微隔离实施五步法,让安全防护转起来

前言

零信任的最核心原则→最小权限

安全的第一性原理→预防

零信任的最佳实践→微隔离

“零信任”这个术语的正式出现,公认是在2010年由Forrester分析师John Kindervag最早提出。时至今日,“零信任”俨然已成安全领域最热门的词汇,做安全的不提自己是基于零信任原则,就跟2012年做网络的人说自己不基于SDN一样落伍。零信任是不是一个被过度营销的术语?零信任架构、零信任原则,零信任与微隔离的关系等又该如何解读?

小德今天在这里要跟大家分享一些德迅云安全对零信任的思考和微隔离的实践,零信任是目的,微隔离是手段,所以重点是零信任

从“零信任”的起源看其发展

首先谈谈我对零信任的理解,我看待一个新的技术或者理念通常有这样一个心法,那就是先把时间轴拉长,从宏观上看它的发展历程,然后再微观上看,也就是聚焦到最近的集大成者。

这个是零信任的发展历程,2010年由Forester的首席分析师John Kindervag首先提出,那时的理念就是把所有接入设备都连到一个超大的NGFW上做网络微隔离,这是第一代零信任概念

然后是2011年到2017年,Google的BeyondCorp项目和论文,让我们相信SDP理念是可以真正落地的。

在这期间,也就是2013年,CSA成立了SDP工作组并发布了标准规范,掀起了基于SDP技术的零信任产品创业浪潮。一度让业内忘记了第一代零信任概念,认为SDP才是零信任,而微隔离不算。

然后时间来到2017年,Gartner也开始跟进零信任,他不能重新定义,但是他可以用,他整了个CARTA框架,说零信任是CARTA的第一步,这就层次更高了,另外还给SDP起了个业务名字,叫ZTNA。

然后2018年Forester那边赶快对零信任理念来了个扩展,不只看网络,还得看用户,设备,工作负载,不只做微隔离,还得做可视化,分析,自动化编排。这个扩展很重要,相当于给最后的集大成者提供了基础框架。

时间来到2020年,NIST发布了零信任架构白皮书,终于对零信任做了正式定义,不是新产品新技术,而是解决方案,并给出IAM,SDP,微隔离是零信任三大落地实践的指导意见,这就把我们这些做微隔离的给救了,业内终于认可微隔离也是零信任。

终于最后的集大成者出现了,就在两个月前,5月12日,美国拜登政府发布了行政令,要求联邦政府必须使用零信任架构,第二天也就是5月13日,美国国防信息系统局就发布了国防部零信任参考架构。

咱们接着就来从微观上看看这个DOD的零信任架构和它提出的成熟度模型。看用户,看设备,看网络,看工作负载,看数据,做精细的接入控制,做微隔离,做可视化,做自动化编排和响应,怎么样,就是从Forester那个零信任扩展来的吧,人家还给出了三个成熟度等级,让你别急慢慢做,最小权限原则是核心,贯穿三个等级,顺便提一下,微隔离也是贯穿三个等级的,不断增强,不止这两个图,还有个七大支柱和每个支柱上功能点之间的依赖关系,妥妥的落地实践指南,你想不会做都难。

本论点的主题是6A,当然也要讲讲小德的理解,这里的心法就是看变化,以前咱们都提4A嘛,新出来哪两个A呢,一个是控制,一个是应用,我想这是让我们重拾网络安全的第一性原理,我认为是预防,而网络安全的预防就是最小权限的访问控制,不只控制客户端访问服务端,还要控制服务端内部应用跟应用之间的互访,做到6A,你也就做到了零信任。

