问进行管理的环境下，比如，web访问的负载均衡；ssl认证得统一管理（把ssl做到big-ip上来，解放服务器得一部分性能）。总体说，big-ip能对所有进出它的ip流量，进行管理和监控。

BIG-IP安全涉及的工具主要有：F5 BIG-IP 接入策略管理器、BIG-IP 高级防火墙管理器、BIG-IP Advanced WAF（API 安全 - 新一代 WAF）、BIG-IP Carrier-Grade Network Address Translation (CGNAT)等；BIG-IP Next包括的工具主要有：BIG-IP Next Cloud-Native Native Network Functions、Kubernetes BIG-IP Next Service Proxy等；BIG-IP 应用交付主要工具有：BIG-IP自动化工具链、BIG-IP DNS等。

（3）Citrix

Citrix 是一家领先的虚拟化和远程桌面解决方案提供商，使企业能够从任何设备、任何地方安全地访问应用程序和桌面。专注于提供服务器、应用程序和桌面虚拟化、网络、软件即服务（SaaS）和云计算技术。Citrix虚拟化解决方案的核心是FlexCast管理架构（FMA）。FMA旨在提供高性能、可扩展和安全的虚拟化环境。它支持Citrix虚拟应用程序（以前称为XenApp）和Citrix虚拟桌面（以前称为XenDesktop），使IT管理员能够从一个中心位置管理虚拟机、应用程序、许可和安全。

关键组件：

Citrix接收器 / Citrix工作区应用程序：Citrix Workspace 应用程序，之前称为 Citrix Receiver，是用户在其设备上安装的客户端软件，用于访问他们的虚拟桌面和应用程序。
Citrix ADC（应用交付控制器）：Citrix ADC，前身为 NetScaler，是一种网络设备，确保应用程序的安全和优化交付。它提供负载均衡、SSL 卸载、应用程序防火墙和其他功能，以增强应用程序的性能和安全性。
Citrix Studio：Citrix Studio 是用于配置和管理整个 Citrix 环境的管理控制台。它提供了一个统一的界面，用于创建和管理交付组、配置策略以及监控系统。
虚拟交付代理 (VDA)：VDA 安装在每台向用户提供应用程序或桌面的物理或虚拟机器上。它与交付控制器注册，并管理用户设备与虚拟桌面或应用程序之间的连接。

2、日志管理信息平台/解决方案

（1）Splunk

介绍

Splunk 是一种广泛使用的机器数据分析平台，专注于实时大数据分析、搜索、监控和可视化。Splunk 能够收集、索引和关联大量的数据，生成实时的见解和仪表板。

主要功能

实时数据采集和分析
强大的搜索和查询语言 (SPL)
可定制的仪表板和报告
机器学习和预测分析
事件和报警管理
丰富的应用和插件生态系统

（2）ArcSight

介绍

ArcSight 是 Micro Focus 旗下的一款企业级 SIEM 解决方案，专注于安全事件的检测、管理和响应。ArcSight 提供了对网络安全事件的集中监控和分析功能。

主要功能

实时事件关联和检测
全面的威胁情报集成
强大的规则引擎和内容管理
高级用户行为分析 (UEBA)
自动化响应和修复
复杂的报告和合规性管理

（3）Elastic

介绍

Elastic Stack（也称为 ELK Stack，由 Elasticsearch、Logstash 和 Kibana 组成）是一个开源的数据搜索、分析和可视化平台，主要用于日志和事件数据的管理。

主要功能

Elasticsearch：分布式搜索和分析引擎
Logstash：数据收集和处理管道
Kibana：数据可视化和仪表板
高度可扩展性和灵活性
实时数据索引和搜索
广泛的社区支持和插件

（4）VMware Log Insight

介绍

VMware Log Insight 是一种专注于 VMware 环境的日志管理和分析工具，旨在为 IT 运维团队提供对虚拟化基础设施的深入洞察。

主要功能

实时日志数据收集和分析
针对 VMware 环境的优化
简化的安装和配置
直观的仪表板和可视化
事件和报警管理
集成 VMware vSphere 和 vCenter

关联和不同点

关联

日志管理和分析：这些工具都能够收集、存储、索引和分析日志数据，提供实时监控和可视化。
事件检测和响应：它们都支持对安全事件的检测和响应，有助于提升企业的安全态势。
扩展性：这些平台均具有一定的扩展性，可以通过插件、应用或自定义开发来扩展其功能。

