文/ 柯善学

Illumio是在2020年第3季度Forrester Wave评测排名第一的零信任厂商,而且是一个微分段厂商。笔者不清楚Illumio究竟为何意,但与Illumio形似的单词Illumination有“照亮”之意。这也正是笔者给本文取名“照亮微分段”的原因。

本文希望解释Illumio是如何“照亮”微分段的。经初步分析知,Illumio的照亮方法主要是其独树一帜的“应用程序依赖关系图”(application dependency map)。基于此能力,Illumio实现了多种精度的分段能力:1)传统的粗粒度分段;2)流行的微分段(即应用分段);3)更精细的纳米分段(Nano-Segmentation);4)关键的用户分段。Illumio声称:目前安全界同时具备这么多个维度分段能力的厂商,只有Illumio一家。

微分段技术有三种主流技术路线:1)基础设施技术;2)虚拟化层(Hypervisor)技术;3)基于主机的微分段技术。长期以来,安全界对主机微分段技术并不看好。可是,Illumio就是一家基于主机的微分段厂商。它用行动证明:此一时彼一时,当今的主机分段技术值得高度重视

限于篇幅,本文中有几项关键内容没有展开:一是应用程序依赖关系图的实现原理(这是llumio的看家本领);二是自然语言策略的实现方式;三是针对Illumio微分段的红队测试评估的具体过程。若有机会,将在日后详述。

目录

1.微分段的三种技术路线

2.基于主机的微分段:克服历史偏见

3.Forrester对Illumio的评价

4.Illumio的分段能力

5.Illumio的应用可视化能力

6.Illumio零信任解决方案

7.Illumio如何满足零信任扩展框架

8.Illumio微分段的有效性评估

01

微分段的三种技术路线

传统的安全控制,通常难以保护基于云的混合工作负载。这使得微分段技术正在兴起。但是,使用哪种类型的微分段技术,可能会令人困惑。安全人员通常会权衡三种选择:基础设施技术、虚拟化层技术、基于主机的微分段技术。如下表所示:

微分段技术

优势

弱点

基础设施技术

(网络微分段)

  • 与用于网络工程的SDN部署保持一致

  • 非常适合针对投资保护和通用运行的单一网络设备供应商策略

  • 不支持移动或临时工作负载

  • 不支持异构混合云部署

  • 在网络中引入一个阻塞点,它会影响性能和网络工程

虚拟化层技术

(Hypervisor 微分段)

  • 与服务器虚拟化技术(如VMware)的大规模部署保持一致

  • 适合于通用运行工具和流程

  • 不支持移动或临时工作负载

  • 不支持异构混合云部署

基于主机的技术

(主机微分段)

  • 将安全控制与资产配置在一起

  • 充当天线(遥测)并收集有关工作负载的信息,然后将这些信息用于微分段策略和执行

  • 利用现有的基于主机的安全功能(即基于主机的防火墙和网络过滤)

  • 与移动和临时工作负载匹配良好

  • 数百或数千个工作负载的策略管理和强制执行,可能很复杂

  • 如果主机失陷,则可能引入安全脆弱性

表1-微分割的技术路线和优缺点

1)基础设施技术。随着SDN的出现,组织可以选择部署和使用SDN控制器进行微分段。这可以通过可对接SDN控制器API的第三方安全工具来实现,这些工具,也可以通过直接SDN编程来实现。这种方法对投资于SDN进行网络工程并致力于从单个供应商获得SDN技术的组织尤其具有吸引力。用于微分段的基础设施技术,非常适合相对静态的私有云部署,但不能保护具有移动和临时工作负载的动态混合云部署。这种类型的微分段会引入阻塞点,可能会影响网络性能并使网络工程复杂化。

2)虚拟化层(Hypervisor)技术。此选项特别适用于安装了大量VMware的公司。用于微分段的Hypervisor技术,在Hypervisor中模拟SDN控制器的功能。在VMware中,此功能分配给NSX。NSX非常适合大型VMware商场,因为它基于熟悉的工具,并与常见的操作流程保持一致。另外,基于Hypervisor的微分段,对于使用异构云和服务器虚拟化技术的组织来说,可能不是一个很好的匹配,因为它可能不支持这些其他环境,也不能为迁移到hypervisor域之外的移动工作负载提供保护。

