您的位置: 首頁 >互聯(lián)網(wǎng) >

基于網(wǎng)絡(luò)安全如何實現(xiàn)挑戰(zhàn)

2020-06-04 15:25:13 編輯: 來源:
導(dǎo)讀 網(wǎng)絡(luò)是一個具有挑戰(zhàn)性的領(lǐng)域,使用混合網(wǎng)絡(luò)或內(nèi)部和外部子網(wǎng)的組合使其更具挑戰(zhàn)性?;诰W(wǎng)絡(luò)地址的安全控制在保護組織方面有著悠久而杰出的歷史,但它們也并非沒有某些限制。我與云安全組織Edgewise Networks的首席執(zhí)行官Peter Smith、網(wǎng)絡(luò)安全策略自動化提供商Tufin的首席技術(shù)官和聯(lián)合創(chuàng)始人Reuven Harrison、安全解決方案提供商Securonix的產(chǎn)品戰(zhàn)略和營銷高級副總裁N

網(wǎng)絡(luò)是一個具有挑戰(zhàn)性的領(lǐng)域,使用混合網(wǎng)絡(luò)或內(nèi)部和外部子網(wǎng)的組合使其更具挑戰(zhàn)性?;诰W(wǎng)絡(luò)地址的安全控制在保護組織方面有著悠久而杰出的歷史,但它們也并非沒有某些限制。我與云安全組織Edgewise Networks的首席執(zhí)行官Peter Smith、網(wǎng)絡(luò)安全策略自動化提供商Tufin的首席技術(shù)官和聯(lián)合創(chuàng)始人Reuven Harrison、安全解決方案提供商Securonix的產(chǎn)品戰(zhàn)略和營銷高級副總裁Nitin Agale討論了這個概念。

Peter Smith:在云計算中,運營商對網(wǎng)絡(luò)的控制要少得多,而且地址是短暫的,所以管理基于地址的防火墻規(guī)則太復(fù)雜了。

對于內(nèi)部網(wǎng)絡(luò),組織越來越多地采用扁平的內(nèi)部網(wǎng)絡(luò),這使得網(wǎng)絡(luò)罪犯可以橫向移動(根據(jù)Carbon Black 2019年4月的威脅報告,目前70%的網(wǎng)絡(luò)攻擊都是橫向移動的)

網(wǎng)絡(luò)地址在現(xiàn)代網(wǎng)絡(luò)中是短暫的,特別是在云和容器環(huán)境中。因此,在操作上保持基于地址的策略是非常具有挑戰(zhàn)性的。網(wǎng)絡(luò)過度暴露的幾率很高,合法通信被無意中阻塞的幾率也很高——特別是在云或數(shù)據(jù)中心內(nèi)的鎖定、最低權(quán)限的環(huán)境中。

還有安全問題,因為基于網(wǎng)絡(luò)地址的安全系統(tǒng)無法識別通信內(nèi)容,這使得惡意軟件和其他攻擊很容易利用已批準的防火墻規(guī)則?!鞍踩钡刂?。例如,如果一個地址被允許通信,那么該特定主機上的任何軟件都可以使用已批準的策略——甚至是惡意軟件。

Reuven Harrison:傳統(tǒng)的基于網(wǎng)絡(luò)地址的安全控制在云上不那么有效。隨著一個組織從使用服務(wù)器和[基礎(chǔ)設(shè)施即服務(wù)]IaaS發(fā)展到更高級的云服務(wù),如[平臺即服務(wù)]PaaS和[軟件即服務(wù)]SaaS, IP地址被從用戶那里抽象出來。例如,云中的存儲桶不與任何特定的IP地址相關(guān)聯(lián)。要為這類服務(wù)編寫安全策略,您需要使用標識和訪問管理策略(IAM),而不是安全組或防火墻。

此外,傳統(tǒng)上依賴子網(wǎng)和vlan來實現(xiàn)安全區(qū)域和分割(源自互聯(lián)網(wǎng)路由的原始設(shè)計),在現(xiàn)代軟件定義的網(wǎng)絡(luò)中已不再需要,它允許更細粒度的分割。

Nitin Agale:傳統(tǒng)的網(wǎng)絡(luò)控制是為了防止內(nèi)部網(wǎng)絡(luò)中的壞人。假設(shè)數(shù)據(jù)位于內(nèi)部網(wǎng)絡(luò)(數(shù)據(jù)中心)的服務(wù)器上。隨著云的轉(zhuǎn)變,這種情況將不復(fù)存在。因此,網(wǎng)絡(luò)控制是無效的。

隨著數(shù)據(jù)不斷遷移到云上,移動設(shè)備和安全控制也需要改變。在設(shè)計控件時,必須了解數(shù)據(jù)駐留在云中,并且可以使用多種類型的移動設(shè)備從任何地方訪問數(shù)據(jù)。

斯科特·馬特森:為什么會存在這些挑戰(zhàn)?

