2020年6月底,NIST发布《网络靶场指南》,定义了网络靶场,并总结了网络靶场的特征及类型。网络靶场是网络、系统、工具和应用程序的交互式、模拟平台和展示。具有五大关键特征:技术要素、真实性和逼真度、可访问性和可用性、可扩展性和弹性以及相关课程和学习成果。NIST的网络靶场定义范围主要围绕网络安全教育、认证和培训的使用案例、功能和类型来进行描述,且由美国国家网络安全教育计划(NICE)网络靶场项目小组编写,所以其总结的网络靶场特征及类型偏重于特定范围。
NIST《网络靶场指南》的价值在于针对网络安全培训、教育和人才培养的生态系统中不断增长的培训方法和规范的多样性在网络靶场内部署的各种技术和方法的探索和分析,并总结了有关网络靶场内关键功能的参考资源。
NIST将网络靶场的技术框架划分为四层,分别是编排层、底层基础架构层、虚拟化层和目标基础设施层。其技术框架图如下所示:
图1 NIST定义的网络靶场技术框架
NIST的网络靶场的技术框架中,由于其主要围绕网络安全教育、认证和培训的使用案例、功能和类型来进行描述,所以其技术框架的主体是靶场学习管理系统(Range Learning Management System,RLMS)。靶场学习管理系统是培训靶场典型的最主要功能,在培训靶场的靶场学习管理系统中,包含通用学习管理系统(LMS)的标准功能和网络靶场的独特特征。这些网络靶场的独特特征包括其定义的网络靶场四层。
编排层:从RLMS输入信息,编排层将网络靶场所有技术或服务组件整合在一起,有利于底层基础设施、虚拟化、隔离以及目标基础设施的网格化,支持公有云、私有云和专用硬件基础设施的动态网络靶场扩展。许多网络靶场使用内部开发的编排层,也有一些网络靶场使用成熟的商业产品来充当成熟模式的业务编排,直接和靶场的底层基础设施进行对接。
底层基础架构层:底层基础架构层包含的是网络、服务器和存储这些承载网络靶场数据和信息的基础设施,所有网络靶场都位于网络、服务器和存储的基础设施之上,区别在于有些靶场构建在通用的硬件上,有些靶场构建在虚拟化或云上,有些靶场构建在专用的定制硬件上。就目前世界网络靶场发展及本身的信息技术的趋势,结合可伸缩性、成本和可扩展性因素,网络靶场的底层基础架构正转向软件定义的虚拟基础架构。在网络靶场底层基础架构层,对客户需求的兼容度是衡量网络靶场能够实现多大程度上的真实性或逼真度。即网络靶场底层基础架构层能够实现多大的软硬件兼容,就能够最大程度的实现和还原客户所需环境的真实性或逼真度。因此靶场的底层基础架构其实是需要极大的软硬件集成能力。此外,尽管并非完全是基础架构的一部分,但许多网络靶场都采用了需要流量生成和攻击仿真的用例。
虚拟化层:大多数网络靶场都希望通过某种程度的虚拟化来缩小物理覆盖范围。NIST《网络靶场指南》指出具有两种通用方法:基于虚拟化管理程序的解决方案和软件定义的基础结构。不管采用哪种虚拟化方法,底层物理基础架构和目标基础架构之间的分离程度都会由于不必要的和不可预测的抖动和延迟而影响网络靶场的真实性。另一方面,如果没有此虚拟化层,网络靶场构建的成本将是不可承受的(即投入产出比完全不对等,除非是军事国防等目的不计成本)。它还充当目标基础结构(具有关联的攻击媒介)和基础结构(专用、公共云、私有云)之间的防火墙。
目标基础设施层:目标基础设施是学生在其中进行培训的模拟环境。根据用例,目标基础架构在某些情况下可以与学生的实际IT和安全基础架构匹配。高级网络靶场包含商用服务器、存储、端点、应用程序和防火墙的配置文件。基于学生的互动,RLMS将生成脚本来指示网络靶场的编排层创建目标基础结构。这些脚本可能包括特定于客户机的配置信息,如靶场IP地址、路由信息、服务器堆栈、端点软件等。
图2 NIST《网络靶场指南》的四层技术框架
NIST《网络靶场指南》除了上述的培训靶场技术要求的论述外,还着重描述了网络靶场的其他四个关键特征,包括真实性和逼真度、可访问性和可用性、可扩展性和弹性以及相关课程和学习成果。
从网络靶场的真实性和逼真度上来说,NIST《网络靶场指南》认为网络靶场代表现实世界的真实性对于开发可预测的运营和学习成果非常重要,但是也要考虑真实性和成本的平衡。个别技能的教学或培训可以使用不太真实的情景,主要能够达到培训或掌握技能的目的即可,在学生完全掌握技能方法后,可以在更加真实的环境中去练习和演练该技能。
