细谈微隔离技术

2020 年 6 月 18 日

细谈微隔离技术


今天,越来越关注攻防对抗实战防护能力,零信任网络越来越火,但是我们重新审视按照这些新理念构建的纵深防御体系,结果发现问题依然重重。在堆砌了大量安全产品后,企业依然发现在资产管理、漏洞安全运营到内部隔离等基础安全工作上跟不上安全态势的变化。


以隔离为例。当攻击者有机会拿到内网一个跳板机,结果发现内网网络基本是畅通的。在这两年的攻防对抗演练活动中,暴露出的这个问题尤为明显——原来奉行的内网基本安全策略在攻防对抗中被“打”的体无完肤;同时,随着内部网络的架构从传统 IT 架构向虚拟化、混合云和容器化升级变迁,企业发现内部隔离不再是一件容易的事情。为了适应攻防对抗防护的要求、为了满足新的 IT 架构的要求,我们不得不再重新分析和审视隔离的重要性。


一、什么是微隔离?


网络隔离并不是新概念,而微隔离技术(Micro-Segmentation)是 VMware 在应对虚拟化隔离技术时提出来的,但真正让微隔离备受关注是微隔离技术从 2016 年起连续 3 年都进入 Gartner 年度安全技术榜单。在 2016 年的 Gartner 安全与风险管理峰会上,Gartner 副总裁、知名分析师 Neil MacDonald 提出微隔离技术的概念。安全解决方案应当为企业提供流量的可见性和监控。可视化工具可以让安全运维与管理人员了解内部网络信息流动的情况,使得微隔离能够更好地设置策略并协助纠偏。



从微隔离概念和技术诞生以来,对其核心的能力要求是聚焦在东西向流量的隔离上(当然对南北向隔离也能发挥左右),一是有别于防火墙的隔离作用,二是在云计算环境中的真实需求。


微隔离系统工作范围:微隔离顾名思义是细粒度更小的网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向平移(或者叫东西向移动)。


微隔离系统的组成:有别于传统防火墙单点边界上的隔离(控制平台和隔离策略执行单元都是耦合在一台设备系统中),微隔离系统的控制中心平台和策略执行单元是分离的,具备分布式和自适应特点:


(1)策略控制中心:它是微隔离系统的中心大脑,需要具备以下几个重点能力:


能够可视化展现内部系统之间和业务应用之间的访问关系,让平台使用者能快速理清内部访问关系;

能按角色、业务功能等多维度标签对需要隔离的工作负载进行快速分组;

能够灵活的配置工作负载、业务应用之间的隔离策略,策略能够根据工作组和工作负载进行自适应配置和迁移。


(2)策略执行单元:执行流量数据监测和隔离策略的工作单元,可以是虚拟化设备也可以是主机 Agent。


二、为什么需要微隔离?


不少人提出来有 VLAN 技术、VxLAN 技术、VPC 技术,为什么还需要微隔离?在回答这个问题前,我们先来看看这几个技术的定义和作用:


VLAN:即虚拟局域网,是通过以太网协议将一个物理网络空间逻辑划分成几个隔离的局域网,是我们目前做内部不同局域网段的一种常用技术;由于以太网协议的限制,VLAN 能划分的虚拟局域网最多只有 4096 个。

VxLAN:即虚拟扩展局域网,为了解决 VLAN 技术在大规模计算数据中心虚拟网络不足的问题而出现的技术,最多可支持 1600 万个虚拟网络的同时存在可适应大规模租户的部署。

VPC:Virtual Private Cloud,即虚拟私有云,最早由 AWS 于 2009 年发布的一种技术,为公有云租户实现在公有云上创建相互隔离的虚拟网络,其技术原理类似于 VxLAN。


从技术特点上看,VLAN 是一种粗粒度的网络隔离技术,VxLAN 和 VPC 更接近于微隔离的技术要求但还不是微隔离最终的产品形态。


我们来看一个真实的生产环境中的工作负载之间的访问关系:



从这张图中,我们看到少数的几台工作负载都会有如何复杂的业务访问关系,那么当工作负载数量急剧上升时,我们急需一套更加智能的隔离系统。以下是我们总结需要微隔离技术的几大理由:


  1. 实现基于业务角色的快速分组能力,为隔离分区提供基于业务细粒度的视角(解决传统基于 IP 视角存在较多管理上的问题);

  2. 在业务分组的基础上自动化识别内部业务的访问关系,并能通过可视化方式进行展示;

  3. 实现基于业务组之间的隔离能力、端到端的工作负载隔离能力、异常外联的隔离能力,支持物理服务器之间、虚拟机之间、容器之间的访问隔离;通过隔离全面降低东西向的横向穿透风险,支持隔离到应用访问端口,实现各业务单元的安全运行;

  4. 具备可视化的策略编辑能力和批量设置能力,支持大规模场景下的策略设置和管理;

  5. 具备策略自动化部署能力,能够适应私有云弹性可拓展的特性,在虚拟机迁移、克隆、拓展等场景下,安全策略能够自动迁移;

  6. 在混合云环境下,支持跨平台的流量识别及策略统一管理。


三、微隔离技术选型


目前,市面上对于微隔离产品还没有统一的产品检测标准,它属于一种比较新的产品形态。


Gartner 给出了评估微隔离的几个关键衡量指标,包括:


  • 是基于代理的、基于虚拟化设备的还是基于容器的?

  • 如果是基于代理的,对宿主的性能影响性如何?

  • 如果是基于虚拟化设备的,它如何接入网络中?

  • 该解决方案支持公共云 IaaS 吗?


