基于網(wǎng)絡(luò)安全如何實(shí)現(xiàn)挑戰(zhàn)

網(wǎng)絡(luò)是一個(gè)具有挑戰(zhàn)性的領(lǐng)域，使用混合網(wǎng)絡(luò)或內(nèi)部和外部子網(wǎng)的組合使其更具挑戰(zhàn)性。基于網(wǎng)絡(luò)地址的安全控制在保護(hù)組織方面有著悠久而杰出的歷史，但它們也并非沒(méi)有某些限制。我與云安全組織Edgewise Networks的首席執(zhí)行官Peter Smith、網(wǎng)絡(luò)安全策略自動(dòng)化提供商Tufin的首席技術(shù)官和聯(lián)合創(chuàng)始人Reuven Harrison、安全解決方案提供商Securonix的產(chǎn)品戰(zhàn)略和營(yíng)銷(xiāo)高級(jí)副總裁Nitin Agale討論了這個(gè)概念。

Peter Smith:在云計(jì)算中，運(yùn)營(yíng)商對(duì)網(wǎng)絡(luò)的控制要少得多，而且地址是短暫的，所以管理基于地址的防火墻規(guī)則太復(fù)雜了。

對(duì)于內(nèi)部網(wǎng)絡(luò)，組織越來(lái)越多地采用扁平的內(nèi)部網(wǎng)絡(luò)，這使得網(wǎng)絡(luò)罪犯可以橫向移動(dòng)(根據(jù)Carbon Black 2019年4月的威脅報(bào)告，目前70%的網(wǎng)絡(luò)攻擊都是橫向移動(dòng)的)

網(wǎng)絡(luò)地址在現(xiàn)代網(wǎng)絡(luò)中是短暫的，特別是在云和容器環(huán)境中。因此，在操作上保持基于地址的策略是非常具有挑戰(zhàn)性的。網(wǎng)絡(luò)過(guò)度暴露的幾率很高，合法通信被無(wú)意中阻塞的幾率也很高——特別是在云或數(shù)據(jù)中心內(nèi)的鎖定、最低權(quán)限的環(huán)境中。

還有安全問(wèn)題，因?yàn)榛诰W(wǎng)絡(luò)地址的安全系統(tǒng)無(wú)法識(shí)別通信內(nèi)容，這使得惡意軟件和其他攻擊很容易利用已批準(zhǔn)的防火墻規(guī)則。“安全”地址。例如，如果一個(gè)地址被允許通信，那么該特定主機(jī)上的任何軟件都可以使用已批準(zhǔn)的策略——甚至是惡意軟件。

Reuven Harrison:傳統(tǒng)的基于網(wǎng)絡(luò)地址的安全控制在云上不那么有效。隨著一個(gè)組織從使用服務(wù)器和[基礎(chǔ)設(shè)施即服務(wù)]IaaS發(fā)展到更高級(jí)的云服務(wù)，如[平臺(tái)即服務(wù)]PaaS和[軟件即服務(wù)]SaaS, IP地址被從用戶(hù)那里抽象出來(lái)。例如，云中的存儲(chǔ)桶不與任何特定的IP地址相關(guān)聯(lián)。要為這類(lèi)服務(wù)編寫(xiě)安全策略，您需要使用標(biāo)識(shí)和訪問(wèn)管理策略(IAM)，而不是安全組或防火墻。

此外，傳統(tǒng)上依賴(lài)子網(wǎng)和vlan來(lái)實(shí)現(xiàn)安全區(qū)域和分割(源自互聯(lián)網(wǎng)路由的原始設(shè)計(jì))，在現(xiàn)代軟件定義的網(wǎng)絡(luò)中已不再需要，它允許更細(xì)粒度的分割。

Nitin Agale:傳統(tǒng)的網(wǎng)絡(luò)控制是為了防止內(nèi)部網(wǎng)絡(luò)中的壞人。假設(shè)數(shù)據(jù)位于內(nèi)部網(wǎng)絡(luò)(數(shù)據(jù)中心)的服務(wù)器上。隨著云的轉(zhuǎn)變，這種情況將不復(fù)存在。因此，網(wǎng)絡(luò)控制是無(wú)效的。

隨著數(shù)據(jù)不斷遷移到云上，移動(dòng)設(shè)備和安全控制也需要改變。在設(shè)計(jì)控件時(shí)，必須了解數(shù)據(jù)駐留在云中，并且可以使用多種類(lèi)型的移動(dòng)設(shè)備從任何地方訪問(wèn)數(shù)據(jù)。

斯科特·馬特森:為什么會(huì)存在這些挑戰(zhàn)?

