等保2.0｜应对网络安全等级保护中的控源要求

网络安全等级保护是我国信息安全保障的基本制度、基本策略、基本方法。随着互联网的发展，我国的网络安全等级保护也已经从1.0版本升级到了2.0版本。

作为国内知名网络安全厂商，蔷薇灵动通过研究发现，在很多技术理念上，网络安全等级保护也在不断变化，比如在源地址访问控制的问题上，网络安全等级保护为应对现代安全风险提出了新的要求，而当企业把防御的视线从边界转向内网时，需要更有效的对抗手段来应对可能的安全威胁。

控源的必要性

网络安全等级保护 中对控源做出新的规定从根本上讲是为应对现有云计算发展及攻击手段演进。传统边界防御思维已经无法应对现代安全风险，保证网络安全应建立全面的纵深防御整体安全观，将内网安全防控提上日程。

而之前当企业面向互联网边界安全的时候，很难对源进行控制，因为你完全不知道谁会访问你，你只能对内部的服务进行访问控制。为了应对这个挑战，业界发展出了威胁情报技术，于是我们可以在边界上加一些黑名单，这样会对边界安全有所帮助，但它最终也无法回答究竟谁是好人，所以在互联网边界，白名单是不可行的。

但是，在行业性专网或者纯粹的内网，情况是不一样的。无论是访问者还是服务者都是已知的，都是可以被管理的。那么我们完全可以有更有效的管理手段，也就是基于源地址的白名单访问控制。除了可以对源地址进行限定外，更重要的是，在一个完全可控的网络内，我们不仅可以在近服务侧的位置进行访问控制，还可以在整个网络的所有可能位置对访问进行控制，尤其是可以做到“近源防护”。所以，在可控的网络内（专网/内网）对源进行白名单访问控制，显然是更有效的防护手段。

针对网络安全等级保护中有关控源的分析

在网络安全等级保护“安全区域边界”的“访问控制”章节中则明确强调：“要对源地址，目的地址，源端口，目的端口和协议等进行检查，以允许/拒绝数据包进出”（8.1.3.2 c）。同时还指出：“默认情况下除允许通信外受控接口拒绝所有通信”（8.1.3.2 a）。这两条明确提出在网络内部应该进行白名单访问控制。而“应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化”（8.1.3.2 b）则表明不但需要做基于白名单的访问控制，且要保证策略集最小化。

通过围剿实现控源的最高级

通过前面的分析我们知道，针对网络安全等级保护中提出的有关要求，我们需要在网络内部进行白名单访问控制且要保证策略集最小。而微隔离技术恰巧弥补了之前网络安全边界防御在此处的空白，其基于点到点的访问控制，能够在内网体系中做出不可思议的神操作——围剿。

微隔离的控制点在每一台工作负载（物理机，虚拟机，容器）上，而它的具体控制能力分为两类——“出站”和“入站“。所谓“出站”，就是控制一个工作负载能够对外发起的通信，所谓“入站”，就是控制一个工作负载能够接受的访问请求。如果要说“近源”控制的话，最近的控制点显然就是访问发起点自身的主机防火墙了。微隔离可以在主机防火墙上配置出站策略，以严格规范其能够访问的服务。

很多情况下，即使一台主机已经被感染了，但是这个恶意代码未必有能力或者有意愿去修改主机防火墙的配置（比如怕触发日志记录和告警以及主机安全软件的反击，毕竟主防火墙是关键的系统设施），这个时候他就没有能力去做一些非法外联比如cc通信，内网扫描，以及数据回传之类的操作，这很不利于网络安全等级的控源。

当然，还有一些恶意代码能够提权，或者不怕触发相应的监控，那么此时主机防火墙的“出站“控制能力基本就失去作用了，此时就需要微隔离来解决。

微隔离的策略是双向配置的，我们在业务学习的时候基于一个业务生成的策略是双向配置的，不仅配置了出站策略，还配置了入站策略。也就是说，每一个对外开放服务的工作负载都严格地按照白名单向有限的访问源进行开放，这跟网络安全等级的要求一致。此时，如果主机受控，一旦尝试进行超过其业务需求网络访问时，它会发现其他工作负载都会拒绝它的访问，不但拒绝，这些工作负载还会把它的这种不正当访问请求记录下来发送给管理员。

今天，我们有了一种新的敌情想定“敌已在内，敌将在内”。在这种想定下，我们除了防御攻击者的渗透外，还要防范其内部的平移，尽量将攻击者控制在一个尽可能小的范围内。网络安全等级保护的相关要求在应对新的网络安全危机上给我们指明了新的方向，作为微隔离技术厂商，蔷薇灵动愿与各个企业用户一起就此进行更加深入的合作，通过微隔离技术引用，促进企业建立更加全面的安全防护体系。