您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 软件开发专栏 > 网络/安全 > 正文

微隔离入门指南

发表于:2019-10-12 作者:李少鹏 来源:安全牛

在数据中心边界已消失殆尽的时代,传统分隔已不足以应付各种情况。微隔离随即登场。公司企业应如何充分利用该改进版安全架构呢?

微隔离


微隔离融合软件定义网络 (SDN) 和更好的虚拟化,打造出安全架构最为基础的技术之一,使安全人员得以在边界逐渐模糊的世界中构建清晰安全界限。

企业该如何最大程度地收获微隔离带来的好处呢?安全专家告诉你该做些什么。

微隔离是什么?

一直以来,网络分隔都是广受欢迎的隔离有价值受保护系统的常用方式。通过将网络上敏感区域与不重要和防护不严的区域隔开,安全架构师能够阻止攻击者在网络上横向移动和提权。分隔不仅可以减小成功攻击的波及范围,还能让安全策略师将资金花在刀刃上,往风险最高的系统投入最多安全预算,而不用担心攻击者在低风险系统中占据桥头堡的后果。

拘泥于传统分隔的问题在于,该方法确实将网络架构师所谓的纵向流量,也就是进出数据中心的客户端-服务器交互数据流,控制得非常好。但在混合云环境,数据中心边界已消失殆尽,约 75% 到 80% 的企业流量都是横向的,或者说,是服务器到服务器,在各应用之间的。

Firemon 技术联盟副总裁 Tim Woods 称:

随着我们迈入数字转型、云优先策略和混合企业时代,能够创建较小控制区域以保护数据安全,变得至关重要。这首先要从额外的分隔开始——可以想成更小、更多的控制区域,但随着虚拟化采用的增长,该分隔如今可以一路深入至单个工作负载了。

SDN 和容器及无服务器功能等技术是真正的游戏规则改变者,让分解工作负载资产、服务和应用至其自身微隔离变得更加可行,也更负担得起。

Shield X 创始人兼首席研发官 Ratinder Paul Singh Ahuja 表示,过去,分隔需要重新路由硬件,这是个相当昂贵的人工过程。现在,网络都已经软件定义了,可以很容易地随云环境的经常性变化自动完成。

从彻底映射数据流和架构开始

说起成功微隔离部署中的最大拦路虎,安全专家首推可见性问题。分隔粒度越细,IT 部门越需要了解数据流,需要理解系统、应用和服务之间到底是怎样相互沟通的。

Entrust Datacard 董事兼首席信息安全架构师 Jarrod Stenberg 表示,你不仅需要知道有哪些数据流流经你的路由网关,还需要具体追溯到单个主机,无论是实体主机还是虚拟主机。你必须拥有可供获取此信息的基础设施和工具,否则你的部署实现很可能失败。

这就是为什么任何成功的微隔离都需要从彻底的发现和映射过程开始的原因。Stenberg 解释道,作为该过程的一部分,公司企业应挖掘或编制自身应用的完备文档,文档可以支持未来所有微隔离决策,确保应用按既定方式运转。

NCC Group 安全咨询总监 Damon Small 表示,这种细致程度可能需要与供应商紧密合作,或者执行详细分析,确定哪里应该部署微隔离,以及如何在不引发生产中断的情况下部署。

使用威胁建模来定义用例

一旦公司建立起机制获取数据流可见性,这种理解就会开始带来风险评估和威胁建模。然后评估和建模再反过来帮助公司确定微隔离的位置和粒度。

vArmour 产品及策略高级副总裁 Keith Stewart 称:

 了这种理解,你就会开始认清自身环境中的风险,或者说你的‘爆炸半径’。攻击者侵入网络后能深入到哪里?用户数据库之类关键资产在不在该爆炸半径内呢?只要你能标出高风险区域,你就可以开始布置微隔离控制,解决这些风险。

思科 Duo Security 全球咨询 CISO Dave Lewis 表示,在没制定出详细的行动计划前,不要着手布置微隔离。因为微隔离以细粒度访问控制实现,要求大量的尽职调查与对细节的关注。