不同点

①重点领域：

Splunk：广泛适用于各种数据分析需求，不限于安全领域。
ArcSight：专注于企业级 SIEM，侧重于安全事件管理。
Elastic：开源和灵活，适用于各种日志和事件数据分析。
VMware Log Insight：专注于 VMware 环境的日志管理和分析。

②架构和生态系统：

Splunk：具有强大的商业支持和应用生态系统。
ArcSight：提供企业级的安全功能和高级事件关联能力。
Elastic：开源社区驱动，具有高度的可定制性和扩展性。
VMware Log Insight：与 VMware 产品深度集成，适合使用 VMware 环境的组织。

③定价和可用性：

Splunk：按数据量和功能收费，可能成本较高。
ArcSight：企业级定价，通常根据用户数和数据量收费。
Elastic：开源免费版本和商业支持版本，按需选择。
VMware Log Insight：与 VMware 产品捆绑销售，适合已有 VMware 基础设施的客户。

3、特殊节点

（1）CDN节点

CDN内容分发网络是构建在现有互联网基础之上的一层智能虚拟网络，通过在网络各处部署节点服务器，实现将源站内容分发至所有CDN节点，使用户可以就近获得所需的内容。当终端用户访问资源时，无需回源，CDN通过一组预先定义好的策略(如内容类型、地理区域、网络负载状况等)，将当时能够最快响应用户的CDN节点IP地址提供给用户，使用户可以以最快的速度获得网站内容。

如何绕过CDN找到真实IP？

https://blog.csdn.net/2301_80064376/article/details/140415586

（2）EDR节点

EDR（Endpoint Detection and Response，端点检测和响应）是一种端点安全防护解决方案。它记录端点上的行为，使用数据分析和基于上下文的信息检测来发现异常和恶意活动，并记录有关恶意活动的数据，使安全团队能够调查和响应事件。端点可以是员工终端PC或笔记本电脑、服务器、云系统、移动设备或物联网设备等。EDR解决方案通常提供威胁搜寻、检测、分析和响应功能。应用方式如下：

持续收集端点数据
大多数EDR安全解决方案通过在每个端点设备上安装轻量级数据收集工具或代理来收集数据，包括登录、进程运行/创建、目录/文件访问日志、DNS请求信息等。数据存储在中央数据库或数据湖中，通常托管在云中。
实时分析和威胁检测
云端将数据收集工具或代理采集到的数据与海量威胁数据库中的数据实时关联匹配，识别已知威胁；通过智能检测算法、UEBA（User and Entity Behavior Analytics，用户实体行为分析）综合分析、事件关联分析等技术，识别可疑活动、未知或变种威胁。
自动威胁响应
溯源深度处置
支持威胁搜寻和安全加固

二、零信任架构

1、定义

零信任是一种安全模型，基于访问主体身份、网络环境、终端状态等尽可能多的信任要素对所有用户进行持续验证和动态授权。

零信任对内外部的任何用户都不信任，即使是内部人员或设备也不例外。传统基于边界防御的安全方法已经无法保护企业免受内部和外部的威胁，因此需要采用一种更为细致和全面的安全策略。在零信任模型中，用户需要在每次访问系统或资源时进行身份验证和授权，而不管他们是在企业内部还是外部。这需要使用多种身份验证和访问控制技术来确保用户的身份和权限，并对用户行为进行持续的监控和审计。

零信任的目标是减少企业面临的内部和外部风险，提高系统和数据的安全性。它强调了网络上所有用户和设备的不可信性，并通过多重层次的安全措施来限制和控制用户的访问和权限，以防止潜在的恶意行为和数据泄露。

2、发展零信任架构的原因

（1）传统边界安全缺点

传统的基于边界的网络安全方法是先连接，后信任，在网络边界验证用户身份，确定用户是否值得信任。如果用户被认定为是可信任的，就能进入网络，而一旦通过边界进入到网络内部，访问基本就通行无阻了。反之，用户会被拦截在外。

传统网络安全架构默认内网是安全的，认为网络安全就是边界安全，因此通过在边界部署大量的安全产品如通过防火墙、WAF、IPS、网闸等设备对网络边界进行层层防护，而相对不重视甚至忽视企业内网的安全，但是业界的调查表明，高达80%的网络安全事件源于内网，或者内外勾结。