微隔离的技术背景

微隔离,故事就简单了,因为大家早就被各微隔离厂商灌输的太多了。

Gartner给出的三种微隔离技术实现,云平台原生的,第三方虚拟化防火墙的,第三方主机Agent的,没有谁好谁不好,只有不同的客户业务环境下谁更合适。

Gartner2020年的云安全技术成熟度曲线,微隔离已经进入了光明爬坡期,市场价值和技术成熟度都肯定没争议了。

Gartner云工作负载保护控制分层体系,也就是CWPP,核心功能要求微隔离。 

Gartner容器安全控制分层体系,基础控制要求微隔离。

微隔离: 零信任三大技术方案之一

隔离从来都是一种高效可行的安全手段,微隔离技术的出现恰好能满足新环境、新业务对安全保障的需求。

事实上,微隔离是最早的一种对零信任概念的具体技术实现,这是因为微隔离技术与零信任安全模型有着天然的契合性。

传统的安全模型将网络划分为不可信和可信两个区域,用防火墙或网络设备的ACL将网络切分边界进行隔离,防火墙外部是不受信任的,内部则认为是安全可信的。

在零信任体系中,安全将不再区分网络的内部、外部,而是深度嵌入业务体系之中,构建自适应的内生安全机制,通过与传统防火墙、入侵防御等产品的互补,实现更统一、易用的防护体系。 

零信任安全针对传统边界安全架构思想进行了重新评估和审视,以“持续信任评估,动态访问控制”为核心原则,因此,基于“软件定义边界(SDP)”、“增强身份管理(IAM)”和“微隔离”构成了零信任领域的三个技术基石,以减少暴露面和攻击面,控制非授权访问,实现长期的网络安全保障。 

其中,SDP技术是用于实现南北向安全的(用户跟服务器间的安全),微隔离技术是用于实现东西向安全的(服务器跟服务器间的安全),IAM技术用于资源之间彼此的访问关系授权。 

将微隔离技术与零信任架构相结合,可以实现进程级别的访问控制与隔离,防止攻击者使用未经批准的连接或恶意代码,从已经受到攻击的应用程序或进程横向移动感染其他进程。 

举个例子,如果黑客已经攻进了一个服务器,那么他就可以利用这个服务器做跳板,进一步攻击网络中的其他服务器。 

但微隔离可以阻止这种来自内部的横向攻击。微隔离通过服务器间的访问控制,阻断勒索病毒在内部网络中的蔓延,降低黑客的攻击面。 

这正好符合了零信任的原则:假设已经被攻破;持续验证,永不信任;只授予必须的最小权限。

微隔离的实现方式

目前,微隔离已有多种实现方式,企业可以根据自身需要进行选择。

  1. 云原生控制

这种在虚拟化平台提供者中比较常见,在虚拟化平台、laas、hypervisor或者基础设施中提供,比如阿里云、VMware NSX等。

优势是与云平台整合的更加完善,属于同一供应商,支持自动化编排。但劣势在于只支持自身虚拟化平台、不支持混合云;更适合于隔离,而不是访问控制;东西向的管理能力有限。

  1. 第三方防火墙

主要是基于第三方防火墙供应商提供的虚拟化防火墙。这种方案的优势在于具备丰富的安全能力,如:入侵检测、防病毒等功能,能集成IPS、av等功能,与防火墙配置逻辑一致,普遍支持自动化编排。

但劣势也很明显,需要与虚拟化平台做对接,费用高,且有性能损耗。

  1. 基于主机代理模式

这种模式就是采用Agent,将Agent部署到每台主机(虚拟机)中,Agent调用主机自身的防火墙或内核自定义防火墙来做服务器间的访问控制。这种方式就是用微隔离实现零信任的模式之一。