必须十分重视微隔离前的恰当规划。要知道自己到底需要分隔什么。

WatchGuard Technologies 高级安全分析师 Marc Laliberte 表示,需要注意的一点是,微隔离可以多种不同技术方法实现,复杂程度也各不相同。

一开始的计划应包含界定威胁模型,确定适合自己的微隔离形式。安全投资应基于公司及其应用面临的风险,还有成功攻击可能导致的破坏。

以业务需求进行平衡控制

威胁建模过程中,推进微隔离的策略师在设计微隔离时需时刻考虑到商业利益。

SAP NS2 CISO Ted Wagner 称表示,全面铺开的时候,分隔方案既要符合安全需求,也要提供必要的访问权,让应用和过程能无缝衔接,平滑工作。方案不能孤立设计或实现,得经过很多利益相关方的审查。

微隔离的成功需要安全部门与来自业务和 IT 的利益相关者协作,从一开始就深入了解所有这些流动中的应用和业务过程是怎么协同工作的。

Palo Alto Networks 全球系统工程高级副总裁 Scott Stevens 表示,有必要组建一支由企业主、网络架构师、IT 安全人员和应用架构师组成的多样化团队来实现该过程。

打造一支全方位团队还有助企业预先设立期望值,避开可能腰斩项目的那类政治问题。

思科的 Lewis 称,实现微隔离的主要障碍存在于和业务部门之间的沟通。以前就常在出问题时听人抱怨 “这肯定是防火墙弄的”。现在,微隔离成了内部业务部门刻薄批评的对象。

采用阶段式方法

专家建议,开始微隔离的公司企业理性对待微隔离项目推进速度。

Stevens 支招,从专注实用方法开始,而不是一来就搞大翻修。熟悉该过程的基本步骤:识别信息在公司中的流动方式,基于该信息流建立分隔的网络,创建更新的安全策略,纳入必需的安全功能,然后准备持续监视和更新该网络。

Entrust Datacard 的 Stenberg 建议采用一次处理一个应用的阶段式方法。

这可以使你专注高优先级目标,完全锁定它们,同时又保留网络上其他东西的分隔控制。为控制粒度,应基于所处理和存储的数据的敏感度,根据需访问的用户来分组资产。

Ericom Software CTO Nick Kael 表示,微隔离项目不仅应该分解成可管理的部分分阶段实施,其部署过程也应设置能反映阶段性进展的里程碑和度量指标。这些项目可能复杂且耗时,所以在过程中显示进展很重要。

建立微隔离可持续性

随着公司不断往微隔离中引入更多资产,负责团队需考虑长远发展。正如 Woods 解释的,微隔离不是“设置了就可以丢开不管”的策略。

这意味着,企业需设立长期机制以维持数据流的可见性,设置技术功能以灵活维护策略改变与实施要求。还意味着需清晰描述微隔离配置管理中各人都负责做些什么。

SAP NS2 的 Wagner 表示,微隔离管理的角色和责任同样很重要。微隔离规则的改变应经过审查,类似配置控制委员会这种运营和安全团队可验证变更适当性的地方。

同时,企业不想受人工审批和修改过程的掣肘。所以,应尝试尽可能往维护过程中引入自动化。

Edgewise Networks 创始人兼 CEO Peter Smith 称:

微隔离要求的很多费时费力工作如今都可以用机器学习加以自动化,包括查清应用相互通信的方式,确定能以最少数量提供最大覆盖面的规则集,以及持续跟进变更,尤其是在云环境中。

在策略方面,人类操作员将是最终决策者,但自动化应能帮助缩短审查所有东西的过程。

长远看,实行微隔离的所有努力都能帮助企业大幅降低不可避免的安全入侵风险。微隔离在增加安全控制的同时,还保留了发挥现代工作流和混合基础设施优势所必需的灵活性,而最终,无论你将其视为遵从最小权限原则还是实行零信任,微隔离都可帮助安全团队以细粒度维持 IT 资产的保密性、完整性和可用性。