（2）数字化与云网络需求

随着数字化转型不断加速，新兴技术与创新业务不断打破企业原有安全边界，企业信息安全面临着前所未有的挑战。

访问者身份及接入终端的多样化、复杂化打破了网络的边界，传统的访问管控方式过于单一。在用户一次认证后，整个访问过程不再进行用户身份合规性检查，无法实时管控访问过程中的违规和异常行为。
业务上云后各种数据的集中部署打破了数据的边界，同时放大了静态授权的管控风险，数据滥用风险变大。高低密级数据融合导致权限污染，被动抬高整体安全等级，打破安全和业务体验的平衡
资源从分散到云化集中管理，按需部署。由于当前安全管控策略分散、协同水平不高，云端主机一旦受到攻击，攻击将难以快速闭环，很难形成全局防御。

3、原则

基于身份的访问控制：不是网络位置，而是实体的身份成为授权访问的关键。所有用户和设备在被允许访问资源之前都必须经过严格的身份验证和授权检查。
持续的信任评估：授权决策不再依赖于传统静态标准，如用户的地理位置或网络内部/外部。相反，零信任模型要求对用户的行为和环境进行连续监控，并根据实时数据动态调整访问权限。
动态访问管理：系统会不断监测用户的行为、设备状态和网络环境，以便在任何必要时刻迅速调整访问权限，确保只有合规的活动能够获得所需资源的访问。
最小化权限原则：按照“只必需”的原则来分配权限，确保用户和设备只能访问完成特定任务所必须的最少资源。这有助于限制一旦发生安全事件时影响的范围

4、应用场景

远程办公：随着远程办公的普及，当员工需要在家中或其他地点访问企业资源时，零信任可以确保只有经过身份验证和授权的用户才能访问网络资源，无论他们身在何处。
多云和混合云环境：组织可能使用来自不同云服务提供商的服务，或者同时使用公有云和私有云。零信任策略可以帮助统一管理复杂的多云和混合云环境中的访问权限，并确保数据安全。
合作伙伴和第三方访问：组织通常需要与合作伙伴、供应商和其他第三方共享资源。零信任可以为这些外部实体分配临时访问权限，并限制其访问范围，防止数据泄露。
内外网混合办公：为企业职场、分支提供内外网一致的访问体验，解决内网权限策略腐化、失效等安全问题，实现基于身份的访问控制和动态评估，减少安全运维工作量、提升实际安全效果。
攻防演练安全加固：在常态化安全攻防场景中，可以通过零信任收缩暴露面，事前安全加固、事中检测及阻断、事后溯源审计，以此来提高攻击者攻击成本。
终端数据防泄密：通过BYOD终端访问研发、设计、制造、公文、财务等敏感数据时，会带来数据泄密风险，可以通过零信任终端数据防泄密，来提高终端数据安全性。

5、关键设备与服务

（1）关键设备网关（Gateways）：

零信任架构：网关作为微分段（Microsegmentation）的一部分，对每个访问请求进行细粒度的控制，确保只有经过验证和授权的流量才能通过。
传统架构：网关可能仅用于基本的路由和过滤，可能不会对每个访问请求进行详细的检查和授权。

（2）统一登录（Single Sign-On, SSO）：

零信任架构：SSO解决方案通常与多因素认证（MFA）和条件访问策略集成，确保用户在多个应用和服务之间无缝且安全地访问。
传统架构：SSO可能仅用于简化用户登录过程，但不一定与更高级的安全措施（如MFA）结合使用。

（3）认证（Authentication）：

零信任架构：认证过程更为严格，可能要求用户进行多因素认证，包括密码、生物识别、智能卡、手机令牌等。
传统架构：认证可能仅限于密码或基本的用户名/密码组合，不涉及多因素认证。

（4）授权（Authorization）：

零信任架构：基于角色的访问控制（RBAC）或基于属性的访问控制（ABAC）等细粒度的授权策略，确保用户只能访问其工作所需的资源。
一般网络：授权可能更宽松，用户可能被授予更广泛的访问权限，而不是基于最小权限原则。

（5）审计（Auditing）：

零信任架构：审计是持续的，并且与实时监控和响应机制集成，以确保所有访问和活动都被记录和分析，以便快速检测和响应异常行为。
一般网络：审计可能是周期性的或事件驱动的，可能不会提供实时的监控和分析。