优势在于与底层架构无关,支持多云和容器;主机迁移时安全策略也能跟随着迁移;支持自动化编排。

缺点在于必须在每个服务器上安装agent客户端,有人会担心资源占用问题,担心影响现有业务。

  1. 混合模型

一般都是通过其它模式组合使用,例如本地与第三方组合。

优势是可以基于现有的内容进行升级改造,在不同的位置使用不同模式的优势。但缺点是通常无法统一管理,需要多种管理工具,且云厂商往往对第三方产品的支持度不够高。

总体来说,四种方案各有优缺点,需要企业安全团队结合自身的实际情况来优化和处理。

如果环境中租户数量较少且有跨云的情况,主机Agent方案可以作为第一选择。

如果环境中有较多租户分隔的需求且不存在跨云的情况,采用SDN虚拟化设备的方式是较优的选择,主机Agent方案作为补充。

另外,主机Agent方案也可以结合主机漏洞风险发现、主机入侵检测能力相结合,形成更立体化的解决方案。

蜂巢的微隔离之路

定义蜂巢微隔离原生自适应容器多变的环境。通过对访问关系的梳理和学习,提供自适应、自迁移、自维护的网络隔离策略,帮助用户快速、安全地落地容器微隔离能力。

模块介绍:

提供业务视角的网络拓扑关系——基于实际业务的⼯作负载可视化展示容器间的访问⾏为,清晰展示网络拓扑关系,方便运维和安全人员理解。

覆盖各种云原生场景的隔离策略——

集群内网络隔离
可设置基于Namespace、Label、Controller、IP/CIDR的隔离策略。

集群间网络隔离
可设置基于集群与非容器集群,集群与外部网络之间的隔离策略。

纯容器与胖容器
针对纯容器与胖容器提供不同的隔离策略。

提供“告警”模式,让用户放心设置策略——针对工作负载提供“仅告警”业务模式,不下发实际的隔离策略,而是模拟下发的情况,当发现偏离策略的行为则进行告警提示。通过此种模式,可避免因隔离错误而对业务造成影响。

全面适配云原生的网络环境——适配Underlay、Overlay、Vxlan、Macvlan、Ovs等诸多网络架构。

微隔离的实施过程

微隔离的实践,实施过程五步法,是我们从用户的使用过程中总结出来的。

定义资产就是从云平台同步资产的ID信息,因为后面做流量可视化和微隔离策略都是面向资产ID开展的。

梳理业务模型就是流量可视化,可视化出来哪些是合法的访问,哪些是非法的访问,后面好做微隔离策略。

实施保护就是配置网络微隔离策略,阻断哪些,放行哪些。

细化安全策略是对放行的流量说的,要进一步做应用层安全检查。

最后一步,持续监控就是对被微隔离控制住的攻击和违规进行溯源调查,持续优化微隔离策略,让PDCA转起来。

如何检验微隔离的效果?

检验微隔离是否真正发挥效果,最直接的方式就是在攻防对抗中进行检验。企业可以模拟以下几个场景进行检验: 

  1. 互联网一台主机被攻陷后,能够触达内部多大范围的主机和工作负载;

  1. 同一业务区域一台主机被攻陷后,能否攻陷该业务区域的其他主机和工作负载(所有工作负载都存在可以利用的漏洞);

  1. 某一业务区域一台主机被攻陷后,能否触达跟该业务区域有访问关系的其他业务区域的核心主机和工作负载;

  1. 内部一台主机被攻陷后,能够触达到域控主机以及能否攻陷域控主机(域控主机存在可以利用的漏洞);

  1.  内部一个容器工作负载被攻陷后,能够触达内部其他多少个容器工作负载;能否通过该容器渗透到宿主主机;

  1.  以上所有网络访问行为是否在微隔离系统中的策略智能管控平台上监测到,是否有明显报警标记。

 事实上,从原有的传统安全架构升级到零信任架构注定是一个长期的整体工程,这是一个不断自我提升和完善的过程,因此在微隔离的建设规划中,企业应该专注于自身安全防御能力的提升和优化,将策略和技术手段结合起来,来制定一个适合自身的建设方案。 

同时,企业安全部门还可以根据自身业务的实际情况,模拟更多的攻防对抗场景进行检验,才能做到“知己知彼,百战不殆”。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/586183.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

实验报告5-Spring MVC实现页面

实验报告5-SpringMVC实现页面 一、需求分析 使用Spring MVC框架,从视图、控制器和模型三方面实验动态页面。模拟实现用户登录,模拟的用户名密码以模型属性方式存放在Spring容器中,控制器相应用户请求并映射参数,页面收集用户数据或…