Gartner 还给客户提出了如下几点建议:


  • 欲建微隔离,先从获得网络可见性开始,可见才可隔离;

  • 谨防过度隔离,从关键应用开始;

  • 鞭策 IaaS、防火墙、交换机厂商原生支持微隔离;


从技术层面看微隔离产品实现主要采用虚拟化设备和主机 Agent 两种模式,这两种方式的技术对比如下表:



总体来说两种方案各有优缺点:


  1. 如果环境中租户数量较少且有跨云的情况,主机 Agent 方案可以作为第一选择;

  2. 如果环境中有较多租户分隔的需求且不存在跨云的情况,采用 SDN 虚拟化设备的方式是较优选择,主机 Agent 方案作为补充。


另外,主机 Agent 方案还可以结合主机漏洞风险发现、主机入侵检测能力相结合,形成更立体化的解决方案,顺带提一句,目前我们的工作负载安全解决方案已经可以完全覆盖这个场景的需求。


四、企业如何执行微隔离实施工作?


部署微隔离的最大拦路虎首推可见性问题。分隔粒度越细,IT 部门越需要了解数据流,需要理解系统、应用和服务之间到底是怎样相互沟通的。


同时,需要建立微隔离可持续性。随着公司不断往微隔离中引入更多资产,负责团队需考虑长远发展,微隔离不是“设置了就可以丢开不管”的策略。这意味着,企业需设立长期机制以维持数据流的可见性,设置技术功能以灵活维护策略改变与实施要求;还意味着需清晰描述微隔离配置管理中各人都负责做些什么。


微隔离管理的角色和责任同样很重要。微隔离规则的改变应经过审查,类似配置控制委员会这种运营和安全团队可验证变更适当性的地方。


五、检验微隔离的效果


检验微隔离是否真正发挥效果,最直接的方式就是在攻防对抗中进行检验。我们可以模拟以下几个场景进行检验:


  • 互联网一台主机被攻陷后,能够触达内部多大范围的主机和工作负载;

  • 同一业务区域一台主机被攻陷后,能否攻陷该业务区域的其他主机和工作负载(所有工作负载都存在可以利用的漏洞);

  • 某一业务区域一台主机被攻陷后,能否触达跟该业务区域有访问关系的其他业务区域的核心主机和工作负载;

  • 内部一台主机被攻陷后,能够触达到域控主机以及能否攻陷域控主机(域控主机存在可以利用的漏洞);

  • 内部一个容器工作负载被攻陷后,能够触达内部其他多少个容器工作负载;能否通过该容器渗透到宿主主机;

  • 以上所有网络访问行为是否在微隔离系统中的策略智能管控平台上监测到,是否有明显报警标记。


以上是我们总结的一些检测场景,安全部门还可以根据自身业务的实际情况模拟更多攻防对抗场景进行检验,这样才能做到“知己知彼,百战不殆”。


本文转载自 freebuf.com


2020 年 6 月 18 日 14:251116

评论

发布
暂无评论
发现更多内容

马方业:区块链就是新未来 区块链就是新财富

CECBC区块链专委会

区块链 新未来 新财富

Python处理邮件和机器人的实用姿势

程一初

Python 自动化 办公

基于ALBERT的文本相似度解决方案

华宇法律科技

人工智能 自然语言处理 Pytho

Redis追命连环问,你能回答到第几问?(上)Redis简介,数据类型及缓存雪崩缓存击穿缓存穿透

大柚子

Java redis 缓存 面试 后端

小米的护城河

石云升

小米 护城河

ARTS 挑战打卡第七周(200622-200628)

老胡爱分享

ARTS 打卡计划

深圳区块链支付系统开发,USDT支付系统服务商

13530558032

一文讲透布隆过滤器

flyer0126

布隆过滤器

ARTS 打卡第四周(200601-200607)

老胡爱分享

ARTS 打卡计划

ARTS挑战打卡第五周(200608-200614)

老胡爱分享

ARTS 打卡计划

Axure导出为PDF

波菠菜

非IT行业大企程序员讲述MIS系统开发案例

Philips

Java 企业信息化 .net core 计算机程序设计艺术 企业开发

ARTS 打卡第二周(200518-200524)

老胡爱分享

ARTS 打卡计划

一个人的精益

escray

学习 面试 面试现场

从雕像到肖像画,这位设计师用 GAN 和 PS 复原了他眼中的古罗马皇帝「群像」

程序员生活志

巧用SQL拼接语句

Simon

MySQL sql

程序员不愿996,创建6个涉黄平台,涉案5000余万元!

程序员生活志

程序员

朱嘉明 算力革命背后是分配制度革命 没有算力就没有未来

CECBC区块链专委会

区块链 数字货币 数字经济

ARTS 打卡第三周(200525-200531)

老胡爱分享

ARTS 打卡计划

当地铁站都比你更努力

escray

学习 面试 面试现场

Truncate用法详解

Simon

MySQL

ARTS挑战打卡第六周(200615-200621)

老胡爱分享

ARTS 打卡计划

定时任务最简单的3种实现方法(超实用)

王磊

Java 定时任务

企业信息化到底重不重要?

代码制造者

低代码 零代码 信息化 编程开发 运营管理

交易所合约跟单开发方,数字资产合约跟单系统搭建

13530558032

JeecgBoot手记

卧石漾溪

MySQL如何快速插入数据

Simon

MySQL 数据库

区块链交易所系统开发内容,数字货币交易所搭建

13530558032

高频面试题——你真的搞懂物理内存与虚拟内存了吗

大柚子

操作系统 内存管理 虚拟内存 物理内存

浅谈备受开发者好评的.NET core敏捷开发工具,讲讲LEARUN工作流引擎

Learun

工作流 开发工具 计算机程序设计艺术 表单

教你用SQL实现统计排名

Simon

MySQL

细谈微隔离技术-InfoQ