专栏首页网络安全观利用零信任微分段来保障美国联邦政府网络安全

利用零信任微分段来保障美国联邦政府网络安全

全文约5000字 阅读约15分钟

分段(Segment)是网络安全的基本思想(国内经常称为隔离)。传统的网络分段(现在被视为宏分段),已经存在多年,最初是为了提高效率和减少广播域而开发的。而伴随着数据中心和虚拟化技术的兴起,更加细粒度的微分段已经成为安全发展的必然趋势。

Illumio是微分段领域的领导者把微分段做到了极致。它从可视化开始,通过建立应用程序地图,识别高价值资产,开发、测试、实施自然语言安全策略,来减少攻击面和防御入侵,从而实现数据中心和云安全

本文是《Illumio六部曲》系列的终章,概述了Illumio利用主机微分段来保障美国联邦政府网络安全的方法,包括安全分段的六种类型、采用微分段的五大理由、实施微分段的五个步骤。对于保护我国政企安全,也具有普适性参考价值

Illumio六部曲》系列:

目 录

1.改变入侵者的游戏规则

2.理解并关闭你的攻击面

3.采用微分段的五大理由

4.安全分段的六种类型

5.五步骤构建微分段策略

6.普适性建议:微分段策略

01

改变入侵者的游戏规则

从历史的发展过程看,为了提高网络性能,首先在网络层开发了分段技术,如安全域划分、VLAN等,不妨称之为网络分段(宏分段)

而随着向云的迁移以数据为中心的安全理念深入人心,希望保护其环境内部安全的组织,通常需要比网络分段更加动态和更细粒度的分段能力,这使得内部分段(微分段)正在成为数据中心和云安全的基础

首先,我们来看看入侵者的游戏规则:

  • 1)从低价值环境入手。入侵者为了突破你的边界,通常是从一个低价值环境进入,比如你的开发环境、承包商网络,或者依靠你的员工访问。
  • 2)横向移动寻找机会。要对您的组织造成损害,它们首先必须访问关键数据或系统,而要做到这一点,它们必须在您的环境中横向移动
  • 3)发现高价值目标。不幸的是,入侵者往往可以到达高价值目标,因为大多数数据中心是开放的。
  • 结论:只要入侵者在你的盔甲上发现任何缝隙,他们就可以实施入侵,然后窃取有价值的数据。

现实情况是:当今的入侵者,通常要花费数月或数年的时间,隐藏在被侵入的网络中,定期抵达高价值目标,而且往往在入侵后很久才会被抓获。

为什么会这样?因为大多数政府机构和私人组织,在控制数据中心和云内部的连接方面做得很少。这种控制的缺乏,产生了两个后果:

  • 一方面,它使得非法的横向移动非常容易。因为类似这样的暴露环境存在非常大的攻击面,所以入侵者有大量的攻击面可以选择。
  • 另一方面,它使得对横向移动的检测变得异常困难。因为防御者不得不将检测资源分布在整个环境中,而且没有好办法来识别移动,即便是在他们自己的系统中。即便是专门用来检测环境中攻击者的工具,从恶意软件检测到行为分析工具,也会因为产生告警疲劳,而使入侵者可以继续躲藏在噪音中。

而微分段可以改变这个游戏规则。其方法是:减少入侵者到达高价值目标的途径,并为防御者提供一个可靠平台来检测横向移动,而不会被误报所淹没。其目标是:阻止闯入低价值环境的入侵者,向您的高价值资产进行关键性转移

入侵者一旦进入您的数据中心,通常会做的事情包括:

  • 操作服务器、虚拟机、容器;
  • 利用用户帐户提升权限或运行进程;
  • 通过服务器之间的网络连接传输数据

这些步骤中的每一步,都不得不使用受您控制的系统,从而触发警报提醒,以便您可以立即阻止入侵行动。一个警报——即入侵者的一个错误——就是它所需要的一切

02

理解并关闭你的攻击面

数据中心内的攻击面,是指入侵者可以用来在您的环境中移动并到达您的高价值资产的所有网络连接

  • 潜在连接:存在到同一网络中具有开放端口/进程的任何服务器的潜在连接,除非它被防火墙明确阻止。 大多数数据中心都有数十万或数百万个潜在连接。
  • 活动连接:只有当流量流经该连接时,该连接才处于活动状态。 只有一小部分潜在连接用于合法目的。

环境中的每个开放端口和活动进程,都提供了一个潜在的连接,该网络中的任何其他计算机都可以连接到该连接。在正常业务过程中,通过这些连接(“活动连接”)的合法通信流,但是潜在的连接远多于任何组织使用的连接。

