网络隔离作为常见的网络防御手段,本身并没有太多高大上的新技术,比如防火墙、网闸等。2016年Gartner副总裁Neil MacDonald在安全与风险管理峰会上,提出了微隔离(Micro-Segmentation)的概念之后,其所倡导的“安全解决方案应当为企业提供流量的可见性和监控,可视化工具可以让安全运维与管理人员了解内部网络信息流动的情况”,从而让这个概念进入了安全从业人员的视野。附之以零信任的架构,微隔离应用深入人心,成为横向流量监测管控的利器。尽管微隔离的优势已得到业界专家、企业、政府的认可,但在具体实践中其依然面临认知偏差或错误的挑战,比如对人为因素影响程度的错误估计、隔离需求的广度和深度的理解、使用ACL进行微隔离、使用VLAN进行微隔离、微隔离和隔离之间的区别等。因此,微隔离理念和技术的真正落地应用,还需要坚持体系化的思路,配备相应的角色、掌握真正的业务特性、坚持持续的运营。
顾名思义,微隔离就是管控粒度更小的网络隔离,基于其源自于云环境安全需求的缘故,要求它能够对传统环境、虚拟化环境、混合云环境、容器环境下东西向流量进行隔离,现实意义就是阻止已突入网络的攻击者在目标网络内的横向移动。
无疑,微隔离的好处已经得到网络安全行业专家、政府监管机构、企业甲方的认可。任何安全技术或措施,没有绝对的好坏之分,都需要一分为二辩证地看。微隔离的理念很好,但现实依然很残酷。比如工业网络具有隔离的天然传统,但微隔离在工业网络下实施时,同样会遇到计划失败的结局。微隔离实施失败,通常的原因不外乎是如下几种:
这种方法太昂贵了;
配置太复杂,难以维护;
需要对现有基础设施进行批量变更;
仍然存在重大的安全性和合规性差距。
尽管微隔离的概念很简单,但是确定实现零信任微隔离的最佳方法却是难以捉摸,复杂且令人困惑。网络可见性是微隔离的前提条件,但复杂性却是网络安全的克星。
目前来看,限制访问只能通过强制执行IP地址、端口、VLAN、标签、协议和证书的某种组合来实现。事实证明,这些方法的任何组合几乎都是复杂的,并且在规模上也不可持续。为了锁定访问权限以保护关键资产,企业无意间造成了对设备的连接性和移动性、工作负荷和数据的障碍。员工需要访问工具才能执行,由此造成挫败感,并常常中断业务。IT部门的员工经常被告知,必须在以下事项中组合调整:
将IP地址重新分配给相关资源;
修改路由访问控制列表(ACL);
预配专用访问点名称(APN);
更新、创建和维护新的嵌套防火墙ACL;
组紧密耦合以扩展虚拟局域网(VLAN);
分发、管理和吊销安全证书;
管理数百个(甚至数千个)IPsec隧道。
这些操作的任何组合都无法为分布式设备之间的网络连接创建简单的微隔离路径,尽管这些连接经过了身份验证、授权和加密。这些方法不仅复杂,而且其互锁的依赖性也实现起来缓慢且无法大规模管理。尝试对网络资源做微隔离时,往往会出现一些错误的认知或偏差。
NO1:错误估计了人为因素的程度
“胖手指”成为一个术语是有原因的。当涉及到有效的网络安全和微隔离时,人为错误可能是最大的问题。具有许多依赖项的复杂解决方案为无意的错误创造了太多的机会。IT团队经常超负荷工作,人手不足,特别是在网络安全方面。增加人手或专业知识并不是解决问题的办法。据估计,IT职位与合格的网络安全候选人的比例为3:1,这使得招聘新员工不仅非常困难,而且成本高昂。组织无法通过雇佣人员来解决这个问题,但这正是许多供应商对客户的期望。经验表明,任何依赖于人的微隔离策略以及对底层网络和安全基础设施的过多依赖都会导致灾难。要警惕任何需要大量顾问、专家或人员部署和维护的解决方案。这并非耸人听闻,最近安全行业热议的Twitter公司被入侵一案,越来越多的证据指向内部掌握特权的员工被攻击了。足见任何时候,人性弱点都是最大的隐患。
NO2:忽略微隔离需求的深度和广度
微隔离不仅涉及服务器、虚拟机或数据中心。成功的微隔离架构应涵盖网络中所有已连接的“事物”。如果没有,攻击向量将被暴露在外,这会带来网络风险。大多数CIO和CISO都希望有一个统一的微隔离架构,该架构可以涵盖所有潜在的环境、设备和不同的传输方式。比如支持诸如蜂窝通信、Wi-Fi、无线电和以太网之类的传输方式,这对于确保组织可以从任何地方进行微隔离非常重要。大多数环境下,极致的安全是不存在的或不切实际的。微隔离也不是无限地细分,粒度越小越好。各种成本考量必不可少,人力成本、设备成本、管理成本等等,一个都不能少。