设计模式-01 设计模式单例模式

设计模式-01 设计模式单例模式 目录 设计模式-01 设计模式单例模式 1定义 2.内涵 3.使用示例 4.具体代码使用实践 5.注意事项 6.最佳实践 7.总结 1 定义 单例模式是一种设计模式,它确保一个类只能被实例化一次。它通过在类内部创建类的唯一实例并提供一个全…

uniapp + uView动态表单校验

项目需求&#xff1a;动态循环表单&#xff0c;并实现动态表单校验 页面&#xff1a; <u--form label-position"top" :model"tmForm" ref"tmForm" label-width"0px" :rulesrules><div v-for"(element, index) in tmForm…

(详细整理!!!!)Tensorflow与Keras、Python版本对应关系!!!

小伙伴们大家好&#xff0c;不知道大家有没有被tensorflow框架困扰过 今天我就给大家整理一下tensorflow和keras、python版本的对应关系 大家这些都可以在官网找到&#xff0c;下面我把官网的连接给大家放在这里&#xff1a;在 Windows 环境中从源代码构建 | TensorFlow (g…

搭建大型分布式服务(三十七)SpringBoot 整合多个kafka数据源-取消限定符

系列文章目录 文章目录 系列文章目录前言一、本文要点二、开发环境三、原项目四、修改项目五、测试一下五、小结 前言 本插件稳定运行上百个kafka项目&#xff0c;每天处理上亿级的数据的精简小插件&#xff0c;快速上手。 <dependency><groupId>io.github.vipjo…

基于 React 的图形验证码插件

react-captcha-code NPM 地址 &#xff1a; react-captcha-code - npm npm install react-captcha-code --save 如下我自己的封装&#xff1a; import Captcha from "react-captcha-code";type CaptchaType {captchaChange: (captchaInfo: string) > void;code…

前端发起网络请求的几种常见方式(XMLHttpRequest、FetchApi、jQueryAjax、Axios)

摘要 前端发起网络请求的几种常见方式包括&#xff1a; XMLHttpRequest (XHR)&#xff1a; 这是最传统和最常见的方式之一。它允许客户端与服务器进行异步通信。XHR API 提供了一个在后台发送 HTTP 请求和接收响应的机制&#xff0c;使得页面能够在不刷新的情况下更新部分内容…

Flutter笔记:Widgets Easier组件库(2)阴影盒子

Flutter笔记 Widgets Easier组件库&#xff08;2&#xff09;&#xff1a;阴影盒子 - 文章信息 - Author: 李俊才 (jcLee95) Visit me at CSDN: https://jclee95.blog.csdn.netMy WebSite&#xff1a;http://thispage.tech/Email: 291148484163.com. Shenzhen ChinaAddress o…

Python中的动态数据可视化Bokeh库实战

&#x1f47d;发现宝藏 前些天发现了一个巨牛的人工智能学习网站&#xff0c;通俗易懂&#xff0c;风趣幽默&#xff0c;忍不住分享一下给大家。【点击进入巨牛的人工智能学习网站】。 Python 中的动态数据可视化Bokeh库实战 在数据科学和可视化领域&#xff0c;动态数据可视化…

windows下安装onlyoffice

文章目录 1、 安装ErLang2、 安装rabbitmq3、 安装postgresql4、 安装onlyoffice(社区版) 1、 安装ErLang 下载地址&#xff1a;https://erlang.org/download/otp_win64_24.2.exe opt_wind64_24.2.exe 直接运行&#xff0c;一步一步安装 2、 安装rabbitmq 下载地址&#xf…

【笔记】Simulink与Workbench交互+自定义m函数封装为Simulink模块

以如下三角函数为例&#xff0c;说明建模方法 ya*sin(b*2*pi*uc);0.总模型总代码 总模型 总代码&#xff1a; clc clear close allt_all10; a10; b1; c0;%pi/2; delta_t0.01; simOutsim(test240430); out_tsimOut.tout; out_y1simOut.yout{1}.Values; out_y2simOut.yout{2}.…