Peter Smith:存在這些挑戰(zhàn)是因為基于地址的安全性只關(guān)注如何通信,而不是什么通信,所以只要攻擊使用被認為“安全”的網(wǎng)絡(luò)路徑和協(xié)議,它就可以橫向移動而沒有任何障礙。

以下是與三種最常見的基于網(wǎng)絡(luò)地址的微細分和零信任方法相關(guān)的具體挑戰(zhàn):

NGFW(下一代防火墻):在這種模型中,它將基于第7層的網(wǎng)絡(luò)周邊防火墻設(shè)備用于劃分內(nèi)部網(wǎng)絡(luò)。它提供了深度的數(shù)據(jù)包檢查,使其能夠提供比第3層和第4層防火墻更多的保護,但比基于軟件的替代方案昂貴得多,特別是當需要擴展能力以覆蓋不同的地理位置時。此外,檢查包中的協(xié)議永遠不能確切地告訴您什么軟件實際上在通信。

NGFWs在保護包含的工作負載方面效率較低,因為網(wǎng)絡(luò)是在設(shè)備的上下文中存在的,而NGFW作為設(shè)備則不是。由于虛擬設(shè)備的形式,它們也很難用于控制云中的東西流量,尤其是在AWS中。

SDN(軟件定義的網(wǎng)絡(luò)):在軟件定義的網(wǎng)絡(luò)中,防火墻被合并到網(wǎng)絡(luò)結(jié)構(gòu)中,使其具有提供第2層隔離的獨特優(yōu)勢,否則基于主機的防火墻和類似的解決方案將不可用。它也比基于主機的防火墻更難繞過,因為您不能在主機級別關(guān)閉它。然而,SDNs需要更大的投資來提供普通的第3層和第4層防火墻之外的保護,這增加了總擁有成本。此外,它不能為容器或裸金屬云部署提供保護。

基于主機的防火墻編排:節(jié)省成本是一大優(yōu)勢,因為它內(nèi)置在操作系統(tǒng)中,無處不在,而且提供廣泛的保護,包括設(shè)備之間的內(nèi)部通信。在云中也很方便,因為有完善的方法來部署軟件,而這些方法對于設(shè)備的形式來說是不存在的。

參見:安全專家為保護自己的數(shù)據(jù)所做的4件重要事情(TechRepublic)

不幸的是,基于主機的防火墻編排只提供了第3層和第4層控制,沒有NGFW提供的第7層功能。然而,最大的缺點是,攻擊者可以利用已批準的主機防火墻規(guī)則。

Scott Matteson:為什么公司要轉(zhuǎn)移到扁平的內(nèi)部網(wǎng)絡(luò),而犧牲獨立的分段網(wǎng)絡(luò)的保護能力?

Peter Smith:維護一個平面網(wǎng)絡(luò)在操作上比維護一個分段網(wǎng)絡(luò)要簡單,分段網(wǎng)絡(luò)造價昂貴,管理和維護也極其復(fù)雜。平面網(wǎng)絡(luò)為管理員提供了易用性,因為它更容易控制進出流量(網(wǎng)絡(luò)流量的單點入口和出口),并且所有應(yīng)用程序都可以更容易地與網(wǎng)絡(luò)上的任何其他應(yīng)用程序或數(shù)據(jù)存儲進行通信。

不幸的是,這種方法也增加了攻擊面,因為它允許應(yīng)用程序之間有更多不必要的可用路徑,每個路徑為滲透者在網(wǎng)絡(luò)中橫向移動提供了一種途徑。一旦攻擊者在環(huán)境中找到了立足點,就很難阻止他們橫向移動以危害整個網(wǎng)絡(luò)。

斯科特·馬特森:什么是橫向運動?