事实上,对于许多组织来说,在任何给定的时间,只有不到3%的潜在连接是活跃的这意味着大多数机构可以在不限制其正常业务的情况下,关闭几乎所有的内部攻击面。而关闭这些不必要的潜在连接,可以实现:

  1. 限制入侵者在环境中的行动自由,增加他们触发警报的风险,使入侵者的行动更加困难;
  2. 限制需要关注的攻击面的数量,使得您可以将安全资源集中到最有效的地方;
  3. 快速移动以遏制入侵者,限制爆炸半径并降低事件响应和补救的成本和复杂性。

03

采用微分段的五大理由

微分段消除了数据中心和云中不必要的网络连接它不同于网络分段,网络分段已经存在多年,最初是为了提高效率和减少广播域而开发的。

今天每个人都在谈论微分段。需要注意的是:大多数组织不会在其整个环境中完全雷同地部署单一类型的分段,而是会将不同类型的分段与数据中心和云的不同安全需求相匹配

安全分段(Security Segmentation)的定义:在整个环境中部署不同类型的分段,以提高安全性而不影响业务的过程。

如果您正在考虑使用分段来提高安全性,以下是您应该考虑微分段的五个原因

1)支持所有环境和平台

微分段适用于所有数据中心和公共/私有云部署:裸机、操作系统、虚拟机监控程序(Hypervisor)、容器、任何网络(物理或SDN)以及任何公共或私有云。

2)以应用程序为中心的可见性

微分段可以构建一个实时应用程序依赖关系图,该图显示了应用程序的连接方式和通信方式。这是使用分段来控制他们应该如何交流的第一步。

3)安全策略创建和管理

与传统的防火墙规则不同,微分段使用高级自然语言策略来描述所需的应用程序行为,而非基础设施架构。这使您可以将数千个机器可读的防火墙规则,整合为数十个人类可读的策略,从而使得安全策略的描述和实施更加轻松。

4)自适应和自动化

您的应用程序不断变化,如果您的分段不能自动适应这些变化,您的安全性将在几天或几小时内过时。为了跟上应用程序的变化,微分段系统会自动响应应用程序的自动缩放和跨基础设施的移动,以确保安全性完好无损。

5)可定制的分段类型

组织可以根据所保护的资产,来定制其分段类型。比如:

  • 对于低价值资产:可以选择“环境分段”;
  • 对于高价值资产:可以采用“应用程序分段”,甚至“进程和服务分段”。

总之,您可以在整个环境中使用不同类型的分段(如下节所示)。

04

安全分段的六种类型

安全分段有不少于六种分段类型:

1)环境分段(Environmental segmentation):是最粗粒度的分段形式,将数据中心内的不同环境分开。它通常用于将低价值环境与组织的其他部分隔离开来,因此任何入侵该环境的入侵者,都将被阻止横向移动到高价值环境。这也可以用于分段分配给不同客户的系统,因此如果一个系统受到威胁,其他系统将保持安全。它大大减少了攻击面,是最容易实现的分段形式。在大多数情况下,应该在整个数据中心部署环境分段

2)位置分段(Location segmentation):根据工作负载运行的数据中心/云来划分工作负载,也是有意义的。如果您运营的数据中心所在的国家/地区存在法律要求在本地存储数据,或者您有一个特定数据中心来保存您最敏感的数据,并且希望限制来自其他数据中心的设备访问这些数据的能力,那么这种分段方式将非常有用。

3)应用程序分段(Application segmentation):用于分离单个应用程序,即使在同一环境中,也阻止跨应用程序通信。组织经常使用应用程序分段,来为其最有价值的应用程序增加一层安全性。在具有许多应用程序的环境中,这将极大地提高您的安全性,并为入侵者设置了额外的障碍。

4)分层分段(Tier segmentation):比应用程序分段更细粒度,它是在一个应用程序中划分层次(例如,Web层、App层、DB层)。由于许多入侵者会首先通过Web层进入数据中心,因此这种级别的分段会进一步隔离入侵者,迫使他们在搜索高价值数据时不得不穿越更多的数据中心分段。

5)进程和服务分段(Process and service segmentation):也称为纳米分段(nano-segmentation),是最细粒度的分段形式,并确保只允许到其他工作负载的活动连接。这种细粒度分段对于保护高价值资产最为有用,所有不必要的潜在连接,均保持关闭状态。

6)用户分段(User segmentation):可以防止凭证跳转——即入侵者或内部人员尝试使用已获取的凭证,来访问高价值应用程序。这确保了当某个特定用户登录到某个工作负载时,该工作负载只能与允许该用户访问的服务器联系