C++-10

1.C一个程序&#xff0c;实现两个类&#xff0c;分别存放输入的字符串中的数字和字母&#xff0c;并按各自的顺序排列&#xff0c; 类中实现-一个dump函数&#xff0c;调C用后输出类中当前存放的字符串结果。 例如&#xff0c;输入1u4y2a3d,输出:存放字母的类&#xff0c;输出a…

机器人正反向运动学(FK和IK)

绕第一个顶点可以沿Z轴转动&#xff0c;角度用alpha表示 绕第二个点沿X轴转动&#xff0c;角度为Beta 第三个点沿X轴转动&#xff0c;记作gama 这三个点构成姿态&#xff08;pose&#xff09; 我们记第一个点为P0&#xff0c;画出它的本地坐标系&#xff0c;和世界坐标系一样红…

无人机+三维建模:倾斜摄影技术详解

无人机倾斜摄影测量技术是一项高新技术&#xff0c;近年来在国际摄影测量领域得到了快速发展。这种技术通过从一个垂直和四个倾斜的五个不同视角同步采集影像&#xff0c;从而获取到丰富的建筑物顶面及侧视的高分辨率纹理。这种技术不仅能够真实地反映地物情况&#xff0c;还能…

设计模式 --6组合模式

文章目录 组合模式应用场景组合模式概念组合模式结构图透明方式和安全方式什么时候使用组合模式公司管理系统使用 组合模式来构架组合模式的好处 组合模式应用场景 整体和部分可以被一致性对待 比如人力资源部 财务部的管理功能可以复用于分公司的功能 可以引入一种 树状的结构…

【webrtc】MessageHandler 2: 基于线程的消息处理:以PeerConnectionClient为例

PeerConnectionClient 前一篇 nullaudiopoller 并么有场景线程,而是就是在当前线程直接执行的, PeerConnectionClient 作为一个独立的客户端,默认的是主线程。 PeerConnectionClient 同时维护客户端的信令状态,并且通过OnMessage实现MessageHandler 消息处理。 目前只处理一…

AI大模型日报#0430:疑似GPT4.5模型刷屏、上交实现「蛋白质功能定向进化」、微软紧急撤回WizardLM-2

导读&#xff1a; 欢迎阅读《AI大模型日报》&#xff0c;内容基于Python爬虫和LLM自动生成。目前采用“文心一言”生成了今日要点以及每条资讯的摘要。 《AI大模型日报》今日要点&#xff1a; 在AI大模型领域&#xff0c;多项研究进展和行业应用动态引发关注。一夜之间&#x…

Gateway Predicate断言(谓词)

是什么 Spring Cloud Gateway匹配路由作为Spring WebFlux HandlerMapping基础设施的一部分。 Spring Cloud Gateway包含许多内置的路由谓词工厂。 所有这些谓词都匹配HTTP请求的不同属性。 您可以使用逻辑 and 语句来联合收割机组合多个路由谓词工厂。 Predicate就是为了实现一…

sum函数搭配group by /having的案例说明

记录一些常用的函数及用法 --查询份额大于1w的投资人信息。 聚合数据的筛选&#xff1a;当你需要基于聚合函数&#xff08;如 SUM(), AVG(), MAX(), MIN(), COUNT() 等&#xff09;的结果来过滤记录时&#xff0c;使用 HAVING 子句。 组合条件&#xff1a;HAVING 子句可以使用…

Nginx配置Https缺少SSL模块

1、Linux下Nginx配置https nginx下载和安装此处就忽略&#xff0c;可自行百度 1.1、配置https 打开nginx配置文件 vim /opt/app/nginx/conf/nginx.conf相关https配置 server {listen 443 ssl; #开放端口server_name echarts.net;#域名#redirect to https#ssl on; #旧版#ssl证…