當前位置:首頁 >  IDC >  安全 >  正文

從攻擊面視角,看信創(chuàng)零信任方案實踐

 2022-06-29 17:36  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

從攻擊面視角理解零信任

Gartner在2022年發(fā)布的《2022年網(wǎng)絡安全重點趨勢(Top Trends in Cybersecurity 2022)》報告中,把“攻擊面擴大”作為重要的一項提出。

報告指出:為了管理一系列擴大的安全攻擊暴露面,組織機構(gòu)需要關(guān)注的遠不只是針對漏洞進行補丁修復。由于一系列數(shù)字化方案的應用帶來的變化,例如新型混合網(wǎng)絡架構(gòu)、公有云的加速應用、互連更緊密的供應鏈、外部可訪問數(shù)字資產(chǎn)增多及物聯(lián)網(wǎng)科技的更多應用,導致攻擊面大幅擴大。組織機構(gòu)必須開始在傳統(tǒng)的“安全屋”方案之上思考新戰(zhàn)略,盡快采取行動提升安全可視化及關(guān)鍵業(yè)務的風險防范水平。

攻擊面的定義是:一個給定的計算機或網(wǎng)絡系統(tǒng)可以被惡意人員訪問和利用的漏洞的總和。 為了對攻擊面進行持續(xù)可視化呈現(xiàn)和縮減,需要做好以下幾方面工作:

業(yè)務訪問:即人訪問業(yè)務系統(tǒng)的過程管理。

漏洞管理:優(yōu)先級排序、分類與可視化處置。

資產(chǎn)安全:測繪、脆弱性管理、合規(guī)建設等。

零信任是一種架構(gòu)和方法論,其關(guān)注點在于提供安全的應用訪問路徑。 從攻擊面視角出發(fā),零信任主要針對“業(yè)務訪問”部分給出解決方案,可進一步細化為幾個重點:

權(quán)限與路徑:圍繞人和應用的訪問權(quán)限與路徑,進行可視化呈現(xiàn)、梳理與管理,消除違規(guī)和越權(quán)訪問,規(guī)劃最優(yōu)路徑。

通信安全:將通信內(nèi)容進行加密,對通信的雙方進行身份校驗,避免通信被監(jiān)聽或破壞。

內(nèi)容審計:將通信內(nèi)容進行還原、記錄和留存。

在保護數(shù)據(jù)安全方面,相比數(shù)據(jù)安全領(lǐng)域的脫敏、泄露防護、數(shù)據(jù)庫防護等專用技術(shù),零信任解決方案的核心作用在“關(guān)口前移”。對于關(guān)鍵數(shù)據(jù)設置合理的訪問權(quán)限與路徑,實現(xiàn)高效率管理,從源頭提升非法接觸數(shù)據(jù)的難度和門檻,可以有效幫助數(shù)據(jù)安全整體方案進行落地。

零信任實踐的三個層次

對于零信任建設,本文將按照以下三個層次進行分析:

零信任的三個層次

1、南北向:外部遠程接入

在南北向,訪問控制的主要挑戰(zhàn)來自于傳統(tǒng)VPN技術(shù)的幾個隱患:

長期開放固定端口,導致網(wǎng)絡層暴露面持續(xù)存在,這一缺陷在攻防演練中多次被攻擊方成功利用。

長連接機制下,網(wǎng)絡質(zhì)量敏感型應用可能存在性能問題。

在多云和混合云接入環(huán)境下,權(quán)限控制不夠精細或維護成本過高。

終端安全管控能力不足。

目前主流的VPN替代方案是軟件定義邊界SDP(Software Defined Perimeter),這一方案已有較為廣泛的應用 ,其核心優(yōu)勢如下:

采用先認證再連接模式,避免固定端口暴露。

使用短連接方案,增強業(yè)務性能體驗。

基于人和業(yè)務系統(tǒng)定制全局策略并實現(xiàn)動態(tài)自適應,在多云和混合云接入場景下更為適用,且能降低維護難度。

支持全品類主機和移動終端操作系統(tǒng)、SDK及瀏覽器環(huán)境接入,采用人+端+接入環(huán)境三維校驗技術(shù),在終端身份核驗方面更具執(zhí)行力,更適合移動應用和IoT終端接入場景。

2、東西向:內(nèi)部主機互訪

在東西向流量層面,零信任的主要解決方案是微隔離。其針對的主要安全攻擊手段是橫向擴散,也即攻擊者獲取失陷主機后作為跳板在安全域內(nèi)繼續(xù)擴大攻擊,最終威脅到核心資產(chǎn)。 微隔離可以通俗地理解為業(yè)務系統(tǒng)間防火墻,在數(shù)據(jù)中心等場景中,大二層環(huán)境和虛擬化工作負載使得這一技術(shù)更為流行。

微隔離產(chǎn)品一般可以做三種分類,分別是:

