2016-2022 All Rights Reserved.平安財經網.復制必究 聯系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯網 版權歸原作者所有。
網絡是一個具有挑戰(zhàn)性的領域,使用混合網絡或內部和外部子網的組合使其更具挑戰(zhàn)性?;诰W絡地址的安全控制在保護組織方面有著悠久而杰出的歷史,但它們也并非沒有某些限制。我與云安全組織Edgewise Networks的首席執(zhí)行官Peter Smith、網絡安全策略自動化提供商Tufin的首席技術官和聯合創(chuàng)始人Reuven Harrison、安全解決方案提供商Securonix的產品戰(zhàn)略和營銷高級副總裁Nitin Agale討論了這個概念。
Peter Smith:在云計算中,運營商對網絡的控制要少得多,而且地址是短暫的,所以管理基于地址的防火墻規(guī)則太復雜了。
對于內部網絡,組織越來越多地采用扁平的內部網絡,這使得網絡罪犯可以橫向移動(根據Carbon Black 2019年4月的威脅報告,目前70%的網絡攻擊都是橫向移動的)
網絡地址在現代網絡中是短暫的,特別是在云和容器環(huán)境中。因此,在操作上保持基于地址的策略是非常具有挑戰(zhàn)性的。網絡過度暴露的幾率很高,合法通信被無意中阻塞的幾率也很高——特別是在云或數據中心內的鎖定、最低權限的環(huán)境中。
還有安全問題,因為基于網絡地址的安全系統(tǒng)無法識別通信內容,這使得惡意軟件和其他攻擊很容易利用已批準的防火墻規(guī)則?!鞍踩钡刂?。例如,如果一個地址被允許通信,那么該特定主機上的任何軟件都可以使用已批準的策略——甚至是惡意軟件。
Reuven Harrison:傳統(tǒng)的基于網絡地址的安全控制在云上不那么有效。隨著一個組織從使用服務器和[基礎設施即服務]IaaS發(fā)展到更高級的云服務,如[平臺即服務]PaaS和[軟件即服務]SaaS, IP地址被從用戶那里抽象出來。例如,云中的存儲桶不與任何特定的IP地址相關聯。要為這類服務編寫安全策略,您需要使用標識和訪問管理策略(IAM),而不是安全組或防火墻。
此外,傳統(tǒng)上依賴子網和vlan來實現安全區(qū)域和分割(源自互聯網路由的原始設計),在現代軟件定義的網絡中已不再需要,它允許更細粒度的分割。
Nitin Agale:傳統(tǒng)的網絡控制是為了防止內部網絡中的壞人。假設數據位于內部網絡(數據中心)的服務器上。隨著云的轉變,這種情況將不復存在。因此,網絡控制是無效的。
隨著數據不斷遷移到云上,移動設備和安全控制也需要改變。在設計控件時,必須了解數據駐留在云中,并且可以使用多種類型的移動設備從任何地方訪問數據。
斯科特·馬特森:為什么會存在這些挑戰(zhàn)?
Peter Smith:存在這些挑戰(zhàn)是因為基于地址的安全性只關注如何通信,而不是什么通信,所以只要攻擊使用被認為“安全”的網絡路徑和協議,它就可以橫向移動而沒有任何障礙。
以下是與三種最常見的基于網絡地址的微細分和零信任方法相關的具體挑戰(zhàn):
NGFW(下一代防火墻):在這種模型中,它將基于第7層的網絡周邊防火墻設備用于劃分內部網絡。它提供了深度的數據包檢查,使其能夠提供比第3層和第4層防火墻更多的保護,但比基于軟件的替代方案昂貴得多,特別是當需要擴展能力以覆蓋不同的地理位置時。此外,檢查包中的協議永遠不能確切地告訴您什么軟件實際上在通信。
NGFWs在保護包含的工作負載方面效率較低,因為網絡是在設備的上下文中存在的,而NGFW作為設備則不是。由于虛擬設備的形式,它們也很難用于控制云中的東西流量,尤其是在AWS中。
SDN(軟件定義的網絡):在軟件定義的網絡中,防火墻被合并到網絡結構中,使其具有提供第2層隔離的獨特優(yōu)勢,否則基于主機的防火墻和類似的解決方案將不可用。它也比基于主機的防火墻更難繞過,因為您不能在主機級別關閉它。然而,SDNs需要更大的投資來提供普通的第3層和第4層防火墻之外的保護,這增加了總擁有成本。此外,它不能為容器或裸金屬云部署提供保護。
基于主機的防火墻編排:節(jié)省成本是一大優(yōu)勢,因為它內置在操作系統(tǒng)中,無處不在,而且提供廣泛的保護,包括設備之間的內部通信。在云中也很方便,因為有完善的方法來部署軟件,而這些方法對于設備的形式來說是不存在的。
參見:安全專家為保護自己的數據所做的4件重要事情(TechRepublic)
不幸的是,基于主機的防火墻編排只提供了第3層和第4層控制,沒有NGFW提供的第7層功能。然而,最大的缺點是,攻擊者可以利用已批準的主機防火墻規(guī)則。
Scott Matteson:為什么公司要轉移到扁平的內部網絡,而犧牲獨立的分段網絡的保護能力?
