您的位置: 首頁(yè) >互聯(lián)網(wǎng) >

基于網(wǎng)絡(luò)安全如何實(shí)現(xiàn)挑戰(zhàn)

2020-06-04 15:25:13 編輯: 來(lái)源:
導(dǎo)讀 網(wǎng)絡(luò)是一個(gè)具有挑戰(zhàn)性的領(lǐng)域,使用混合網(wǎng)絡(luò)或內(nèi)部和外部子網(wǎng)的組合使其更具挑戰(zhàn)性?;诰W(wǎng)絡(luò)地址的安全控制在保護(hù)組織方面有著悠久而杰出的歷史,但它們也并非沒(méi)有某些限制。我與云安全組織Edgewise Networks的首席執(zhí)行官Peter Smith、網(wǎng)絡(luò)安全策略自動(dòng)化提供商Tufin的首席技術(shù)官和聯(lián)合創(chuàng)始人Reuven Harrison、安全解決方案提供商Securonix的產(chǎn)品戰(zhàn)略和營(yíng)銷高級(jí)副總裁N

網(wǎng)絡(luò)是一個(gè)具有挑戰(zhàn)性的領(lǐng)域,使用混合網(wǎng)絡(luò)或內(nèi)部和外部子網(wǎng)的組合使其更具挑戰(zhàn)性?;诰W(wǎng)絡(luò)地址的安全控制在保護(hù)組織方面有著悠久而杰出的歷史,但它們也并非沒(méi)有某些限制。我與云安全組織Edgewise Networks的首席執(zhí)行官Peter Smith、網(wǎng)絡(luò)安全策略自動(dòng)化提供商Tufin的首席技術(shù)官和聯(lián)合創(chuàng)始人Reuven Harrison、安全解決方案提供商Securonix的產(chǎn)品戰(zhàn)略和營(yíng)銷高級(jí)副總裁Nitin Agale討論了這個(gè)概念。

Peter Smith:在云計(jì)算中,運(yùn)營(yíng)商對(duì)網(wǎng)絡(luò)的控制要少得多,而且地址是短暫的,所以管理基于地址的防火墻規(guī)則太復(fù)雜了。

對(duì)于內(nèi)部網(wǎng)絡(luò),組織越來(lái)越多地采用扁平的內(nèi)部網(wǎng)絡(luò),這使得網(wǎng)絡(luò)罪犯可以橫向移動(dòng)(根據(jù)Carbon Black 2019年4月的威脅報(bào)告,目前70%的網(wǎng)絡(luò)攻擊都是橫向移動(dòng)的)

網(wǎng)絡(luò)地址在現(xiàn)代網(wǎng)絡(luò)中是短暫的,特別是在云和容器環(huán)境中。因此,在操作上保持基于地址的策略是非常具有挑戰(zhàn)性的。網(wǎng)絡(luò)過(guò)度暴露的幾率很高,合法通信被無(wú)意中阻塞的幾率也很高——特別是在云或數(shù)據(jù)中心內(nèi)的鎖定、最低權(quán)限的環(huán)境中。

還有安全問(wèn)題,因?yàn)榛诰W(wǎng)絡(luò)地址的安全系統(tǒng)無(wú)法識(shí)別通信內(nèi)容,這使得惡意軟件和其他攻擊很容易利用已批準(zhǔn)的防火墻規(guī)則。“安全”地址。例如,如果一個(gè)地址被允許通信,那么該特定主機(jī)上的任何軟件都可以使用已批準(zhǔn)的策略——甚至是惡意軟件。

Reuven Harrison:傳統(tǒng)的基于網(wǎng)絡(luò)地址的安全控制在云上不那么有效。隨著一個(gè)組織從使用服務(wù)器和[基礎(chǔ)設(shè)施即服務(wù)]IaaS發(fā)展到更高級(jí)的云服務(wù),如[平臺(tái)即服務(wù)]PaaS和[軟件即服務(wù)]SaaS, IP地址被從用戶那里抽象出來(lái)。例如,云中的存儲(chǔ)桶不與任何特定的IP地址相關(guān)聯(lián)。要為這類服務(wù)編寫安全策略,您需要使用標(biāo)識(shí)和訪問(wèn)管理策略(IAM),而不是安全組或防火墻。