NO3:使用ACL进行微隔离
与VLAN一样,访问控制列表(ACL)也不是简单或有效的微隔离的路径。由于存在许多级联依赖性,因此与VLAN相比,一致且有效地应用ACL甚至更加复杂和脆弱。为了正确应用ACL,安全专家建议网络工程师:
了解所有数据流;
掌握规则中ACL的适当位置;
确保不会创建冗余规则或对象,这些规则或对象会意外造成停机或网络中的安全漏洞;
遵守通用对象命名约定规范;
知道如何应用ACL,具体取决于它是何状态设备(如有状态设备还是无状态设备)。
不知道如何正确应用ACL或不正确地执行其中的任何操作都会带来重大的安全漏洞。对于大型企业来说,拥有超过5,000个防火墙和两倍于此数量的交换机和路由器以及数万条规则的情况并不少见。这最终会成为任何IT团队不切实际和不可持续的负担。
将ACL与微隔离等同起来的最大错误是,基本的实施属性依赖于使用不可验证的IP地址和宏对象作为允许网络连接的决定因素。缺少可验证的设备身份会造成ACL无法解决的复杂性。
NO4:使用VLAN进行微隔离
VLAN在网络管理中起着重要的作用,将平面网络划分为较小的段,可以更轻松地对其进行管理和保护。但是,尝试使用VLAN创建零信任的安全环境太复杂了。由于配置的复杂性是维护和管理的挑战,因此存在许多VLAN的漏洞需要克服。
在几台交换机上创建数十个VLAN以用于隔绝或隔离目的是一种标准实践,但在数百或数千个分布式物理和虚拟交换机中创建和维护VLAN却不是。甚至SDN的承诺都没有解决VLAN管理难题。一位客户在一个废弃的SDN项目之后表示:“我们所做的就是将VLAN问题从一个域转移到另一个域。”
这种权衡模式经常在传统的隔离策略中重复出现。组织被迫在安全性和简单性之间进行交换,反之亦然。无论哪种方式,它都会给组织带来巨大的成本或重大风险。
NO5:不了解微隔离和隔离之间的区别
组织通常认为,使用传统的网络隔离技术就可以实现微隔离。实际上,两种方法在隔离网络资源方面存在显着差异,并且它们不可互换。网络隔离是在整个网络内创建子网或区域的做法。这包括隔离特定类型的数据或流量,例如PCI DSS规定的支付数据,防止攻击者一旦进入网络边界即可实施横向移动,或者通过有效地路由数据来提高系统性能。
通常根据地理区域或现有网络层(例如数据,应用程序或网络)创建新区域。网络隔离被广泛认为是实施南北向网络流量控制的方法。一旦进入网络的指定区域,所有通信、软件应用程序和用户便会受到信任。通常,组织通过VLAN或防火墙来构建网段,使用多达一千个过程粒度的策略来控制每个网段。鉴于当今公共云和容器环境的广泛使用,基于网络特征管理安全性是一种无效的隔离方法。
软件定义网络(SDN)和网络虚拟化的兴起为微隔离铺平了道路。通过这种安全技术,可以将细粒度的策略分配给数据、中心或边缘部署中的隔离工作负载。微隔离通常被称为虚拟化安全性的“零信任模型”,这意味着在工作负载或应用程序中仅专门启用必要的操作和连接,而其他所有内容均被阻止。它通过应用非常精细的安全控制来限制东西向流量 ,从而收缩了网络攻击面。此外,无论是否涉及虚拟机(VM)、容器或功能,它都会创建一个软件定义的边界(SDP)。
显然,微隔离理念和技术的真正落地应用,还需要配备相应的角色、掌握真正的业务特性、坚持持续的运营。安全控制措施粒度越细,对IT部门的要求越高,不仅需要专门的管理角色,甚至专业的小团队,还需要了解数据流、系统、应用和服务之间的交互。同时微隔离可持续性,即长期的运营,至关重要。因为企业的网络、资产是动态发展的,新资产引入,新技术的引入,原有微隔离策略就需要调整变更。没有一劳永逸的微隔离。
参考资源
【1】Five common micro-segmentation mistakes and how to avoid them,www.tempered.io
【2】What is Micro-Segmentation? www.vmware.com
声明:本文来自天地和兴,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。