尽管过去几年企业安全架构进行了一系列改进,但有一个重要的转变已成为共识,那就是企业不能仅仅依靠外围的“马其顿防线”来威慑网络攻击者。通过将IT环境划分为可控的部分——即所谓的“微分段”——可以有效应对未经授权的横向移动的挑战,使企业能够安全地隔离工作负载并实现细粒度的网络保护。如今,网络攻击者不断尝试新的方法来绕过安全措施,因此能够有效阻止横向移动的微分段已成为主流安全技术之一。微隔离、SDP与零信任架构的关系基于SDP/微隔离框架的典型零信任架构谈到微隔离,我们有必要回顾一下零信任架构的概念。零信任是一种新的安全机制和理念,即所有资产在启动与另一资产的通信之前必须经过身份验证和授权。SDP是一个零信任实现框架,通过使用微隔离在资产之间创建信任关系,将零信任安全的概念应用于网络。SDP可以作为一种有效的网络安全控制,使组织更能抵御传统的网络安全攻击。因此,微分段是实现基于SDP的零信任架构的一项重要技术。但是,与很多新兴技术一样,SDP也有很多实现方式和路径。不同的企业需要根据自身的需求以及不同方式的优缺点选择适合自己的路径。微分段的工作原理微分段不仅是网络性能和管理分段技术的进步,而且专门用于解决关键网络安全问题、降低风险并使安全性能够适应不断变化的IT环境。在过去的二十年中,信息安全专家广泛讨论了零信任技术的各种实施方案和潜在问题。“微分段是‘安全简化’,”JuniperNetworks技术安全主管TrevorPott说,它具有自动化和编排工具、详细的报告和复杂的图形用户界面。“今天,我们不再有任何借口不做我们20年前应该做的事情,”他补充说。微分段通过单个中央策略将安全实施分配给每个单独的系统。网络安全提供商OPAQ的首席技术官TomCross解释说:“微分段支持在整个企业网络中实施细粒度的安全策略,而不仅仅是在外围。”由于边界安全有时会失败,并且由于云计算的采用,网络边界变得越来越漏洞百出。“微分段仍然依赖于传统的网络安全技术,例如访问控制网络。微分段的独特之处在于,这些(传统的)安全方法适用于微隔离网络中的各个工作负载。”微分段吸引了众多企事业单位的关注。IT咨询公司Kelser的高级咨询工程师AndrewTyler认为:“微分段是一种策略,它不仅可以防止数据泄漏,还可以通过限制泄漏到网络来防止数据泄漏。一个本地可以大大减少损坏(如果它发生)。不同的微分段方法Cross建议老练的攻击者在试图渗透企业资源时采取多个步骤,因此基础架构防御者应考虑在每个步骤建立控制。内部横向移动在最近的安全事件中发挥了关键作用,使用诸如Mimikatz和Bloodhound为攻击者提供了丰富的能力。“微分段可以有效切断防御者在内网传播的潜在路径,让防御者有效地中断攻击操作。重要的是要指出微分段不仅仅是面向数据中心的技术。“许多安全事件始于最终用户工作站,因为员工点击网络钓鱼链接,或者他们的系统以其他方式受到损害,”Cross说。“从最初的感染点开始,攻击者就可以在整个企业网络中流动。微分段平台应该能够从一个控制台跨数据中心、云工作负载和最终用户工作站实施策略,”他解释道。“它还应该能够阻止攻击在任何这些环境中横向传播。”“与许多新兴技术一样,安全供应商正在从各个方向研究微分段方法。微分段的三种传统类型是基于主机代理的微分段、基于虚拟机管理程序和网络隔离。(1)基于主机代理。这类型的微分段依赖于位于端点的代理。所有流量都是可见的并中继到中央管理器,这种方法可以减轻发现具有挑战性的协议或加密流量的麻烦。主机代理技术通常被认为是一种高效的方法微隔离“由于受感染的设备是主机,良好的主机策略甚至可以防止问题进入网络,”软件开发和IT服务初创公司MulyticLabs的CTODavidJohnson说。但是,它需要在所有主机上安装该软件,并且“可能对遗留操作系统和遗留系统不友好”。(2)基于管理程序。通过这种微分段,所有流量都流经管理程序。“监控管理程序流量的能力意味着人们可以使用现有的防火墙并根据日常操作实例的需要将策略转移到新的管理程序,”约翰逊解释道。这种方法的缺点是虚拟Hypervisor分段通常不适用于云环境、容器或裸机。“基于管理程序的方法在有用的场景中非常有效,”他建议道。(3)网络隔离。这种方法基本上是现有安全架构的扩展,基于访问控制列表(ACL)和其他经过时间考验的方法的分段。“这是迄今为止最简单的方法,因为大多数网络专业人士都熟悉它,”约翰逊说。“然而,对于大型网段,微分段可能是不可能的,而且这种做法是在大型数据中心进行管理的。它可能既复杂又昂贵。”在购买微隔离工具时,请务必记住并非所有微隔离产品都适合这三个基本类别。许多供应商正在探索新的和改进的方法来提供弹性网络微分段,例如机器学习和AI监控。致力于任何特定的微隔离产品,一定要了解更多关于供应商的特定技术方法,以及是否存在与您自己的体系结构和操作要求的兼容性问题。运营挑战。当供应商向您出售“一键式”解决方案时,企业安全主管尤其需要警惕,因为微分段的初始部署通常特别麻烦。“实施微分段可能会对某些业务和应用程序造成破坏,”泰勒警告说。“你可能会发现一些关键业务功能不支持微分段的问题和应用程序问题。”系统要求策略。对于许多企业而言,这可能是一个复杂且耗时的过程,因为随着重新权衡和定义IT政策及其影响,可能会发生内部斗争。“在大多数组织中,任何对内部控制的篡改都会遭到抵制,”克罗斯观察到。当高敏感度和低敏感度资产在同一安全范围内共存时,了解哪些端口需要匹配不同的网络通信和协议(和方向)很重要。实施不当可能会导致意外的网络中断。“此外,请记住,实施微分段所需的更改可能需要停机,因此仔细规划很重要,”NCCGroupNorthAmericaInc.技术总监兼关键基础设施防御专家DamonSmall说。微隔离技术一般支持各种流行的操作系统(如Linux、Windows和MacOS)环境。但是对于使用大型机或其他遗留技术的组织来说,微分段并不是很兼容。“他们可能会发现微分段软件不适用于这些遗留平台,”克罗斯警告说。微分段入门成功部署微分段需要详细了解网络架构和支持的系统和应用程序。“具体来说,企业应该知道系统如何相互通信,”Small指出。“具体细节可能需要与供应商密切合作或进行详细分析,以确定应该放置微分段的位置以及如何以不中断生产的方式放置。”放置微细分。”启动微细分计划的最佳方式是制定详细的资产管理计划。“除非你全面了解你的网络资产并设计出某种方法来对这些系统进行分类,否则你无法就如何对网络进行分段做出合理的决定,”Pott说。解决资产发现、分类和管理自动化问题后,IT环境才算数。准备好微隔离。“现在是安全管理人员购买安全供应商并就总拥有成本、集成能力、可扩展性提出许多尖锐问题的时候了,”Pott建议道。Cross观察到微隔离平台的性能取决于执行策略。“对于用户来说,了解攻击者的链条和步骤并确保他们的策略切断最有价值的途径非常重要,”他说。“一些简单的规则就可以将WindowsNetworking、RDP服务和SSH在内部网络上的使用范围缩小到特定用户,这样就可以在不中断业务流程的情况下防御流行的攻击技术。”gooann-sectv)获取授权】戳这里查看作者更多好文