（6）网络可见性：

零信任架构：强调对所有网络活动的可见性，包括内部和外部的流量，以便更好地监控和控制。
一般网络：可能只关注边界防御，对内部流量的可见性和控制较少。

（7）自动化和智能化：

零信任架构：利用自动化工具和人工智能来分析网络流量，检测异常行为，并自动应用安全策略。
一般网络：可能依赖于手动的流程和工具，缺乏自动化和智能化的安全措施。

（8）持续评估：

零信任架构：安全策略和访问控制是基于持续评估的，随着用户行为和环境的变化而动态调整。
一般网络：安全策略可能更静态，不经常根据环境变化进行更新。

6、常见协议

（1）SAML (Security Assertion Markup Language)：

用途：SAML 是一种基于XML的标准化数据格式，用于在身份提供者（Identity Provider, IdP）和服务机构（Service Provider, SP）之间交换用户身份验证和授权数据。
零信任架构：SAML 可用于实现单点登录（SSO）和细粒度的访问控制，通过在不同服务之间安全地传递身份验证声明。

（2）OAuth (Open Authorization)：

用途：OAuth 是一个行业标准的协议，允许用户授权第三方应用访问他们存储在另一个服务上的信息，而无需暴露他们的密码。
零信任架构：OAuth 可用于实现访问委托和第三方服务的安全授权，支持更灵活的访问控制策略。

（3）OpenID：

用途：OpenID 是一个在线身份认证服务，允许用户使用单一的标识符（如网址）来登录多个网站。
零信任架构：OpenID 可以作为身份验证的一种方式，与OAuth一起使用，提供更简单、更安全的用户登录体验。

（4）LDAP (Lightweight Directory Access Protocol)：

用途：LDAP 是一种用于访问和维护分布式目录信息服务的协议，广泛用于企业环境中的用户和资源管理。
零信任架构：LDAP 可以作为用户目录服务，支持基于角色的访问控制和细粒度的身份验证。

（5）WS-Fed (Web Services Federation)：

用途：WS-Fed 是一个基于SOAP的协议，用于在Web服务之间实现安全的身份联合和单点登录。
零信任架构：WS-Fed 可以用于在企业级Web服务中实现安全的身份验证和授权，支持跨域的SSO。

（6）RBAC (Role-Based Access Control)：

基于角色的访问控制是一种授权标准，它根据用户的角色而非个体身份来授予访问权限。

（7）ABAC (Attribute-Based Access Control)：

基于属性的访问控制是一种灵活的授权模型，根据用户的属性（如部门、职位等）来授予访问权限。

三、常见云应用

1. Google Drive

功能：Google Drive 是一个云存储服务，允许用户存储文件、共享文件和协同编辑文档。
关注点：
- 数据安全性：存储在Google Drive上的数据经过加密，尤其是敏感信息。Google 提供了默认的传输层和静态数据加密，但对于高度敏感的数据，可能需要额外的加密层。
- 访问控制：需要关注谁有权限访问和共享文件，尤其是在企业环境中。
- 数据合规性：Google Drive 可能存储包含个人识别信息 (PII) 的数据。

2. Microsoft OneDrive

功能：类似于Google Drive，Microsoft OneDrive 提供文件存储、共享和同步功能。
关注点：
- 集成性：OneDrive 与 Microsoft 365 紧密集成，文件可以直接通过Office应用进行协作。这种集成性需要在云探测时被充分理解。
- 版本控制：OneDrive 提供版本控制功能，确保在编辑过程中不会丢失重要数据。需要了解此功能的使用和配置情况。

3. Dropbox

功能：Dropbox 主要用于文件同步、备份和共享，广泛应用于个人和企业环境。
关注点：
- 文件同步：Dropbox 的同步功能强大，但这也意味着本地和云端的数据必须保持一致，可能带来数据同步错误或冲突的风险。
- 第三方集成：Dropbox 与众多第三方应用集成，探测时需识别这些集成点，评估可能的安全风险。

4. Box

功能：Box 专注于企业级文件管理和协作，提供丰富的权限控制和数据治理功能。
关注点：
- 企业合规：Box 提供了多种合规工具，如HIPAA、FINRA等。需要确保在云探测中识别这些功能的使用情况。
- 数据治理：Box 提供了全面的数据治理策略，包括数据保留、分类和销毁等，需要评估这些策略是否符合企业的安全要求。