Hyper-V微隔離:以VM為單位進行隔離。

網(wǎng)絡微隔離:在L3/L4進行隔離(經(jīng)常借助SDN控制器)。

主機微隔離:基于主機/業(yè)務系統(tǒng)進行隔離。

其中最受歡迎的微隔離方案是主機微隔離 ,其中一個原因是這個方案相對容易部署,通過管理平臺和主機上部署Agent就可以開始部署策略。無論是Windows或Linux操作系統(tǒng),Agent可以通過iptables等方式進行策略控制,而在管理平臺上可以將主機互訪關(guān)系與路徑進行可視化與管理,并針對訪問需求進行策略自適應計算、異常分析與下發(fā),這種方案在云負載、虛擬負載和物理服務器上都保持一致有效,從而阻斷東西向安全威脅,縮減業(yè)務交付時間和維護成本。

3、斜向:安全域訪問控制

除了討論特別多的南北向和東西向之外,兼具二者的所謂“斜向”經(jīng)常被忽略,尤其是當網(wǎng)絡規(guī)模足夠大和安全訪問控制策略足夠復雜時,這一方向會顯得尤為重要。 在跨廣域網(wǎng)的多分支機構(gòu)網(wǎng)絡中,同時有眾多遠程接入用戶,包括居家辦公員工、供應鏈及第三方合作伙伴,此時安全域的劃分與安全策略規(guī)劃將會比較復雜。試想,此時兩個主機之間的訪問可能會跨三層及安全域,也就是說在南北和東西兩個方向同時發(fā)生,而真正的訪問控制落地會在安全設備的訪問控制策略上,單純的南北向或東西向權(quán)限控制都不能獨立解決問題。

斜向?qū)牧阈湃谓鉀Q方案是NSPM(Network security policy management)技術(shù)。 在NSPM的訪問控制基線管理功能中,可以基于業(yè)務需求和安全域訪問規(guī)則設置訪問控制基線,訪問控制基線信息至少包括源域、源地址、目的域、目的地址、協(xié)議、端口、動作等信息,支持黑白名單、高危端口、病毒端口的自定義,支持定期依據(jù)訪問控制基線對網(wǎng)絡訪問控制策略進行檢查,及時發(fā)現(xiàn)和清除導致非法越權(quán)訪問的違規(guī)策略。此外,NSPM的網(wǎng)絡暴露風險管理功能能夠以某一主機或主機組為對象,自動化實現(xiàn)網(wǎng)絡暴露路徑與暴露風險的分析,從網(wǎng)絡訪問關(guān)系與安全路徑的角度描述其對外的暴露情況,可以幫助用戶及時了解某些重要主機與網(wǎng)絡暴露面的大小、風險的高低,輔助用戶進行暴露面收斂與暴露路徑的安全加固。

為了系統(tǒng)性解決權(quán)限控制問題,需要將南北向、東西向和斜向解決方案進行有機結(jié)合。當前,將SDP、主機微隔離和NSPM結(jié)合的零信任解決方案并不常見,國內(nèi)的廠商安博通是供應商之一,產(chǎn)品均已適配信創(chuàng)終端環(huán)境,在金融和運營商行業(yè)已有成功案例。

信創(chuàng)終端環(huán)境落地經(jīng)驗總結(jié)

將零信任技術(shù)方案應用于信創(chuàng)環(huán)境,工作主要在于完成相關(guān)軟件在信創(chuàng)CPU(龍芯/鯤鵬/飛騰)、信創(chuàng)操作系統(tǒng)(麒麟、統(tǒng)信)及信創(chuàng)網(wǎng)卡和信創(chuàng)數(shù)據(jù)庫等環(huán)境中的適配。這一落地過程中需要克服的主要技術(shù)難點包括:

硬件無關(guān)化程度:當軟件主要在用戶態(tài)實現(xiàn)時,遷移到信創(chuàng)過程中將不會涉及到過多的驅(qū)動工作,更加順利。

解決跨平臺編譯和各語言、組件版本升降級問題。

各類國產(chǎn)化產(chǎn)品的適配和遷移工作。

克服開發(fā)工具鏈相對薄弱的現(xiàn)狀進行持續(xù)調(diào)試。

與體系架構(gòu)相關(guān)的開源軟件重構(gòu)和遷移。

通過幾個體系的信創(chuàng)領(lǐng)域產(chǎn)品推進,零信任相關(guān)產(chǎn)品已經(jīng)在信創(chuàng)終端環(huán)境下實現(xiàn)了較好的落地。從應用效果看,盡管在性能和加解密能力等方面還有優(yōu)化空間,但已可以成功應用于通用環(huán)境。

未來展望

在政策和技術(shù)雙重驅(qū)動下,零信任安全在信創(chuàng)領(lǐng)域已取得了不錯成果,未來將會迎來更大機遇,尤其是在金融市場的加速應用。零信任解決方案的落地過程中需要關(guān)注多個層面,持續(xù)縮減攻擊面和控制訪問權(quán)限,守好前置關(guān),成為數(shù)字化轉(zhuǎn)型和數(shù)據(jù)安全的重要措施。

參考文獻:

《Guide to Network Security Concepts》,Gartner

《Top Trends in Cybersecurity 2022》,Gartne

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標簽
數(shù)據(jù)安全

相關(guān)文章

熱門排行

信息推薦