3)基于主机的技术。一些组织选择将安全控制与工作负载本身配置在一起,而不是将微分段委托给网络。这样,策略执行规则就位于需要保护的资产旁边,这是一种安全最佳实践。此外,基于主机的技术,利用了现有的资产,如基于主机的防火墙,从而带来了强劲的投资回报。基于主机的微分段,对于移动和临时工作负载特别有用,因为微分段规则可以在配置时编程到主机中,然后不管位置或持续时间如何,都会保留在工作负载中。基于主机的技术可能很复杂,因为它们需要为数百或数千个工作负载,管理策略和实施规则,而不是几个集中的网络或虚拟化层。最后,基于主机的技术也会引入安全漏洞。如果一个主机遭到破坏,黑客就可以改变微分段规则,从而获得对更广阔网络的访问权。

02

基于主机的微分段:克服历史偏见

基于主机的微分段技术的反对意见。安全专家常常基于历史偏见,而忽视基于主机的安全技术。反对意见主要是:

1)基于主机的代理,会消耗资源并影响系统性能;

2)部署和管理成百上千个代理,是一件耗时的工作;

3)基于主机的技术,容易受到黑客的攻击,黑客会破坏系统并破坏安全控制。

基于主机的微分段技术的重新考虑。上述反对意见,都是历史上合理的反对意见。但现代的基于主机的微分段工具,已经克服了上述问题,具体如下:

1)性能问题已经过时。与杀毒软件和HIPS等其他安全产品不同,基于主机的微分段工具往往基于轻量级代理。这些代理不是内联的(inline),它们也不会将流量从内核路由到用户空间,以进行过滤和检查。相反,代理被用于查看连接表,收集遥测数据,向中央管理系统报告工作负载行为。一旦建立了策略,本地代理仅用于策略执行和监视。对于仍存在性能顾虑的安全人员,最好是对基于主机的微分段代理进行性能测试,亲自评估性能和操作影响。

2)集中管理解决运行开销问题。如今的基于主机的微分段工具,是通过集中管理和分布式执行的设计思想构建的。当代理安装在工作负载上时,它们收集遥测数据,然后向中央管理层报告应用程序和网络行为。然后,可以使用这些信息来推荐或定制细粒度微分段策略。通过这种方式,基于主机的微分段工具不仅可以集中管理,还可以通过应用高级分析和自动化,来简化混合云环境中的微分段操作,从而简化配置和策略创建。

3)注意到并解决了安全问题。安全漏洞理论如下:危害单个工作负载的黑客,可以操纵代理来绕过安全控制,执行网络侦察,并跨混合云基础设施访问所有其他工作负载。现代的基于主机的微分段工具,通过分布式防火墙和防篡改来克服此漏洞。安全策略和防火墙规则与各个工作负载密切相关,因此,即使主机受到危害,防火墙策略被删除,工作负载也只能与它有权通信的那些工作负载进行连接。所有其他工作负载仍然充当分布式防火墙,根据策略阻止未经授权的连接。一些基于主机的微分段工具,也在其代理中内置了防篡改功能。如果黑客试图删除代理或更改防火墙策略,受损的工作负载将向中央策略管理器以及SOC中的其他安全运行工具(即SIEM)发出警报。通过这种方式,基于主机的微分段代理也可以充当分布式的绊索,在检测到任何节点的可疑篡改时,发出警报。

综上可见,基于主机的微分段技术可以提供集中管理、分布式强制执行、防篡改和强大的安全性,能够很好地满足大型分布式混合云环境的要求。所以,应克服历史偏见,以新的眼光看待该项技术,从而做出技术选型。

03

Forrester对Illumio的评价

Illumio是Forrester Wave报告(2020年第3季度)中排名第一的零信任厂商,如下图所示:

图2-Forrester WaveZTX生态系统平台提供商(2020年Q3)

在Forrester Wave报告中,对Illumio的介绍内容如下:

Illumio智能实现零信任。过去,Illumio提供了一个强大的平台,专注于可见性和分析,为整个基础设施提供清晰可用的信息。供应商继续保持了这种强大的功能,但现在通过转移到端点来增强这种效率。通过与领先的端点安全提供商CrowdStrike的合作,Illumio已经帮助企业缩小了边界安全方面的差距,并为未来的工作做好了准备。

来自样板客户的反馈表明,该平台能够“嵌入”组织现有的安全工具,并显著提升该能力。作为一项额外的组织利益,Illumio通过单一的SKU为采购目的提供解决方案,并保证在一段时间内为Illumio指定一名工程师,以确保零信任任务得到客户的良好支持。

如果Illumio通过合作或内部开发来保护移动设备,它们将成为ZTX的闪亮之星

使用这个系统确实需要一个协调一致的努力和有重点的战略计划;用户最好记住这一点。即使是和Illumio这样的合作伙伴,零信任也没有“轻松”按钮。如果企业希望找到一个能够超越未来工作要求的解决方案,并希望获得全面的ZT产品,则应评估Illumio。

