零信任、微分段:網絡安全的進一步演變
微分段使用虛擬化技術在網絡中創建日益細化的安全區域。通過應用高度集中的安全策略,微分段將安全性從簡單地識別 IP 地址轉變為僅根據用戶的身份和角色授予用戶訪問他們需要的應用程序和數據的權限。然后安全就變成了個人用戶,限制了網絡內危險的橫向移動。這些策略可以通過位置和設備進一步細化,一種考慮當前安全風險的自適應方法。這是零信任的一項核心技術,即沒有人應該被信任或被授予比他們需要的更多的訪問權限。
一、微分段及其作用
微分段是一種網絡安全技術,它幫助安全架構師將數據中心合理地劃分為不同的安全段到各個工作負載級別,然后我們參考每個工作負載定義安全控制。
正是微分段,使 IT 行業能夠借助網絡虛擬化技術在數據中心內部部署不同的安全策略。這種方法不需要安裝多個防火墻。微分段還用于保護策略驅動的企業網絡中的虛擬機(VM)。
由于微分段中的安全策略應用于單個網絡,因此它起到了抵御攻擊的作用。微分段使用網絡虛擬化技術在所有數據中心和云部署中創建細粒度的安全區域,隔離單個工作負載并使其安全。
微分段為組織提供了許多好處:
- 減少攻擊面:微分段限制了攻擊者在網絡中橫向移動的能力,最終減少了潛在的攻擊面。
- 威脅檢測和響應:即使采用了優化的安全實踐,漏洞也是不可避免的。但是微分段可以顯著提高威脅檢測和響應時間。當檢測到策略違規時,微分段工具可以生成實時警報,甚至阻止未經批準的活動。
- 監管合規性:微分段可以通過創建專門存儲受監管數據(通常是通用數據保護條例 (GDPR) 和加州消費者隱私法案 (CCPA) 等法律涵蓋的客戶的個人身份信息 (PII))的細分來加強組織的監管合規性態勢)。然后可以為這些細分市場創建以合規性為重點的策略。這也大大簡化了審計過程。
二、零信任及其作用
零信任是一種保護網絡、應用程序和環境中所有訪問的綜合方法。因為應用程序是現代業務的核心,推動生產力和收入;保護整個應用程序堆棧或工作負載至關重要。組織正在部署比以往更多的工作負載,并在多樣化的多云環境中的更多位置運行它們。傳統的安全方法難以提供全面的保護,這一問題因當今的敵對威脅環境而惡化。“不信任,驗證一切”企業安全的零信任方法變得必要,而不是可選。
當今的安全團隊需要考慮對訪問應用程序內數據庫的 API、微服務或容器的安全訪問,無論它位于云、數據中心或其他虛擬化環境中的任何位置。他們需要關注如何對訪問進行分段并識別惡意行為,以遏制漏洞并防止橫向移動。
這是如何以有意義的方式實施的?零信任是一種方法,但就像許多事情“魔鬼在細節中”一樣。將零信任理念付諸實踐的一種常見方法是使用微分段來實現“不信任,驗證一切模型”。
三、傳統技術的問題
傳統的安全工具,例如防火墻、虛擬專用網絡和網絡訪問控制 (NAC),都有其局限性,因為它們主要側重于保護網絡外圍。安全團隊歷來認為最大的威脅是來自網絡外部的攻擊。但這種方法忽略了內部威脅——以及黑客最終進入網絡時可能造成的破壞。
對于客戶、遠程工作接入和物聯網 (IoT) 設備的網絡邊緣活動的增加使網絡安全狀況變得復雜。邊緣流量促使組織將數據處理從數據中心轉移到網絡邊緣。這提高了數據中心的安全性和響應能力——但將這些問題轉移到網絡邊緣,需要新的安全方法。對此,邊緣安全成為了一個新的流行詞,其核心是零信任的概念。
3.1不能基于IP的云安全策略
云原生開發可能對傳統的企業政策提出挑戰,部分原因是環境中不斷變化的性質。云工作負載跨位置移動,應用程序中的實例可以隨著需求的波動和容器在幾秒鐘內來來去去而動態擴展——這使得驗證成為一個嚴重的問題。
在這些環境中,許多企業所習慣的基于 IP 的安全性很快就會變得難以管理。混合和多云環境引入了 IP 域的轉移,因為容器化的工作負載可以在一小時內復制、重新安排和重新托管。微服務通過可通過 HTTP/gRPC 訪問的 API 公開,使 IP 地址無關緊要。為了實現端到端的可見性,管理員必須將跨多種環境的 IP 流拼接在一起,這在規模上變得不可行。