橫向移動威脅毫無疑問是今年組織機構(gòu)面臨的最大網(wǎng)絡(luò)安全風(fēng)險。

Peter Smith:另一種(更好的)選擇是使用基于軟件和機器身份的保護方法,也稱為零信任安全。根據(jù)不可變的、加密的指紋為每個工作負載創(chuàng)建身份,指紋由多個屬性(例如二進制文件的SHA-256散列或BIOS的UUID代碼)組成。通過這種方式,只有在驗證了軟件和設(shè)備的身份后才允許通信,從而阻止了所有未經(jīng)授權(quán)的通信。

組織還應(yīng)該根據(jù)設(shè)備、主機和工作負載本身的身份制定安全策略。這些身份可以使用每個工作負載的不可變、惟一和內(nèi)在屬性來構(gòu)建,例如二進制文件的SHA-256加密哈希、bios的通用唯一標識符(UUID)或處理器的序列號。

Reuven Harrison:使用標簽、標簽、安全組、FQDNs和url等身份,而不是IP地址來指定您的安全策略中的源和目的地。使用云本地安全控制,并依賴云提供商來執(zhí)行它們。當數(shù)據(jù)過于敏感而不能依賴云提供商時,添加您自己的加密安全性

Nitin Agale:分析和處理數(shù)據(jù)以確保在邊緣或SDN內(nèi)部的安全性,對于優(yōu)化組織的安全性和成本至關(guān)重要。它提供了更多的實時數(shù)據(jù)分析,實現(xiàn)了快速響應(yīng)行動,并通過避免跨網(wǎng)絡(luò)移動大量數(shù)據(jù)優(yōu)化了成本。

Peter Smith:盡管上述三種方法各有優(yōu)缺點,但它們都有一個致命的缺陷:它們都依賴網(wǎng)絡(luò)地址來構(gòu)建和執(zhí)行策略。因此,他們不能通過允許的訪問控制來區(qū)分好軟件和惡意軟件。

參見:2G和3G網(wǎng)絡(luò)的安全漏洞將在未來幾年構(gòu)成風(fēng)險(TechRepublic)

基于身份的控件使用不可變的加密身份來保護最多7個策略的任何段,而其他模型通常需要數(shù)千個策略,這可能會嚴重損害網(wǎng)絡(luò)性能。因為它只允許經(jīng)過認證的軟件進行通信——欺騙或修改的應(yīng)用程序不會擁有與真正的二進制文件相同的身份——因此,只允許來自經(jīng)過認證的機器和軟件的經(jīng)過認證的通信。默認情況下,其他一切都被阻止。因此,如果一個未經(jīng)授權(quán)的腳本或任何其他攻擊者獲得了立足點,他們將無法橫向移動進行任何破壞。

基于身份的策略是可移植的,因為它們應(yīng)用于工作負載級別而不是網(wǎng)絡(luò)級別。因此,無論工作負載運行在何處——在premises、public cloud甚至在容器中——都受到保護。

身份顛覆了典型的安全腳本,因為基于身份的零信任關(guān)注的是已知的、已批準的軟件和設(shè)備的積極身份,而不是淘汰壞的。默認情況下,所有未標識為“良好”的流量都被拒絕。

Scott Matteson:安全策略如何工作的一些主觀例子是什么?

Peter Smith:為了方便和管理,理想情況下,策略應(yīng)該盡可能少,而基于身份的零信任方法可以實現(xiàn)這一點。與跟蹤無限數(shù)量的威脅并創(chuàng)建策略來監(jiān)視它們不同,一種更簡單、更易于管理的方法是為允許通信的內(nèi)容創(chuàng)建策略——數(shù)量要少得多——實際上創(chuàng)建了一個權(quán)限最小的環(huán)境。所有其他流量被認為是不安全的或未經(jīng)授權(quán)的,因此,阻塞。

小的云配置錯誤可能帶來大的安全風(fēng)險


Peter Smith:在我們的環(huán)境中,部署微細分和創(chuàng)建零信任很簡單。將安裝一個輕量級代理,它甚至不需要重新啟動系統(tǒng)。在72小時內(nèi),機器學(xué)習(xí)系統(tǒng)會創(chuàng)建一個應(yīng)用程序拓撲圖,并消除不必要的路徑來減少攻擊面,通常會導(dǎo)致90%的減少。在策略自動構(gòu)建之后,運營商只需單擊一次,就可以對整個網(wǎng)絡(luò)進行微分段,將典型的微分段部署時間從數(shù)月減少到幾分鐘,并且極大地降低了實現(xiàn)成本。

一旦部署,解決方案需要最少的關(guān)注。策略可以適應(yīng)普通的網(wǎng)絡(luò)變化,如應(yīng)用程序升級和自動縮放。

Vonage全球技術(shù)運營主管史蒂夫?斯特拉特(Steve Strout)表示:“我們現(xiàn)在的情況是,我一個月只會看一兩次。”



免責聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。