Peter Smith:存在這些挑戰(zhàn)是因?yàn)榛诘刂返陌踩灾魂P(guān)注如何通信，而不是什么通信，所以只要攻擊使用被認(rèn)為“安全”的網(wǎng)絡(luò)路徑和協(xié)議，它就可以橫向移動(dòng)而沒(méi)有任何障礙。

以下是與三種最常見(jiàn)的基于網(wǎng)絡(luò)地址的微細(xì)分和零信任方法相關(guān)的具體挑戰(zhàn):

NGFW(下一代防火墻):在這種模型中，它將基于第7層的網(wǎng)絡(luò)周邊防火墻設(shè)備用于劃分內(nèi)部網(wǎng)絡(luò)。它提供了深度的數(shù)據(jù)包檢查，使其能夠提供比第3層和第4層防火墻更多的保護(hù)，但比基于軟件的替代方案昂貴得多，特別是當(dāng)需要擴(kuò)展能力以覆蓋不同的地理位置時(shí)。此外，檢查包中的協(xié)議永遠(yuǎn)不能確切地告訴您什么軟件實(shí)際上在通信。

NGFWs在保護(hù)包含的工作負(fù)載方面效率較低，因?yàn)榫W(wǎng)絡(luò)是在設(shè)備的上下文中存在的，而NGFW作為設(shè)備則不是。由于虛擬設(shè)備的形式，它們也很難用于控制云中的東西流量，尤其是在AWS中。

SDN(軟件定義的網(wǎng)絡(luò)):在軟件定義的網(wǎng)絡(luò)中，防火墻被合并到網(wǎng)絡(luò)結(jié)構(gòu)中，使其具有提供第2層隔離的獨(dú)特優(yōu)勢(shì)，否則基于主機(jī)的防火墻和類(lèi)似的解決方案將不可用。它也比基于主機(jī)的防火墻更難繞過(guò)，因?yàn)槟荒茉谥鳈C(jī)級(jí)別關(guān)閉它。然而，SDNs需要更大的投資來(lái)提供普通的第3層和第4層防火墻之外的保護(hù)，這增加了總擁有成本。此外，它不能為容器或裸金屬云部署提供保護(hù)。

基于主機(jī)的防火墻編排:節(jié)省成本是一大優(yōu)勢(shì)，因?yàn)樗鼉?nèi)置在操作系統(tǒng)中，無(wú)處不在，而且提供廣泛的保護(hù)，包括設(shè)備之間的內(nèi)部通信。在云中也很方便，因?yàn)橛型晟频姆椒▉?lái)部署軟件，而這些方法對(duì)于設(shè)備的形式來(lái)說(shuō)是不存在的。

參見(jiàn):安全專(zhuān)家為保護(hù)自己的數(shù)據(jù)所做的4件重要事情(TechRepublic)

不幸的是，基于主機(jī)的防火墻編排只提供了第3層和第4層控制，沒(méi)有NGFW提供的第7層功能。然而，最大的缺點(diǎn)是，攻擊者可以利用已批準(zhǔn)的主機(jī)防火墻規(guī)則。

Scott Matteson:為什么公司要轉(zhuǎn)移到扁平的內(nèi)部網(wǎng)絡(luò)，而犧牲獨(dú)立的分段網(wǎng)絡(luò)的保護(hù)能力?

Peter Smith:維護(hù)一個(gè)平面網(wǎng)絡(luò)在操作上比維護(hù)一個(gè)分段網(wǎng)絡(luò)要簡(jiǎn)單，分段網(wǎng)絡(luò)造價(jià)昂貴，管理和維護(hù)也極其復(fù)雜。平面網(wǎng)絡(luò)為管理員提供了易用性，因?yàn)樗菀卓刂七M(jìn)出流量(網(wǎng)絡(luò)流量的單點(diǎn)入口和出口)，并且所有應(yīng)用程序都可以更容易地與網(wǎng)絡(luò)上的任何其他應(yīng)用程序或數(shù)據(jù)存儲(chǔ)進(jìn)行通信。

不幸的是，這種方法也增加了攻擊面，因?yàn)樗试S應(yīng)用程序之間有更多不必要的可用路徑，每個(gè)路徑為滲透者在網(wǎng)絡(luò)中橫向移動(dòng)提供了一種途徑。一旦攻擊者在環(huán)境中找到了立足點(diǎn)，就很難阻止他們橫向移動(dòng)以危害整個(gè)網(wǎng)絡(luò)。

斯科特·馬特森:什么是橫向運(yùn)動(dòng)?

橫向移動(dòng)威脅毫無(wú)疑問(wèn)是今年組織機(jī)構(gòu)面臨的最大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

Peter Smith:另一種(更好的)選擇是使用基于軟件和機(jī)器身份的保護(hù)方法，也稱(chēng)為零信任安全。根據(jù)不可變的、加密的指紋為每個(gè)工作負(fù)載創(chuàng)建身份，指紋由多個(gè)屬性(例如二進(jìn)制文件的SHA-256散列或BIOS的UUID代碼)組成。通過(guò)這種方式，只有在驗(yàn)證了軟件和設(shè)備的身份后才允許通信，從而阻止了所有未經(jīng)授權(quán)的通信。

組織還應(yīng)該根據(jù)設(shè)備、主機(jī)和工作負(fù)載本身的身份制定安全策略。這些身份可以使用每個(gè)工作負(fù)載的不可變、惟一和內(nèi)在屬性來(lái)構(gòu)建，例如二進(jìn)制文件的SHA-256加密哈希、bios的通用唯一標(biāo)識(shí)符(UUID)或處理器的序列號(hào)。