Peter Smith:維護一個平面網絡在操作上比維護一個分段網絡要簡單,分段網絡造價昂貴,管理和維護也極其復雜。平面網絡為管理員提供了易用性,因為它更容易控制進出流量(網絡流量的單點入口和出口),并且所有應用程序都可以更容易地與網絡上的任何其他應用程序或數據存儲進行通信。
不幸的是,這種方法也增加了攻擊面,因為它允許應用程序之間有更多不必要的可用路徑,每個路徑為滲透者在網絡中橫向移動提供了一種途徑。一旦攻擊者在環(huán)境中找到了立足點,就很難阻止他們橫向移動以危害整個網絡。
斯科特·馬特森:什么是橫向運動?
橫向移動威脅毫無疑問是今年組織機構面臨的最大網絡安全風險。
Peter Smith:另一種(更好的)選擇是使用基于軟件和機器身份的保護方法,也稱為零信任安全。根據不可變的、加密的指紋為每個工作負載創(chuàng)建身份,指紋由多個屬性(例如二進制文件的SHA-256散列或BIOS的UUID代碼)組成。通過這種方式,只有在驗證了軟件和設備的身份后才允許通信,從而阻止了所有未經授權的通信。
組織還應該根據設備、主機和工作負載本身的身份制定安全策略。這些身份可以使用每個工作負載的不可變、惟一和內在屬性來構建,例如二進制文件的SHA-256加密哈希、bios的通用唯一標識符(UUID)或處理器的序列號。
Reuven Harrison:使用標簽、標簽、安全組、FQDNs和url等身份,而不是IP地址來指定您的安全策略中的源和目的地。使用云本地安全控制,并依賴云提供商來執(zhí)行它們。當數據過于敏感而不能依賴云提供商時,添加您自己的加密安全性
Nitin Agale:分析和處理數據以確保在邊緣或SDN內部的安全性,對于優(yōu)化組織的安全性和成本至關重要。它提供了更多的實時數據分析,實現了快速響應行動,并通過避免跨網絡移動大量數據優(yōu)化了成本。
Peter Smith:盡管上述三種方法各有優(yōu)缺點,但它們都有一個致命的缺陷:它們都依賴網絡地址來構建和執(zhí)行策略。因此,他們不能通過允許的訪問控制來區(qū)分好軟件和惡意軟件。
參見:2G和3G網絡的安全漏洞將在未來幾年構成風險(TechRepublic)
基于身份的控件使用不可變的加密身份來保護最多7個策略的任何段,而其他模型通常需要數千個策略,這可能會嚴重損害網絡性能。因為它只允許經過認證的軟件進行通信——欺騙或修改的應用程序不會擁有與真正的二進制文件相同的身份——因此,只允許來自經過認證的機器和軟件的經過認證的通信。默認情況下,其他一切都被阻止。因此,如果一個未經授權的腳本或任何其他攻擊者獲得了立足點,他們將無法橫向移動進行任何破壞。
基于身份的策略是可移植的,因為它們應用于工作負載級別而不是網絡級別。因此,無論工作負載運行在何處——在premises、public cloud甚至在容器中——都受到保護。
身份顛覆了典型的安全腳本,因為基于身份的零信任關注的是已知的、已批準的軟件和設備的積極身份,而不是淘汰壞的。默認情況下,所有未標識為“良好”的流量都被拒絕。
Scott Matteson:安全策略如何工作的一些主觀例子是什么?
Peter Smith:為了方便和管理,理想情況下,策略應該盡可能少,而基于身份的零信任方法可以實現這一點。與跟蹤無限數量的威脅并創(chuàng)建策略來監(jiān)視它們不同,一種更簡單、更易于管理的方法是為允許通信的內容創(chuàng)建策略——數量要少得多——實際上創(chuàng)建了一個權限最小的環(huán)境。所有其他流量被認為是不安全的或未經授權的,因此,阻塞。
小的云配置錯誤可能帶來大的安全風險
Peter Smith:在我們的環(huán)境中,部署微細分和創(chuàng)建零信任很簡單。將安裝一個輕量級代理,它甚至不需要重新啟動系統(tǒng)。在72小時內,機器學習系統(tǒng)會創(chuàng)建一個應用程序拓撲圖,并消除不必要的路徑來減少攻擊面,通常會導致90%的減少。在策略自動構建之后,運營商只需單擊一次,就可以對整個網絡進行微分段,將典型的微分段部署時間從數月減少到幾分鐘,并且極大地降低了實現成本。
一旦部署,解決方案需要最少的關注。策略可以適應普通的網絡變化,如應用程序升級和自動縮放。
Vonage全球技術運營主管史蒂夫?斯特拉特(Steve Strout)表示:“我們現在的情況是,我一個月只會看一兩次?!?/p>
2016-2022 All Rights Reserved.平安財經網.復制必究 聯系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯網 版權歸原作者所有。