前言在越来越重视攻防对抗实战防护能力,零信任网络热度越来越高的今天,我们重新审视防御-根据这些新概念构建的深入系统。事实证明,还存在很多问题:在构建了大量的安全产品后,发现资产管理、漏洞安全运营、内部隔离等基础安全工作仍然跟不上安全形势的变化。以隔离为例。当攻击者有机会获得内网跳板机时,发现内网网络基本畅通;这个问题在近两年的HW攻防对抗演练中暴露得尤为突出。网络基本安全策略在攻防对抗中被“打败”;同时,随着内部网络架构从传统的IT架构向虚拟化、混合云和容器化转变,事实证明,内部隔离不再是一件容易的事情。为了满足攻防结合的要求,满足新IT架构的要求,我们不得不重新分析和审视隔离的重要性。什么是微细分?作为实现“零信任”的三大技术路径之一,网络隔离并不是一个新概念,微分段技术(Micro-Segmentation)是VMware在处理虚拟化隔离技术时提出的,但真正让微分段成为现实的是什么?隔离引起大家关注的是,微隔离技术自2016年起连续三年进入Gartner年度安全技术榜单。在2016年Gartner安全与风险管理峰会上,Gartner副总裁、知名分析师NeilMacDonald提出微隔离技术的概念。“安全解决方案应该为企业提供流量可视化和监控。可视化工具可以让安全运营和管理人员了解内部网络信息的流动,使微隔离能够更好地设置策略并协助纠正。”从微隔离概念和技术诞生以来,其核心能力需求就集中在东西向流量的隔离上(当然也可以起到南北向隔离的作用)。真正的需要。微隔离系统工作范围:顾名思义,微隔离是一种细粒度、更小的网络隔离技术,可以满足传统环境、虚拟化环境、混合云环境、容器环境下东西向流量隔离的需求环境,主要用于防止攻击者进入企业数据中心网络内部水平平移(或东西移动)。微隔离系统组成:区别于传统防火墙在单点边界上的隔离(控制平台和隔离策略执行单元耦合在一个设备系统中),控制中心平台和策略执行单元微隔离系统的各个部分是分离的,具有分布式和自适应的特点:(1)策略控制中心:是微隔离系统的中枢大脑,需要具备以下关键能力:能够可视化接入内部系统与业务应用的关系,让平台用户可以快速理清内部访问关系;可以通过角色、业务功能等多维标签快速分组需要隔离的工作负载;可以灵活配置工作负载和业务应用之间的隔离策略,策略可以根据工作组工作负载的自适应配置和迁移。(2)策略执行单元:执行流量数据监控和隔离策略的工作单元,可以是虚拟化设备,也可以是宿主Agent。为什么需要微隔离?很多人提出有VLAN技术、VxLAN技术、VPC技术。为什么我们需要微隔离?在回答这个问题之前,我们先来看看这些技术的定义和作用:VLAN:即虚拟局域网,是通过以太网协议将一个物理网络空间逻辑划分成若干个相互隔离的局域网。它是一种用于制作不同内部局域网网段的通用技术;由于以太网协议的限制,可划分VLAN的虚拟局域网最多为4096个。VxLAN:VirtualExtendedLocalAreaNetwork,为解决大规模计算数据中心虚拟网络不足问题而出现的技术采用VLAN技术。最多可支持1600万虚拟网络,适应大规模租户部署。VPC:VirtualPrivateCloud,即虚拟私有云,AWS于2009年率先发布的一项技术,使公有云租户能够在公有云上创建相互隔离的虚拟网络。其技术原理类似于VxLAN。从技术特点来看,VLAN是一种粗粒度的网络隔离技术。VxLAN和VPC更接近微隔离的技术要求,但并不是微隔离的最终产品形态。我们来看一个真实的生产环境中工作负载之间的访问关系:从这张图可以看出,少数几个工作负载的业务访问关系是多么复杂,所以当工作负载数量激增时,我们迫切需要一套更智能的隔离系统。以下是我们需要微分段技术的一些原因:实现基于业务角色的快速分组能力,为隔离分区提供基于业务的细粒度视角(解决传统基于IP视角的诸多管理问题);基于内部业务访问关系的自动识别,并以可视化的方式展示;实现基于业务组的隔离能力、端到端的工作负载隔离能力、异常外联能力,支持物理服务器之间、虚拟机与容器之间的访问隔离;通过隔离,全面降低东西向横向渗透风险,支持应用访问端口隔离,实现各业务单元安全运行;具有可视化的策略编辑能力和批量设置能力,支持大规模场景下的策略设置和管理;具有自动部署策略的能力,能够适应私有云弹性、可扩展的特点。在虚拟机迁移、克隆、扩容等场景下,可以自动迁移安全策略;在混合云环境下,支持跨平台流量识别和统一策略管理。如何选择微隔离技术?目前市场上微隔离产品还没有统一的产品检测标准,属于比较新的产品形态。Gartner给出了几个评估微隔离的关键指标,包括:它是基于代理、基于虚拟化设备还是基于容器?如果是基于代理的,对主机的性能有什么影响?如果是基于虚拟化的设备,它是如何连接到网络的?该解决方案是否支持公共云IaaS?Gartner也为客户提出了以下建议:构建微隔离,首先要从获得网络可见性开始,可见才能隔离;提防从关键应用程序开始的过度隔离;鼓励IaaS、防火墙和交换机制造商原生支持微隔离;从技术角度来看,微隔离产品主要采用虚拟化设备和主机代理两种模式。这两种方式的技术对比如下:总体而言两种方案各有优缺点:如果环境中租户数量少,且存在跨云情况,可以首选HostAgent方案;如果环境中有很多租户分离需求,且没有跨云的情况,采用SDN虚拟化设备的方式是更好的选择,hostAgent方案作为补充。此外,主机代理解决方案还可以与主机漏洞风险发现和主机入侵检测能力相结合,形成更加立体的解决方案。企业如何实施微细分?成功部署微分段的最大障碍是可见性问题。分离的粒度越细,IT部门就越需要了解数据流以及系统、应用程序和服务如何相互通信。同时,需要建立微隔离的可持续性。随着公司不断将更多资产引入微细分,负责团队需要考虑长远发展。微隔离不是一种“设置好后忘记”的策略。这意味着企业需要建立维护数据流可见性的长效机制,设置技术功能来灵活维护政策变化和执行要求;这也意味着清楚地描述每个人在微隔离配置管理中的责任。微分段管理的角色和职责也很重要。应审查对微分段规则的更改,例如配置控制板,运营和安全团队可以在其中验证更改的适当性。如何测试微分段的效果?检验微隔离是否真的有效,最直接的方法就是在攻防对抗中进行测试。我们可以模拟以下场景进行测试:Internet上的主机被攻破后,可以到达多少内部主机和工作负载;同一业务领域的主机被攻破后,其他主机和工作负载(所有工作负载都存在可被利用的漏洞)是否可以;某个业务领域的主机被攻破后,能否到达与该业务领域有访问关系的其他业务领域的核心主机和工作负载;主机被攻破后,能否到达域控主机,域控主机是否可以被攻破(域控主机存在可被利用的漏洞);在容器工作负载受到损害后,可以达到多少其他内部容器工作负载;是否通过容器渗透宿主机;以上网络访问行为是否都在微隔离系统中的战略智能管控平台上进行监控,是否有明显的告警标志。以上是我们可以总结的一些检测场景。保卫部门还可以根据自身业务的实际情况,模拟更多的攻防对抗场景进行检查,做到“知己知彼,百战不殆”。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
