信息化觀察網(wǎng)

網(wǎng)絡(luò)是一個具有挑戰(zhàn)性的領(lǐng)域，使用混合網(wǎng)絡(luò)或內(nèi)部和外部子網(wǎng)的組合使其更具挑戰(zhàn)性?；诰W(wǎng)絡(luò)地址的安全控制在保護組織方面有著悠久而杰出的歷史，但它們也并非沒有某些限制。我與云安全組織Edgewise Networks的首席執(zhí)行官Peter Smith、網(wǎng)絡(luò)安全策略自動化提供商Tufin的首席技術(shù)官和聯(lián)合創(chuàng)始人Reuven Harrison、安全解決方案提供商Securonix的產(chǎn)品戰(zhàn)略和營銷高級副總裁Nitin Agale討論了這個概念。

Peter Smith:在云計算中，運營商對網(wǎng)絡(luò)的控制要少得多，而且地址是短暫的，所以管理基于地址的防火墻規(guī)則太復(fù)雜了。

對于內(nèi)部網(wǎng)絡(luò)，組織越來越多地采用扁平的內(nèi)部網(wǎng)絡(luò)，這使得網(wǎng)絡(luò)罪犯可以橫向移動(根據(jù)Carbon Black 2019年4月的威脅報告，目前70%的網(wǎng)絡(luò)攻擊都是橫向移動的)

網(wǎng)絡(luò)地址在現(xiàn)代網(wǎng)絡(luò)中是短暫的，特別是在云和容器環(huán)境中。因此，在操作上保持基于地址的策略是非常具有挑戰(zhàn)性的。網(wǎng)絡(luò)過度暴露的幾率很高，合法通信被無意中阻塞的幾率也很高——特別是在云或數(shù)據(jù)中心內(nèi)的鎖定、最低權(quán)限的環(huán)境中。

還有安全問題，因為基于網(wǎng)絡(luò)地址的安全系統(tǒng)無法識別通信內(nèi)容，這使得惡意軟件和其他攻擊很容易利用已批準的防火墻規(guī)則。“安全”地址。例如，如果一個地址被允許通信，那么該特定主機上的任何軟件都可以使用已批準的策略——甚至是惡意軟件。

Reuven Harrison:傳統(tǒng)的基于網(wǎng)絡(luò)地址的安全控制在云上不那么有效。隨著一個組織從使用服務(wù)器和[基礎(chǔ)設(shè)施即服務(wù)]IaaS發(fā)展到更高級的云服務(wù)，如[平臺即服務(wù)]PaaS和[軟件即服務(wù)]SaaS, IP地址被從用戶那里抽象出來。例如，云中的存儲桶不與任何特定的IP地址相關(guān)聯(lián)。要為這類服務(wù)編寫安全策略，您需要使用標識和訪問管理策略(IAM)，而不是安全組或防火墻。

此外，傳統(tǒng)上依賴子網(wǎng)和vlan來實現(xiàn)安全區(qū)域和分割(源自互聯(lián)網(wǎng)路由的原始設(shè)計)，在現(xiàn)代軟件定義的網(wǎng)絡(luò)中已不再需要，它允許更細粒度的分割。

Nitin Agale:傳統(tǒng)的網(wǎng)絡(luò)控制是為了防止內(nèi)部網(wǎng)絡(luò)中的壞人。假設(shè)數(shù)據(jù)位于內(nèi)部網(wǎng)絡(luò)(數(shù)據(jù)中心)的服務(wù)器上。隨著云的轉(zhuǎn)變，這種情況將不復(fù)存在。因此，網(wǎng)絡(luò)控制是無效的。

隨著數(shù)據(jù)不斷遷移到云上，移動設(shè)備和安全控制也需要改變。在設(shè)計控件時，必須了解數(shù)據(jù)駐留在云中，并且可以使用多種類型的移動設(shè)備從任何地方訪問數(shù)據(jù)。

斯科特·馬特森:為什么會存在這些挑戰(zhàn)?