此外,傳統(tǒng)上依賴子網(wǎng)和vlan來(lái)實(shí)現(xiàn)安全區(qū)域和分割(源自互聯(lián)網(wǎng)路由的原始設(shè)計(jì)),在現(xiàn)代軟件定義的網(wǎng)絡(luò)中已不再需要,它允許更細(xì)粒度的分割。

Nitin Agale:傳統(tǒng)的網(wǎng)絡(luò)控制是為了防止內(nèi)部網(wǎng)絡(luò)中的壞人。假設(shè)數(shù)據(jù)位于內(nèi)部網(wǎng)絡(luò)(數(shù)據(jù)中心)的服務(wù)器上。隨著云的轉(zhuǎn)變,這種情況將不復(fù)存在。因此,網(wǎng)絡(luò)控制是無(wú)效的。

隨著數(shù)據(jù)不斷遷移到云上,移動(dòng)設(shè)備和安全控制也需要改變。在設(shè)計(jì)控件時(shí),必須了解數(shù)據(jù)駐留在云中,并且可以使用多種類型的移動(dòng)設(shè)備從任何地方訪問(wèn)數(shù)據(jù)。

斯科特·馬特森:為什么會(huì)存在這些挑戰(zhàn)?

Peter Smith:存在這些挑戰(zhàn)是因?yàn)榛诘刂返陌踩灾魂P(guān)注如何通信,而不是什么通信,所以只要攻擊使用被認(rèn)為“安全”的網(wǎng)絡(luò)路徑和協(xié)議,它就可以橫向移動(dòng)而沒(méi)有任何障礙。

以下是與三種最常見(jiàn)的基于網(wǎng)絡(luò)地址的微細(xì)分和零信任方法相關(guān)的具體挑戰(zhàn):

NGFW(下一代防火墻):在這種模型中,它將基于第7層的網(wǎng)絡(luò)周邊防火墻設(shè)備用于劃分內(nèi)部網(wǎng)絡(luò)。它提供了深度的數(shù)據(jù)包檢查,使其能夠提供比第3層和第4層防火墻更多的保護(hù),但比基于軟件的替代方案昂貴得多,特別是當(dāng)需要擴(kuò)展能力以覆蓋不同的地理位置時(shí)。此外,檢查包中的協(xié)議永遠(yuǎn)不能確切地告訴您什么軟件實(shí)際上在通信。

NGFWs在保護(hù)包含的工作負(fù)載方面效率較低,因?yàn)榫W(wǎng)絡(luò)是在設(shè)備的上下文中存在的,而NGFW作為設(shè)備則不是。由于虛擬設(shè)備的形式,它們也很難用于控制云中的東西流量,尤其是在AWS中。

SDN(軟件定義的網(wǎng)絡(luò)):在軟件定義的網(wǎng)絡(luò)中,防火墻被合并到網(wǎng)絡(luò)結(jié)構(gòu)中,使其具有提供第2層隔離的獨(dú)特優(yōu)勢(shì),否則基于主機(jī)的防火墻和類似的解決方案將不可用。它也比基于主機(jī)的防火墻更難繞過(guò),因?yàn)槟荒茉谥鳈C(jī)級(jí)別關(guān)閉它。然而,SDNs需要更大的投資來(lái)提供普通的第3層和第4層防火墻之外的保護(hù),這增加了總擁有成本。此外,它不能為容器或裸金屬云部署提供保護(hù)。

基于主機(jī)的防火墻編排:節(jié)省成本是一大優(yōu)勢(shì),因?yàn)樗鼉?nèi)置在操作系統(tǒng)中,無(wú)處不在,而且提供廣泛的保護(hù),包括設(shè)備之間的內(nèi)部通信。在云中也很方便,因?yàn)橛型晟频姆椒▉?lái)部署軟件,而這些方法對(duì)于設(shè)備的形式來(lái)說(shuō)是不存在的。