04

Illumio的分段能力

下图充分展示了Illumio的分段能力

图3-Illumio的分段能力(自适应分段)

解读1Illumio的分段能力(图中橙色圆环带)包括图中的4个象限:1)粗粒度分段;2)应用分段(也称微分段);3)纳米分段(Nano-Segmentation);4)用户分段。目前安全界同时具备这么多维度分段能力的厂商,只有Illumio一家(当然,这是Illumio自己声称的)。

解读2:基于网络(Network)的分段(图中深灰色圆环带)和基于虚拟化层(Hypervisor的分段(图中蓝色圆环带),都只有粗粒度分段能力,和少许的应用分段能力。可见,Illumio的微分段能力远远强于网络分段和Hypervisor分段方法

解读3:为何Illumio的微分段能力如此强大?因为Illumio应用可视化能力

05

Illumio的应用可视化能力

上面提到,llumio的强大微分段能力,依赖于Illumio的应用可视化能力。也就是,应用程序依赖关系映应用程序依赖关系图(application dependency map)。

Illumio实现应用程序依赖关系映射的工作原理是:

  1. 了解应用程序环境

  2. 组织应用程序环境

  3. 保护应用程序环境

  4. 适应应用程序环境的变化

  5. 识别应用程序中的不合规行为

Illumio使用应用程序依赖关系映射的方法是:

  1. 识别可能成为潜在目标的关键资产

  2. 了解资产的相互连接关系——它们用来相互通信的端口进程是什么;

  3. 计划和测试保护基础设施所需的安全策略

  4. 建模和测试以了解安全策略的有效性;

  5. 为你的正常基础设施流量建立基线,并识别异常和不合规的流量行为。

这里只列出了工作原理和使用方法的提纲。笔者计划日后再对其展开详述。再次强调:应用可视化是llumio的看家本领。(llumio公司在转向零信任之前,就是做可视化的。)

06

Illumio零信任解决方案

微细分在实现零信任安全方面起着关键作用。通过限制攻击者的横向移动并减小攻击面,微分段已成为保护组织免受破坏的最佳技术之一。

Illumio零信任解决方案主要分为两个部分:

  • Illumio Core(核心):提供了一个与网络无关的基于主机的解决方案,可以轻松高效地大规模部署微分段。

  • Illumio Edge(边缘):将分段扩展到端点,以实现真正的端到端分段部署。

下面展示了Illumio Core(核心)架构:

图4-Illumio Core(核心)架构

其关键组件是策略计算引擎(PCE)和虚拟执行节点(VEN),分别发挥策略决策点(PDP)和策略执行点(PEP)的作用。

另外,对于零信任这类访问控制模型而言,安全策略的编写方式对于用户体验非常重要。图中的自然语言策略,使得用户可以采用自然语言方式轻松描述安全策略。可能在日后再做进一步描述。

下图展示了IllumioEdge(边缘)如何与端点保护平台(EPP)的最强者CrowdStrike进行集成:

图5-IllumioEdge(边缘)与CrowdStrike的集成架构

07

Illumio如何满足零信任扩展框架

我们知道,Forrester开发了零信任扩展(ZTX)框架,该框架由应应用零信任原则的企业生态系统的七个组成部分组成。也称为七个支柱,参见《 美国国防部零信任的支柱》中的图2和图3及其说明。

图6-Forrester零信任扩展(ZTX)框架七个支柱

下面看看,Illumio零信任解决方案如何对齐零信任扩展(ZTX)框架。

1)数据安全

在零信任扩展(ZTX)框架中,需要实施数据隔离、加密、控制。

Illumio的对应功能包括:

  • 使用微边界,保护数据和应用程序;

  • 安全机制可跟随数据,无论数据在何处;

  • 保护传输中的数据;

2)网络安全

零信任扩展(ZTX)框架中,需要实现网络隔离、分段、安全原则。

Illumio的对应功能包括:

  • 采取默认拒绝方式的分段;

  • 精细的策略设计和测试;

  • 与基础设施无关的强制执行;

  • 违规告警;

3)工作负载安全

零信任扩展(ZTX)框架中,需要保护客户用于运营业务的应用程序和工作负载的安全。

Illumio的对应功能包括:

  • 大规模的细粒度的策略控制;

  • 进程级的强制执行;

  • 安全机制跟随工作负载,无论工作负载在何处;

  • 简化部署;

4)人员

零信任扩展(ZTX)框架中,需要确保人们只能在您的网络和业务基础设施中获得他们被授予的访问权限。

Illumio的对应功能包括:

  • 基于用户的分段;

  • 远程访问控制;

  • 防止横向运动;

5)设备

零信任扩展(ZTX)框架中,需要保护连接到网络的设备。

Illumio的对应功能包括:

  • 设备级的微分段;

  • 未知设备检测;

  • 设备隔离;

  • 使用PKI证书,验证机器身份

使用Illumio Edge

  • 无论在网络、远程和公共wifi上,都可以保护远程用户设备免遭勒索软件的传播。

  • 采取白名单方式,列出端点便携式计算机之间的对等应用程序连接。

  • 补充网络准入控制(NAC)、端点检测和响应(EDR)、端点保护平台(EPP)解决方案,具有默认抑制能力,即使在检测之前。

  • 支持动态和可感知网络位置的端点分段。

6)可见性和分析

零信任扩展(ZTX)框架中,需要消除高价值系统和基础设施中的盲点。

Illumio的对应功能包括:

  • 整个环境的实时可见性

  • 好不费劲的发现和分类

  • 全面的审计

7)自动化与编排

零信任扩展(ZTX)框架中,需要能够跨异构环境自动化和编排IT运营和安全流程。

针对此功能,Illumio集成了:

  • 编排工具:Chef;Puppet;Ansible;

  • 容器平台编排:Red Hat OpenShift;Kubernetes;Docker;

  • CMDB:ServiceNow CMDB;BMC Remedy;

  • SIEM和安全分析:Splunk;IBM QRadar;

  • 漏洞管理工具:Qualys;Tenable;Rapid7;

  • 公共云工具:AWS Cloud Formation;AWS GuardDuty;Azure和AWS流日志(flow logs);

  • 开源集成,包括 AWS或Azure流日志;

此外, Illumio还展示了大规模的可见性和分段,可支持超过20万个OS实例

8)可管理性和可用性

零信任扩展(ZTX)框架中,易用性和可管理性对实现零信任具有重要价值。

Illumio的对应功能包括:

  • 加速实现零信任:在数小时至数天内,分段您的环境;

  • 利用现有的投资,包括主机防火墙、交换机、负载平衡器,在传统系统和混合系统中强制分段;

  • 使应用程序所有者可以使用自然语言,大规模创建和更新策略;

  • 简化的防火墙变更管理流程;

  • 企业级RBAC,以确保在策略所有者、供应者、安全运营、合规和审计人员之间的职责分离;

  • 集成领先的安全工具,以自动化和编排安全工作流,例如事件响应、补救、漏洞管理;

9)API

零信任扩展(ZTX)框架中,需要利用API在整个企业中实现零信任策略的创建和强制执行。

Illumio的文档齐全的REST API,支持与多种编排工具的集成,其中包括:

  • OneOps;

  • Chef;

  • Puppet;

  • Jenkins;

  • Docker;

  • OpenStack Heat/Murano;

10)基础设施

零信任扩展(ZTX)框架需要应对未来发展,即一个远程、BYOD且较少依赖基于边界的基础设施。

Illumio通过以下方式支持这种未来状态:

  • 经过验证的高度可扩展的端到端的微分段

  • 不受网络基础设施、网络设计、底层数据中心结构或SDN架构的影响。

  • 跨端点、用户、网络、数据、工作负载、应用程序的端到端的可见性和控制。

  • 基于用户、设备认证、网络位置的分段策略。

  • 根据用户身份和组成员身份,控制VDI中远程用户的应用程序。

  • 按需IPsec加密,可保护工作负载之间(与操作系统或位置无关)移动的所有数据。

  • 基于漏洞的分段,可优化补丁程序或作为未打补丁设备的补偿控制。

解读:Illumio方案与ZTX的对齐性,多少也是Illumio能在Forrester Wave评测中获得最佳的重要原因之一。

08

Illumio微分段的有效性评估

说百遍不如打一遍。为了证实主机分段技术的有效性,从2020年3月开始,Illumio邀请红队Bishop Fox,对Illumio微分段机制进行攻击测试和评估。并在2020年6月,Illumio与红队Bishop Fox一起发布了评估报告。该报告验证了其技术的有效性,证实Illumio微分段可以使攻击者的速度降低22倍。

评估过程中定义了四个测试用例:

  1. 对照组(无隔离):表示没有分段的扁平网络。

  2. 用例1(环境隔离):即生产环境工作负载和开发环境工作负载的隔离。

  3. 用例2(应用程序分段):在应用程序之间进行分段。

  4. 用例3(应用分层分段):在特定应用程序和环境中的不同层进行微分段,粒度最细。

下图展示了上面四个测试用例的测试结果:

图7-四个测试用例的结果

从上图的评估结果看,随着分段能力的增强,红队达成攻击目标的时间越来越长

限于篇幅,评估过程不在本文中展开。可能会在日后详述。

声明:本文来自网络安全观,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。