Peter Smith:存在這些挑戰(zhàn)是因為基于地址的安全性只關(guān)注如何通信，而不是什么通信，所以只要攻擊使用被認為“安全”的網(wǎng)絡(luò)路徑和協(xié)議，它就可以橫向移動而沒有任何障礙。

以下是與三種最常見的基于網(wǎng)絡(luò)地址的微細分和零信任方法相關(guān)的具體挑戰(zhàn):

NGFW(下一代防火墻):在這種模型中，它將基于第7層的網(wǎng)絡(luò)周邊防火墻設(shè)備用于劃分內(nèi)部網(wǎng)絡(luò)。它提供了深度的數(shù)據(jù)包檢查，使其能夠提供比第3層和第4層防火墻更多的保護，但比基于軟件的替代方案昂貴得多，特別是當(dāng)需要擴展能力以覆蓋不同的地理位置時。此外，檢查包中的協(xié)議永遠不能確切地告訴您什么軟件實際上在通信。

NGFWs在保護包含的工作負載方面效率較低，因為網(wǎng)絡(luò)是在設(shè)備的上下文中存在的，而NGFW作為設(shè)備則不是。由于虛擬設(shè)備的形式，它們也很難用于控制云中的東西流量，尤其是在AWS中。

SDN(軟件定義的網(wǎng)絡(luò)):在軟件定義的網(wǎng)絡(luò)中，防火墻被合并到網(wǎng)絡(luò)結(jié)構(gòu)中，使其具有提供第2層隔離的獨特優(yōu)勢，否則基于主機的防火墻和類似的解決方案將不可用。它也比基于主機的防火墻更難繞過，因為您不能在主機級別關(guān)閉它。然而，SDNs需要更大的投資來提供普通的第3層和第4層防火墻之外的保護，這增加了總擁有成本。此外，它不能為容器或裸金屬云部署提供保護。

基于主機的防火墻編排:節(jié)省成本是一大優(yōu)勢，因為它內(nèi)置在操作系統(tǒng)中，無處不在，而且提供廣泛的保護，包括設(shè)備之間的內(nèi)部通信。在云中也很方便，因為有完善的方法來部署軟件，而這些方法對于設(shè)備的形式來說是不存在的。

參見:安全專家為保護自己的數(shù)據(jù)所做的4件重要事情(TechRepublic)

不幸的是，基于主機的防火墻編排只提供了第3層和第4層控制，沒有NGFW提供的第7層功能。然而，最大的缺點是，攻擊者可以利用已批準的主機防火墻規(guī)則。

Scott Matteson:為什么公司要轉(zhuǎn)移到扁平的內(nèi)部網(wǎng)絡(luò)，而犧牲獨立的分段網(wǎng)絡(luò)的保護能力?

Peter Smith:維護一個平面網(wǎng)絡(luò)在操作上比維護一個分段網(wǎng)絡(luò)要簡單，分段網(wǎng)絡(luò)造價昂貴，管理和維護也極其復(fù)雜。平面網(wǎng)絡(luò)為管理員提供了易用性，因為它更容易控制進出流量(網(wǎng)絡(luò)流量的單點入口和出口)，并且所有應(yīng)用程序都可以更容易地與網(wǎng)絡(luò)上的任何其他應(yīng)用程序或數(shù)據(jù)存儲進行通信。

不幸的是，這種方法也增加了攻擊面，因為它允許應(yīng)用程序之間有更多不必要的可用路徑，每個路徑為滲透者在網(wǎng)絡(luò)中橫向移動提供了一種途徑。一旦攻擊者在環(huán)境中找到了立足點，就很難阻止他們橫向移動以危害整個網(wǎng)絡(luò)。

斯科特·馬特森:什么是橫向運動?

橫向移動威脅毫無疑問是今年組織機構(gòu)面臨的最大網(wǎng)絡(luò)安全風(fēng)險。

Peter Smith:另一種(更好的)選擇是使用基于軟件和機器身份的保護方法，也稱為零信任安全。根據(jù)不可變的、加密的指紋為每個工作負載創(chuàng)建身份，指紋由多個屬性(例如二進制文件的SHA-256散列或BIOS的UUID代碼)組成。通過這種方式，只有在驗證了軟件和設(shè)備的身份后才允許通信，從而阻止了所有未經(jīng)授權(quán)的通信。