參見(jiàn):安全專家為保護(hù)自己的數(shù)據(jù)所做的4件重要事情(TechRepublic)

不幸的是,基于主機(jī)的防火墻編排只提供了第3層和第4層控制,沒(méi)有NGFW提供的第7層功能。然而,最大的缺點(diǎn)是,攻擊者可以利用已批準(zhǔn)的主機(jī)防火墻規(guī)則。

Scott Matteson:為什么公司要轉(zhuǎn)移到扁平的內(nèi)部網(wǎng)絡(luò),而犧牲獨(dú)立的分段網(wǎng)絡(luò)的保護(hù)能力?

Peter Smith:維護(hù)一個(gè)平面網(wǎng)絡(luò)在操作上比維護(hù)一個(gè)分段網(wǎng)絡(luò)要簡(jiǎn)單,分段網(wǎng)絡(luò)造價(jià)昂貴,管理和維護(hù)也極其復(fù)雜。平面網(wǎng)絡(luò)為管理員提供了易用性,因?yàn)樗菀卓刂七M(jìn)出流量(網(wǎng)絡(luò)流量的單點(diǎn)入口和出口),并且所有應(yīng)用程序都可以更容易地與網(wǎng)絡(luò)上的任何其他應(yīng)用程序或數(shù)據(jù)存儲(chǔ)進(jìn)行通信。

不幸的是,這種方法也增加了攻擊面,因?yàn)樗试S應(yīng)用程序之間有更多不必要的可用路徑,每個(gè)路徑為滲透者在網(wǎng)絡(luò)中橫向移動(dòng)提供了一種途徑。一旦攻擊者在環(huán)境中找到了立足點(diǎn),就很難阻止他們橫向移動(dòng)以危害整個(gè)網(wǎng)絡(luò)。

斯科特·馬特森:什么是橫向運(yùn)動(dòng)?


橫向移動(dòng)威脅毫無(wú)疑問(wèn)是今年組織機(jī)構(gòu)面臨的最大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

Peter Smith:另一種(更好的)選擇是使用基于軟件和機(jī)器身份的保護(hù)方法,也稱為零信任安全。根據(jù)不可變的、加密的指紋為每個(gè)工作負(fù)載創(chuàng)建身份,指紋由多個(gè)屬性(例如二進(jìn)制文件的SHA-256散列或BIOS的UUID代碼)組成。通過(guò)這種方式,只有在驗(yàn)證了軟件和設(shè)備的身份后才允許通信,從而阻止了所有未經(jīng)授權(quán)的通信。

組織還應(yīng)該根據(jù)設(shè)備、主機(jī)和工作負(fù)載本身的身份制定安全策略。這些身份可以使用每個(gè)工作負(fù)載的不可變、惟一和內(nèi)在屬性來(lái)構(gòu)建,例如二進(jìn)制文件的SHA-256加密哈希、bios的通用唯一標(biāo)識(shí)符(UUID)或處理器的序列號(hào)。

Reuven Harrison:使用標(biāo)簽、標(biāo)簽、安全組、FQDNs和url等身份,而不是IP地址來(lái)指定您的安全策略中的源和目的地。使用云本地安全控制,并依賴云提供商來(lái)執(zhí)行它們。當(dāng)數(shù)據(jù)過(guò)于敏感而不能依賴云提供商時(shí),添加您自己的加密安全性

Nitin Agale:分析和處理數(shù)據(jù)以確保在邊緣或SDN內(nèi)部的安全性,對(duì)于優(yōu)化組織的安全性和成本至關(guān)重要。它提供了更多的實(shí)時(shí)數(shù)據(jù)分析,實(shí)現(xiàn)了快速響應(yīng)行動(dòng),并通過(guò)避免跨網(wǎng)絡(luò)移動(dòng)大量數(shù)據(jù)優(yōu)化了成本。