05

五步骤构建微分段策略

构建安全分段策略有五个基本步骤:

1)识别高价值资产

首先需要确定最高价值的系统、应用程序、数据。这些资产可以是具有国家安全价值的数据、敏感人员数据、运行机构的关键应用程序、员工用于敏感对话的通信平台、关键工业系统。

识别高价值资产使您能够将安全工作重点放在最重要的方面。对于这些资产,您可以使用细粒度分段来保护。而对于价值较低的资产,使用更粗粒度的分段就足够了,实现起来也不那么复杂。

2)映射应用程序依赖项

映射工作负载、应用程序和环境之间的连接。服务器之间的合法通信,使用这些连接,但攻击者也可以使用这些连接。这可以通过应用程序地图来实现:

了解你的网络中哪些部分的联系最紧密,将帮助你确定,在哪里进行分段能带来最大的好处。

3)理解安全分段的类型

您的分段策略应该采用正确的分段类型(参考上一节的六种分段类型),以提供所需的安全性。

4)根据您的运营安全需求制定分段策略

您不会在整个环境中使用相同的分段。一般来说,您希望对高价值区域采用更细粒度的分段,而对低价值区域采用更粗粒度的分段。为此,首先确定数据中心和云的哪些区域需要保护,然后为每个区域分配适当的分段策略。微分段对于解决这个阶段特别有用,因为它允许您将不同粒度的分段部署到环境的不同部分

为你的分段策略的不同状态,设定一个时间表

  • 您可以首先从风险最低的环境开始,这样就可以在不冒业务中断风险的情况下测试您的方法
  • 务必优先考虑那些你在第二阶段确定的高价值资产,分段这些资产将为您的工作带来最大的安全性增加。

5)测试并部署您的策略

由于分段改变了数据中心本身,因此必须确保该策略与数据中心的运作方式保持一致,而且不会破坏任何东西。在部署分段策略之前,对其进行测试和建模,是部署任何安全策略的最后一步。

06

普适性建议:微分段策略

对于大多数数据中心,我们建议:

  • 环境分段:把最易暴露、最低价值的环境隔离开来。
  • 分层分段:进一步保护高价值应用。
  • 应用分段:在高价值的环境中隔离应用程序。
  • 进程分段:针对核心服务或特别有价值的工作负载(集群)。

以下是优化分段策略以保护数据中心和云的其他几种方法

1)使用环境分段,隔离开低价值环境。这样既可以保持低价值环境的灵活性,又可以遏制它们的暴露面,使得进入环境的入侵者难以从它们跳转到更高价值的目标。

2)根据工作负载的角色或层次,分段大型应用程序(例如,将web、数据库、应用程序服务器划分开)。这种方法避免了通过工作负载或进程来分段整个应用程序的复杂性,但仍然显著降低了攻击者在应用程序中自由移动的能力。

3)在以策略为中心的组织中,将主题数据存储相互隔离。例如,执法机构可能会根据调查地区,对保存调查数据的服务器进行分段。通过基于主题来分段数据存储,组织可以防止威胁在整个策略环境中的快速传播。

4)考虑对不同地理位置的服务器之间的通信进行分段。例如,在世界各地拥有多个数据中心的机构(如美国大使馆),可以对这些数据中心进行分段,以防止本地入侵迅速蔓延到其他地区。这也适用于在美国各地有多个办事处的国内机构(如运输安全管理局)。

5)在一个专用、不可路由的网络上,聚集密集型处理平台(如Hadoop)。对应用程序进行“分层”,使得内部处理机器(即真正的高价值目标),只能从面向外部的机器访问,并且严格控制对面向外部的机器的访问。这迫使攻击者采取多个步骤,来访问Hadoop集群中的高价值数据。

6)使用进程和服务分段,来保护AD(活动目录)和其他核心服务。使用进程和服务分段,来关闭除实际使用的服务之外的所有服务的连接,并限制正在使用的服务的连接,而不是为几十甚至上百个公开的服务保留潜在的连接。

(本篇完)

本文分享自微信公众号 - 网络安全观(SecurityInsights),作者:柯善学

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-08-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 希拉里克林顿竞选美国总统提出的科技创新战略(全文)

    今天的全球经济是充满不确定性的,竞争异常激烈,这需要国家对科技,创新和创业给予强有力的支持。美国在互联网革命方面领先全世界,今天,科技和互联网几乎改变了美国经...

    点滴科技资讯
  • 张茉楠:全球数据开放战略的路线图

    摘要:大数据重新定义大国博弈的空间,世界主要国家早已认识到大数据对于国家的战略意义,认为谁掌握了数据的主动权和主导权,谁就能赢得未来。西方主要国家通过全面谋划大...

