在越来越重视攻防对抗的实战防护能力,零信任网络越来越多的今天流行的今天,我们重新审视按照这些新概念构建的纵深防御体系,发现问题依然不少:在堆积了大量的安全产品后,发现基础安全工作依然如此资产管理、漏洞安全运营、内部隔离跟不上安全形势变化。以隔离为例。当攻击者有机会获得内网跳板机时,发现内网网络基本畅通;基本安全策略在攻防对抗中被“打败”;同时,随着内部网络架构从传统IT架构向虚拟化、混合云和容器化升级,事实证明,内部隔离不再是一件容易的事。为了适应攻防结合的要求,满足新IT架构的要求,我们不得不重新分析和审视隔离的重要性。1、什么是微细分?网络隔离并不是一个新概念。微分段技术(Micro-Segmentation)是VMware为应对虚拟化隔离技术而提出的。不过微隔离真正引起大家关注是从2016年开始,微隔离技术连续三年进入Gartner年度安全技术榜单。在2016年的Gartner安全与风险管理峰会上,Gartner副总裁、知名分析师NeilMacDonald提出了微隔离技术的概念。“安全解决方案应该为企业提供流量可视化和监控。可视化工具可以让安全运营和管理人员了解内部网络信息的流动,使微隔离能够更好地设置策略并协助纠正。”从微隔离概念和技术诞生以来,其核心能力需求就集中在东西向流量的隔离上(当然也可以起到南北向隔离的作用)。真正的需要。微隔离系统工作范围:顾名思义,微隔离是一种细粒度、更小的网络隔离技术,可以满足传统环境、虚拟化环境、混合云环境、容器环境下东西向流量隔离的需求环境,主要用于防止攻击者进入企业数据中心网络内部水平平移(或东西移动)。微隔离系统组成:区别于传统防火墙在单点边界上的隔离(控制平台和隔离策略执行单元耦合在一个设备系统中),控制中心平台和策略执行单元微隔离系统的各个部分是分离的,具有分布式和自适应的特点:(1)策略控制中心:是微隔离系统的中枢大脑,需要具备以下关键能力:能够可视化接入内部系统与业务应用的关系,让平台用户可以快速理清内部访问关系;可以通过角色、业务功能等多维标签快速分组需要隔离的工作负载;可以灵活配置工作负载和业务应用之间的隔离策略,策略可以根据工作组工作负载的自适应配置和迁移。(2)策略执行单元:执行流量数据监控和隔离策略的工作单元,可以是虚拟化设备,也可以是主机代理。2.为什么需要微隔离?很多人提出了VLAN技术、VxLAN技术、VPC技术。为什么我们需要微隔离?在回答这个问题之前,我们先来看看这些技术的定义和作用:VLAN:即虚拟局域网,就是通过以太网协议,将一个物理网络空间在逻辑上划分成几个相互隔离的局域网。做不同的内部局域网网段是我们常用的技术;由于以太网协议的限制,VLAN可以划分为虚拟局域网。其中只有4096个。VxLAN:VirtualExtendedLocalAreaNetwork,为解决大型计算数据中心虚拟网络不足的问题而出现的一种技术,采用VLAN技术。最多可支持1600万虚拟网络,适应大规模租户部署。VPC:VirtualPrivateCloud,即虚拟私有云,AWS于2009年率先发布的一项技术,使公有云租户能够在公有云上创建相互隔离的虚拟网络。其技术原理类似于VxLAN。从技术特点来看,VLAN是一种粗粒度的网络隔离技术。VxLAN和VPC更接近微隔离的技术要求,但不是微隔离的最终产品形态。我们来看一个真实的生产环境中工作负载之间的访问关系:从这张图可以看出,少数几个工作负载的业务访问关系是多么复杂,所以当工作负载数量激增时,我们迫切需要一套更智能的隔离系统。以下是我们需要微分段技术的一些原因:实现基于业务角色的快速分组能力,为隔离分区提供基于业务的细粒度视角(解决传统基于IP的很多管理问题看法);基于内部业务访问关系的自动识别,并以可视化的方式展示;实现基于业务组的隔离能力、端到端的工作负载隔离能力、异常外联能力,支持物理服务器之间、虚拟机与容器之间的访问隔离;通过隔离,全面降低东西向横向渗透风险,支持应用访问端口隔离,实现各业务单元安全运行;具有可视化的策略编辑能力和批量设置能力,支持大规模场景下的策略设置和管理;具有自动部署策略的能力,能够适应私有云弹性、可扩展的特点。在虚拟机迁移、克隆、扩容等场景下,可以自动迁移安全策略;在混合云环境下,支持跨平台流量识别和统一策略管理。3、微隔离技术的选择目前市场上微隔离产品还没有统一的产品检测标准,属于比较新的产品形态。Gartner给出了几个评估微隔离的关键指标,包括:它是基于代理、基于虚拟化设备还是基于容器?如果是基于代理的,对主机性能有什么影响?如果是基于虚拟化的设备,它是如何连接到网络的呢?该解决方案是否支持公共云IaaS?Gartner也为客户提出了以下建议:构建微隔离,首先要从获取网络可见性开始,可见才能隔离;提防从关键应用程序开始的过度隔离;鼓励IaaS、防火墙和交换机制造商原生支持微隔离;从技术角度来看,微隔离产品主要采用虚拟化设备和主机代理两种模式。这两种方式的技术对比如下:总体而言两种方案各有优缺点:如果环境中租户数量少,且存在跨云情况,可以首选HostAgent方案;如果环境中有很多租户分离需求,没有跨云的情况,使用SDN虚拟化设备的方式是更好的选择,HostAgent方案是一种补充。此外,主机代理解决方案还可以与主机漏洞风险发现和主机入侵检测能力相结合,形成更加立体的解决方案。顺便说一句,我们目前的工作负载安全解决方案可以完全覆盖这种场景的需求。4、企业如何进行微细分?成功部署微隔离的最大障碍是可见性。分离的粒度越细,IT部门就越需要了解数据流以及系统、应用程序和服务如何相互通信。同时,需要建立微隔离的可持续性。随着公司不断将更多资产引入微细分,负责团队需要考虑长远发展。微观隔离不是“设置好后忘记”的策略。这意味着企业需要建立维护数据流可见性的长效机制,设置技术功能来灵活维护政策变化和执行要求;这也意味着清楚地描述每个人在微隔离配置管理中的责任。微分段管理的角色和职责也很重要。应审查对微分段规则的更改,例如配置控制板,运营和安全团队可以在其中验证更改的适当性。5、测试微隔离的效果测试微隔离是否真的有效,最直接的方法就是在攻防对抗中测试。我们可以模拟以下场景进行测试:Internet上的主机被攻破后,可以到达多少内部主机和工作负载;同一业务领域的主机被攻破后,其他主机和工作负载(所有工作负载都存在可被利用的漏洞)是否可以;某个业务领域的主机被攻破后,能否到达与该业务领域有访问关系的其他业务领域的核心主机和工作负载;主机被攻破后,能否到达域控主机,域控主机是否可以被攻破(域控主机存在可被利用的漏洞);在容器工作负载受到损害后,可以达到多少其他内部容器工作负载;是否通过容器渗透宿主机;以上网络访问行为是否都在微隔离系统中的战略智能管控平台上进行监控,是否有明显的告警标志。以上是我们可以总结的一些检测场景。保卫部门还可以根据自身业务的实际情况,模拟更多的攻防对抗场景进行检查,做到“知己知彼,百战不殆”。