从网络靶场的可访问性和可用性上来说,NIST《网络靶场指南》认为网络靶场的部署位置和靶场本身的复杂性是两个决定性因素。网络靶场的部署位置主要是基于云端的部署和本地的部署,不管是何种部署方式,网络靶场都要考虑好在用户需要的时候可以访问靶场技术和应用程序,并且尽可能提供优质的用户体验。这些一系列的背后就需要考虑网络链路、带宽质量、政策及靶场软硬件的负载等。网络靶场本身的安装、使用是否复杂将决定网络靶场的可用性。也就是说网络靶场的本身的安装、使用操作一定是人性化的,不能还是工程师界面或命令行操作接口;如果靶场本身比较复杂,那么靶场本身的可用性就比较低了。NIST《网络靶场指南》认为不管是用户选择靶场产品还是厂商设计产品,都需要考虑网络靶场的可用性,这是一个很关键的要素。
从网络靶场的可扩展性和弹性上来说,NIST《网络靶场指南》认为网络靶场的底层基础架构将是决定性因素。可扩展性是指网络靶场支持系统目标人群的能力,弹性是指增加容量以支持更多用户所需的时间。NIST《网络靶场指南》认为理想的靶场应该能够同时支持其所有潜在用户群,并可以根据要求立即增加支持其他用户的能力。但是通过调研来看,本都部署的靶场由于受限于本地机房的硬件资源,是不可能满足此项能力的,因此部署在公有云上的靶场才可能满足此项要求。
从网络靶场的相关课程和学习成果上来说,NIST《网络靶场指南》认为基于网络靶场的课程和学习成果对于所有利用网络靶场的可能用例和利益相关者目标都是至关重要的。网络靶场的相关课程和学习成果可满足和对标美国国家标准与技术研究院(NIST)的国家网络安全教育计划(NICE)所列举的类别、专业领域、工作角色、知识、技能和能力(KSA)。通过网络靶场,开发定制相应NICE框架课程,进行网络安全技能实操训,以增加和维护熟练网络安全专业人员的数量。
最后NIST《网络靶场指南》对目前市面上的网络靶场的类型进行了分类,这部分的内容主要结合了澳大利亚国防部发布的“网络空间靶场与测试台调查”论文的结果,将网络靶场的主要类型分为4类:模拟类、仿真类、叠加类、混合类。该结论在澳大利亚国防部发布的“网络空间靶场与测试台调查”论文基础上增加了混合类网络靶场的分类方法。
模拟类:NIST《网络靶场指南》对模拟类网络靶场的定义是,基于真实网络组件重建的一个综合网络环境,模拟运行在虚拟实例中,不需要任何物理网络设备。模拟类网络靶场对真实世界建模,通过模型之间的互动,分析各单元的行为表现。模拟类网络靶场部署容易,安装和维护费用较低;但是有研究指出,其测试结果准确性存疑。模拟类典型的案例就是美国空军的SIMTEX网络安全模拟器。
仿真类:NIST《网络靶场指南》对仿真类网络靶场的定义是,在专用的网络基础设施上运行,将已构建的网络/服务器/存储基础设施映射到物理基础设施上,成为网络靶场的物理基础设施。仿真类网络靶场可以在多个互连的环境中提供封闭的网络体验。仿真类网络靶场使用独立的物理测试台,配置出需要测试的环境,运行真实的软件。这类靶场要求能对硬件进行重新配置,可根据测试需要,采用不同的拓扑结构。仿真类网络靶场使用真实的计算机、操作系统、应用软件、有限的资源,能反映真实环境;当然,硬件投入比模拟类要高得多(这一点可以通过虚拟化来降低)。仿真类靶场典型的案例就是美国的国家网络靶场(NCR)。
叠加类:NIST《网络靶场指南》对叠加类网络靶场的定义是,运行在真实网络、服务器和存储设备之上的网络靶场。通俗点说就是利用现有的生产环境资源,建立的网络靶场环境。所以这类靶场称为“叠加(overlay)”,即在实际的生产现场软件上进行测试,使用实际的生产资源,而不是使用专门的网络靶场实验室。这类靶场在规模、费用和保真度方面都有优势,缺点是不够正规,比如重复测试,试验控制性较差,可能对实际网络造成不利影响。叠加类靶场典型的案例是美国国家科学基金会资助的全球网络创新环境(GENI)。
混合类:NIST《网络靶场指南》对混合类网络靶场的定义是,混合类网络靶场是由上述模拟、仿真、叠加三种靶场定制组合产生。混合类靶场典型的案例是弗吉尼亚网络靶场。弗吉尼亚网络靶场是利用本文档上面和列出的多个功能的靶场的一个示例。另一个混合靶场是2008年开始的“欧洲未来互联网研究与实验平台”。
声明:本文来自时间之外沉浮事,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。