5. Amazon S3

功能：Amazon S3 是 AWS 提供的对象存储服务，用于存储和检索任意数量的数据。
关注点：
- 数据加密：S3 提供了多种加密选项，探测时需要评估使用的是哪种加密机制。
- 访问控制列表 (ACL)：S3 允许通过访问控制列表精细控制谁可以访问特定数据，确保配置得当，以防止意外的数据暴露。

6. Salesforce

功能：Salesforce 是一个基于云的CRM平台，用于客户关系管理、销售自动化等。
关注点：
- API 使用：Salesforce 广泛依赖API进行数据交换，探测时需要评估API的使用情况和安全性。
- 数据隐私：由于CRM系统通常包含大量的客户数据，确保这些数据的隐私性和安全性非常重要。

四、云探测特点

1. 资源的动态性与弹性

云探测：云环境中的资源是高度动态和弹性的。云实例（如虚拟机、存储桶、数据库）可以根据需求快速创建或销毁，因此在云探测中，资源的生命周期短且变化频繁。
传统网络探测：传统网络环境中的资产通常是静态的，例如物理服务器、交换机和路由器。它们的生命周期较长，位置和配置相对稳定。

2. 资产的无边界特性

云探测：云资产往往分布在全球各地的不同区域和可用区内，具有无边界的特性。这使得探测和监控这些资产变得更加复杂，必须考虑跨地域的网络延迟和不同的法规要求。
传统网络探测：传统网络资产通常位于企业内部网络，边界明确，且易于通过防火墙等网络边界设备进行控制和监测。

3. 资源共享与多租户环境

云探测：云计算环境通常是多租户的，即多个用户（或组织）共享同一个物理硬件资源。探测时需要考虑资源隔离的有效性，以及是否存在跨租户的安全风险。
传统网络探测：传统网络环境通常是单一租户的，资源由单个组织独占，资源隔离和共享问题相对简单。

4. API和自动化的广泛使用

云探测：云服务提供商（CSP）通常通过API提供对资源的管理和探测接口。云探测通常依赖于这些API进行资源发现、配置检查和日志收集。
传统网络探测：传统网络探测主要依赖于网络扫描工具（如Nmap）、SNMP、端口扫描等方法，API使用较少。

5. 安全责任的分配

云探测：在云环境中，安全责任是由云服务提供商（CSP）和用户共享的。探测时需要理解并界定哪些安全责任属于用户，哪些属于CSP，例如，CSP负责基础设施的物理安全，而用户负责数据和应用的安全配置。
普通网络资产探测：在传统网络环境中，所有安全责任通常都由组织自身承担，从物理安全到应用安全，探测时需关注全栈的安全问题。

6. 合规性与治理

云探测：由于云环境的全球化和跨区域性，探测过程中需特别关注不同地区的合规要求（如GDPR、HIPAA）。此外，云环境中的自动化和DevOps实践也需要与治理策略相结合。
普通网络资产探测：传统网络资产探测时，合规性通常与本地法律法规相关，且治理结构相对稳定，变动不大。

7. 成本与资源优化

云探测：云资源的按需付费模式使得成本管理成为探测的重要一环。探测需要识别未使用或低效使用的资源，以优化成本。
普通网络资产探测：传统资产的成本主要集中在硬件和运营维护上，探测时更多关注资源的健康状况和利用率。

8. 工具与技术栈的差异

云探测：通常使用专门的云监控和管理工具（如AWS CloudTrail、Azure Monitor、Google Stackdriver），这些工具提供了针对云环境的深度集成和支持。
普通网络资产探测：传统网络探测工具如Nagios、Zabbix、Wireshark、SolarWinds等，更加侧重于硬件监控、网络流量分析和网络配置管理。

———————————————————————————————————————————

参考文献：

1、零信任架构

2、什么是零信任？

3、什么是零信任网络？零信任架构能帮助企业解决那些问题？

4、轻松绕过CDN：全面掌握查找真实IP的技巧_利用证书查询网站真实ip-CSDN博客

5、什么是端点检测和响应（EDR）？如何选择EDR方案？ - 华为

6、How CDN Works and Why You Should Use It

7、思科 Firepower 下一代防火墙产品手册 (cisco.com)

8、F5 | 多云安全和应用交付