組織還應(yīng)該根據(jù)設(shè)備、主機和工作負載本身的身份制定安全策略。這些身份可以使用每個工作負載的不可變、惟一和內(nèi)在屬性來構(gòu)建，例如二進制文件的SHA-256加密哈希、bios的通用唯一標識符(UUID)或處理器的序列號。

Reuven Harrison:使用標簽、標簽、安全組、FQDNs和url等身份，而不是IP地址來指定您的安全策略中的源和目的地。使用云本地安全控制，并依賴云提供商來執(zhí)行它們。當(dāng)數(shù)據(jù)過于敏感而不能依賴云提供商時，添加您自己的加密安全性

Nitin Agale:分析和處理數(shù)據(jù)以確保在邊緣或SDN內(nèi)部的安全性，對于優(yōu)化組織的安全性和成本至關(guān)重要。它提供了更多的實時數(shù)據(jù)分析，實現(xiàn)了快速響應(yīng)行動，并通過避免跨網(wǎng)絡(luò)移動大量數(shù)據(jù)優(yōu)化了成本。

Peter Smith:盡管上述三種方法各有優(yōu)缺點，但它們都有一個致命的缺陷:它們都依賴網(wǎng)絡(luò)地址來構(gòu)建和執(zhí)行策略。因此，他們不能通過允許的訪問控制來區(qū)分好軟件和惡意軟件。

參見:2G和3G網(wǎng)絡(luò)的安全漏洞將在未來幾年構(gòu)成風(fēng)險(TechRepublic)

基于身份的控件使用不可變的加密身份來保護最多7個策略的任何段，而其他模型通常需要數(shù)千個策略，這可能會嚴重損害網(wǎng)絡(luò)性能。因為它只允許經(jīng)過認證的軟件進行通信——欺騙或修改的應(yīng)用程序不會擁有與真正的二進制文件相同的身份——因此，只允許來自經(jīng)過認證的機器和軟件的經(jīng)過認證的通信。默認情況下，其他一切都被阻止。因此，如果一個未經(jīng)授權(quán)的腳本或任何其他攻擊者獲得了立足點，他們將無法橫向移動進行任何破壞。

基于身份的策略是可移植的，因為它們應(yīng)用于工作負載級別而不是網(wǎng)絡(luò)級別。因此，無論工作負載運行在何處——在premises、public cloud甚至在容器中——都受到保護。

身份顛覆了典型的安全腳本，因為基于身份的零信任關(guān)注的是已知的、已批準的軟件和設(shè)備的積極身份，而不是淘汰壞的。默認情況下，所有未標識為“良好”的流量都被拒絕。

Scott Matteson:安全策略如何工作的一些主觀例子是什么?

Peter Smith:為了方便和管理，理想情況下，策略應(yīng)該盡可能少，而基于身份的零信任方法可以實現(xiàn)這一點。與跟蹤無限數(shù)量的威脅并創(chuàng)建策略來監(jiān)視它們不同，一種更簡單、更易于管理的方法是為允許通信的內(nèi)容創(chuàng)建策略——數(shù)量要少得多——實際上創(chuàng)建了一個權(quán)限最小的環(huán)境。所有其他流量被認為是不安全的或未經(jīng)授權(quán)的，因此，阻塞。

小的云配置錯誤可能帶來大的安全風(fēng)險

Peter Smith:在我們的環(huán)境中，部署微細分和創(chuàng)建零信任很簡單。將安裝一個輕量級代理，它甚至不需要重新啟動系統(tǒng)。在72小時內(nèi)，機器學(xué)習(xí)系統(tǒng)會創(chuàng)建一個應(yīng)用程序拓撲圖，并消除不必要的路徑來減少攻擊面，通常會導(dǎo)致90%的減少。在策略自動構(gòu)建之后，運營商只需單擊一次，就可以對整個網(wǎng)絡(luò)進行微分段，將典型的微分段部署時間從數(shù)月減少到幾分鐘，并且極大地降低了實現(xiàn)成本。

一旦部署，解決方案需要最少的關(guān)注。策略可以適應(yīng)普通的網(wǎng)絡(luò)變化，如應(yīng)用程序升級和自動縮放。

Vonage全球技術(shù)運營主管史蒂夫?斯特拉特(Steve Strout)表示:“我們現(xiàn)在的情況是，我一個月只會看一兩次。”