由于 IP 地址不再像以前那樣持久,因此無法依靠它們來準確識別云中的工作負載,從而使它們無法用于遵循零信任最佳實踐的安全策略。
四、基于零信任安全對用戶和設備進行身份驗證
零信任框架依賴于“不信任任何事情,驗證一切”的理念。這意味著,在允許訪問任何應用程序或存儲的數據之前,組織必須對在內部或外部連接到網絡的每個用戶和設備進行身份驗證和授權。這種“最低權限”訪問方法認識到過多的信任是一個漏洞。
如果惡意行為者獲得對網絡的訪問權限,以邊界為中心的安全工具無法阻止他們通過網絡橫向移動,從而使他們能夠訪問應用程序和數據。這種橫向移動特別危險,因為這種高級持續威脅是最災難性的數據泄露事件的幕后推手。零信任保護跨網絡內所有應用程序和環境的訪問。
那么,安全團隊如何對通過網絡傳輸的大量用戶和設備進行身份驗證?一個關鍵是創建軟件定義的分段并使用微分段在粒度級別為它們定義安全策略。
五、基于微分段進行網絡隔離和工作負載
從歷史上看,組織使用網絡分段來確保安全,這是一種在基于硬件的環境中創建子網絡的技術。這些網段是使用傳統的、以參數為中心的工具(例如網絡或防火墻)構建的,以提供南北安全——數據進入或離開網絡的流動。
另一方面,微分段為東西向或橫向流量(網絡內的數據流)提供保護。這包括網絡內的服務器到服務器、應用程序到服務器和網絡到服務器的連接。通過創建安全microsegments與細粒度策略控制單個工作負載,微分段提供了中和軟件定義的段之間的交通完全控制。
5.1 網絡分段和微分段
網絡分段與微分段的一個常見類比是,網絡分段充當圍繞網絡城堡的圍墻和護城河。微分段充當保護城堡墻壁內每一扇門和通道的守衛。兩者都需要,但微分段是可以保護您最有價值數據的缺失部分。
5.2 網絡分段的問題
網絡分段背后的理論與零信任形成鮮明對比,因為它只涉及授權對網絡的初始訪問。這意味著一旦連接獲得訪問權限,就可以信任它可以在整個網絡或至少該網段中自由傳輸。
網絡分段的另一個問題是它對提供有限控制的網段的粗略策略的依賴。現代混合和云網絡中的軟件定義段需要為每個段設置數千個粗略的策略來實現一些橫向流量保護。隨著新資源和用戶不斷添加到網絡中,這遠遠超出了合理管理的范圍。
在高級持續威脅 (APT)的情況下,缺乏全面、詳細的策略來保護橫向流量是一個特別大的問題。在這些情況下,攻擊者會使用竊取的憑據來訪問網絡。如果沒有零信任框架,攻擊者就可以在長時間未被發現的網絡中導航,繪制組織的系統并創建高度定制的惡意軟件來收集敏感數據。零信任和微分段是防止 APT 在整個網絡中公開傳播的關鍵新步驟。
六、基于零信任和微分段減少攻擊面
過隔離環境和分割工作負載,使用微分段的零信任框架通過限制從一個可能受損的工作負載到另一個工作負載的移動,大大減少了網絡的整體攻擊面。一旦微分段,細粒度的安全策略就可以應用于工作負載,一直到單個機器、用戶或應用程序。這些策略可以根據真實世界的構造定義,例如用戶組、訪問組和網絡組,并且可以跨多個應用程序或設備應用。
6.1 如何分配策略
在設備級別,策略可用于根據設備的功能為設備分配某些限制,以便只有需要訪問關鍵應用程序和資源的設備才能獲得授權。這些設備也可以相互隔離,因此除非獲得授權,否則它們無法通信。設備還可以根據位置(例如咖啡店與公司網絡)以及設備本身的安全性進行限制,這可能不是所有安全更新和補丁都是最新的。
策略也可以基于源身份,這是微分段相對于以前的分段方法的另一個優勢。網絡分段只能告訴您分段之間正在通信哪些信息,而微分段可以查明請求通信的資源的身份,無論是服務器、應用程序、主機還是用戶。這提供了更精細的分段,只允許其身份已被授予適當權限的資源之間進行通信。
有了全面的微分段解決方案,任何無法通過策略參數驗證的連接都會被阻止獲得訪問權限。微分段不僅可以防止橫向移動,還可以為安全團隊提供所有網絡流量的高度可見性和上下文。這使團隊能夠快速識別惡意行為和違規行為,從而改進事件響應和補救。