Reuven Harrison:使用標(biāo)簽、標(biāo)簽、安全組、FQDNs和url等身份，而不是IP地址來(lái)指定您的安全策略中的源和目的地。使用云本地安全控制，并依賴(lài)云提供商來(lái)執(zhí)行它們。當(dāng)數(shù)據(jù)過(guò)于敏感而不能依賴(lài)云提供商時(shí)，添加您自己的加密安全性

Nitin Agale:分析和處理數(shù)據(jù)以確保在邊緣或SDN內(nèi)部的安全性，對(duì)于優(yōu)化組織的安全性和成本至關(guān)重要。它提供了更多的實(shí)時(shí)數(shù)據(jù)分析，實(shí)現(xiàn)了快速響應(yīng)行動(dòng)，并通過(guò)避免跨網(wǎng)絡(luò)移動(dòng)大量數(shù)據(jù)優(yōu)化了成本。

Peter Smith:盡管上述三種方法各有優(yōu)缺點(diǎn)，但它們都有一個(gè)致命的缺陷:它們都依賴(lài)網(wǎng)絡(luò)地址來(lái)構(gòu)建和執(zhí)行策略。因此，他們不能通過(guò)允許的訪問(wèn)控制來(lái)區(qū)分好軟件和惡意軟件。

參見(jiàn):2G和3G網(wǎng)絡(luò)的安全漏洞將在未來(lái)幾年構(gòu)成風(fēng)險(xiǎn)(TechRepublic)

基于身份的控件使用不可變的加密身份來(lái)保護(hù)最多7個(gè)策略的任何段，而其他模型通常需要數(shù)千個(gè)策略，這可能會(huì)嚴(yán)重?fù)p害網(wǎng)絡(luò)性能。因?yàn)樗辉试S經(jīng)過(guò)認(rèn)證的軟件進(jìn)行通信——欺騙或修改的應(yīng)用程序不會(huì)擁有與真正的二進(jìn)制文件相同的身份——因此，只允許來(lái)自經(jīng)過(guò)認(rèn)證的機(jī)器和軟件的經(jīng)過(guò)認(rèn)證的通信。默認(rèn)情況下，其他一切都被阻止。因此，如果一個(gè)未經(jīng)授權(quán)的腳本或任何其他攻擊者獲得了立足點(diǎn)，他們將無(wú)法橫向移動(dòng)進(jìn)行任何破壞。

基于身份的策略是可移植的，因?yàn)樗鼈儜?yīng)用于工作負(fù)載級(jí)別而不是網(wǎng)絡(luò)級(jí)別。因此，無(wú)論工作負(fù)載運(yùn)行在何處——在premises、public cloud甚至在容器中——都受到保護(hù)。

身份顛覆了典型的安全腳本，因?yàn)榛谏矸莸牧阈湃侮P(guān)注的是已知的、已批準(zhǔn)的軟件和設(shè)備的積極身份，而不是淘汰壞的。默認(rèn)情況下，所有未標(biāo)識(shí)為“良好”的流量都被拒絕。

Scott Matteson:安全策略如何工作的一些主觀例子是什么?

Peter Smith:為了方便和管理，理想情況下，策略應(yīng)該盡可能少，而基于身份的零信任方法可以實(shí)現(xiàn)這一點(diǎn)。與跟蹤無(wú)限數(shù)量的威脅并創(chuàng)建策略來(lái)監(jiān)視它們不同，一種更簡(jiǎn)單、更易于管理的方法是為允許通信的內(nèi)容創(chuàng)建策略——數(shù)量要少得多——實(shí)際上創(chuàng)建了一個(gè)權(quán)限最小的環(huán)境。所有其他流量被認(rèn)為是不安全的或未經(jīng)授權(quán)的，因此，阻塞。

小的云配置錯(cuò)誤可能帶來(lái)大的安全風(fēng)險(xiǎn)

Peter Smith:在我們的環(huán)境中，部署微細(xì)分和創(chuàng)建零信任很簡(jiǎn)單。將安裝一個(gè)輕量級(jí)代理，它甚至不需要重新啟動(dòng)系統(tǒng)。在72小時(shí)內(nèi)，機(jī)器學(xué)習(xí)系統(tǒng)會(huì)創(chuàng)建一個(gè)應(yīng)用程序拓?fù)鋱D，并消除不必要的路徑來(lái)減少攻擊面，通常會(huì)導(dǎo)致90%的減少。在策略自動(dòng)構(gòu)建之后，運(yùn)營(yíng)商只需單擊一次，就可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行微分段，將典型的微分段部署時(shí)間從數(shù)月減少到幾分鐘，并且極大地降低了實(shí)現(xiàn)成本。

一旦部署，解決方案需要最少的關(guān)注。策略可以適應(yīng)普通的網(wǎng)絡(luò)變化，如應(yīng)用程序升級(jí)和自動(dòng)縮放。

Vonage全球技術(shù)運(yùn)營(yíng)主管史蒂夫?斯特拉特(Steve Strout)表示:“我們現(xiàn)在的情況是，我一個(gè)月只會(huì)看一兩次。”