Peter Smith:盡管上述三種方法各有優(yōu)缺點(diǎn),但它們都有一個(gè)致命的缺陷:它們都依賴網(wǎng)絡(luò)地址來(lái)構(gòu)建和執(zhí)行策略。因此,他們不能通過(guò)允許的訪問(wèn)控制來(lái)區(qū)分好軟件和惡意軟件。

參見(jiàn):2G和3G網(wǎng)絡(luò)的安全漏洞將在未來(lái)幾年構(gòu)成風(fēng)險(xiǎn)(TechRepublic)

基于身份的控件使用不可變的加密身份來(lái)保護(hù)最多7個(gè)策略的任何段,而其他模型通常需要數(shù)千個(gè)策略,這可能會(huì)嚴(yán)重?fù)p害網(wǎng)絡(luò)性能。因?yàn)樗辉试S經(jīng)過(guò)認(rèn)證的軟件進(jìn)行通信——欺騙或修改的應(yīng)用程序不會(huì)擁有與真正的二進(jìn)制文件相同的身份——因此,只允許來(lái)自經(jīng)過(guò)認(rèn)證的機(jī)器和軟件的經(jīng)過(guò)認(rèn)證的通信。默認(rèn)情況下,其他一切都被阻止。因此,如果一個(gè)未經(jīng)授權(quán)的腳本或任何其他攻擊者獲得了立足點(diǎn),他們將無(wú)法橫向移動(dòng)進(jìn)行任何破壞。

基于身份的策略是可移植的,因?yàn)樗鼈儜?yīng)用于工作負(fù)載級(jí)別而不是網(wǎng)絡(luò)級(jí)別。因此,無(wú)論工作負(fù)載運(yùn)行在何處——在premises、public cloud甚至在容器中——都受到保護(hù)。

身份顛覆了典型的安全腳本,因?yàn)榛谏矸莸牧阈湃侮P(guān)注的是已知的、已批準(zhǔn)的軟件和設(shè)備的積極身份,而不是淘汰壞的。默認(rèn)情況下,所有未標(biāo)識(shí)為“良好”的流量都被拒絕。

Scott Matteson:安全策略如何工作的一些主觀例子是什么?

Peter Smith:為了方便和管理,理想情況下,策略應(yīng)該盡可能少,而基于身份的零信任方法可以實(shí)現(xiàn)這一點(diǎn)。與跟蹤無(wú)限數(shù)量的威脅并創(chuàng)建策略來(lái)監(jiān)視它們不同,一種更簡(jiǎn)單、更易于管理的方法是為允許通信的內(nèi)容創(chuàng)建策略——數(shù)量要少得多——實(shí)際上創(chuàng)建了一個(gè)權(quán)限最小的環(huán)境。所有其他流量被認(rèn)為是不安全的或未經(jīng)授權(quán)的,因此,阻塞。

小的云配置錯(cuò)誤可能帶來(lái)大的安全風(fēng)險(xiǎn)


Peter Smith:在我們的環(huán)境中,部署微細(xì)分和創(chuàng)建零信任很簡(jiǎn)單。將安裝一個(gè)輕量級(jí)代理,它甚至不需要重新啟動(dòng)系統(tǒng)。在72小時(shí)內(nèi),機(jī)器學(xué)習(xí)系統(tǒng)會(huì)創(chuàng)建一個(gè)應(yīng)用程序拓?fù)鋱D,并消除不必要的路徑來(lái)減少攻擊面,通常會(huì)導(dǎo)致90%的減少。在策略自動(dòng)構(gòu)建之后,運(yùn)營(yíng)商只需單擊一次,就可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行微分段,將典型的微分段部署時(shí)間從數(shù)月減少到幾分鐘,并且極大地降低了實(shí)現(xiàn)成本。

一旦部署,解決方案需要最少的關(guān)注。策略可以適應(yīng)普通的網(wǎng)絡(luò)變化,如應(yīng)用程序升級(jí)和自動(dòng)縮放。

Vonage全球技術(shù)運(yùn)營(yíng)主管史蒂夫?斯特拉特(Steve Strout)表示:“我們現(xiàn)在的情況是,我一個(gè)月只會(huì)看一兩次?!?/p>



免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。