    灯塔大数据
  • 改善国家网络安全行政命令

    2021年5月初,负责美国东海岸45%燃料运输的科洛尼尔管道运输公司(ColonialPipeline)因遭遇勒索软件网络攻击暂停运营。这只是犯罪集团利用美国网...

    绿盟科技研究通讯
  • 网络安全架构|零信任网络安全当前趋势(下)

    本文介绍ACT-IAC(美国技术委员会-工业咨询委员会)于2019年4月18日发布的《零信任网络安全当前趋势》(《Zero Trust Cybersecurit...

    网络安全观
  • 全球隐私及数据保护法律政策动态报告(中)

    全球隐私及数据保护法律政策动态报告(下) 腾讯互联网法律研究中心  2014年第3季度 三、美国 (一)移动应用成为数据隐私治理重点 鉴于...

    腾讯研究院
  • 网络安全架构|零信任网络安全当前趋势(上)

    本文介绍ACT-IAC(美国技术委员会-工业咨询委员会)于2019年4月18日发布的《零信任网络安全当前趋势》(《Zero Trust Cybersecurit...

    网络安全观
  • IT团队如何安全地加速云计算的采用

    网络和IT现代化通常会导致广泛而复杂的环境。政府机构已开始使用由各种云计算提供商支持的应用程序,以允许从其总部和分支机构位置访问分布式数据和工作负载。

    静一
  • 全球隐私及数据保护法律政策动态报告

    全球隐私及数据保护法律政策动态报告 A Global Report on Laws and Public Policies Relating to Pri...

    腾讯研究院
  • 零信任硬币的两面

    零信任硬币的一面是访问控制和身份管理,硬币的另一面是主机微分段。前者本质上仍是由外到内的方法,而后者则是由内到外的方法。两者虽然都要解决访问问题,但前者是从用户...

    网络安全观
  • APT这件事,美国现在有点慌...

    6月28日,美国众议院外交事务委员会通过“2018网络威慑与响应法案”(H. R. 5576),要求美国总统确认高级持续威胁(APT)组织名单,并在《联邦公报》...

    安恒信息
  • 蒂姆·库克公开信:保护用户数据 FBI我们都敢拒绝

    大数据文摘
  • 走近科学:“爱因斯坦”(EINSTEIN)计划综述

    “ 爱因斯坦”计划是美国联邦政府主导的一个网络安全自动监测项目,由国土安全部(DHS)下属的美国计算机应急响应小组(US-CERT)开发,用于监测针对政府网络的...

    FB客服
  • 美国安局曾向国际通用加密技术植入后门

    北京时间9月23日早间消息,据《纽约时报》网络版报道,几年前,美国国家安全局(以下简称“NSA”)曾秘密地给一项国际性加密技术植入后门系统,让美国联邦特工可以破...

    安恒信息
  • 黑客如何窃取你的秘密:互联网战场漏洞成武器

    美国《时代》周刊7月21日一期发表题为《零世界大战——黑客如何窃取你的秘密》的封面文章,作者是列夫·格罗斯曼。文章称,互联网是一个战场,战利品是...

    安恒信息
  • 从中美日政策风向标,读取自动驾驶发展进度条

    对于自动驾驶产业来说,2019年被认为是低谷之年。一些企业立下的全自动驾驶的Flag没有兑现,一些企业承诺的无人车量产不见踪影,还有的自动驾驶的创业企业因融资难...

    脑极体
  • 史上十大最严重黑客袭击事件盘点

    【美国400万政府雇员资料被窃】 美国政府机构计算机网络不久前遭遇史上最大黑客袭击事件,美国联邦人事管理局成为袭击首要目标,400万联邦政府现任雇员和前雇员资料...

    企鹅号小编
  • 网络中立寿终正寝,享年2岁

    美国联邦通信委员会(FCC)本周四经过投票废除了2015年通过的开放式互联网法令,并发布了新的恢复互联网自由法令取而代之。新的法令将宽带业务归类为Title I...

    SDNLAB
  • 克林顿 VS 特朗普:谁更支持创新?

    这边共和党全国大会刚刚结束,那边民主党全国大会正紧锣密鼓地进行着,现在是时候讨论一个关键问题了:特朗普或希拉里克林顿上台将如何影响美国高科技创新创业的发展前景...

    点滴科技资讯
  • Google安全团队该不该披露疑似美国政府的黑客行动?

    最近,谷歌安全团队披露了一项黑客攻击行动,但该黑客组织疑似是为美国政府及其盟友工作,进行网络反恐行动……

    FB客服

扫码关注云+社区

领取腾讯云代金券