微隔离让您看到更多
扁平网络构建数据中心由于其架构简单、节省成本、便于拓展及维护,成为企业新宠。尤其是在业务快速变化、虚拟机数量庞大的互联网行业及大型企业。但实际上,攻击者也更喜欢扁平化网络,因为一旦扁平网络上的单个主机被控制,网络其余部分的安全性就会像纸牌屋一样。一旦企业被渗透,不速之客们(外部攻击者或内部恶意人员)就可以借助扁平网络在内部进行扫描、识别、窃取高价值资产等不受限制的网络访问。与之相反的是,在应用这些便捷的架构时,多数企业并没有完全认识到这些风险。
扁平网络的安全风险
在应用扁平网络的大多数企业中安全建设的重点仍然在网络的边界,但边界安全的能力也非常有限。根据Verizon2018年的数据泄漏报告,73%的攻击行为是由外部攻击者发起的,包括去年A站数据泄露、台积电勒索病毒的爆发等,这些事件及数据说明,尽管我们在边界建造了越来越坚固、越来越高的“墙”来保护我们的安全,但这些措施并不能非常有效地阻止那些顽固的、有充分能力和资源的攻击者。在安全行业,一直有一种新型的安全理念--“假定入侵”--这就是要求首先假定你的网络防御将受到攻击。类似于目前比较热的“零信任”概念。
对于扁平网络,攻击者往往首先攻击一个系统或设备作为“跳板”,然后在网络中横向移动,以获得最有价值的资产,而且往往会建立多个“联络点”,并隐藏起来,防止单点暴露后的“全军覆没”。在扁平网络中,默认策略是允许所有设备和应用彼此通信,所以很难确定主机间连接和数据流的合法性。就算一些严格的企业在业务上线时要求上报业务访问关系,但实际环境中一是无法获取内部实际的访问情况,二是没有有效的控制手段,对于异常行为依然无能为力。
当攻击者试图悄悄地穿越网络时,扁平网络也更容易隐藏。这段隐藏的时间被称为驻留时间,全球平均的驻留时间为101天。从近几年著名的网络攻击事件我们可以发现,黑客在这些攻击中驻留时间更长,甚至达到几年。
威胁也可能来自内部
扁平网络同样也是内部攻击者的游乐场。内部攻击者要做的第一件事就是收集更多的凭证,或者使用他们现有的高级权限,访问职责范围以外的系统。想想内部主机通用的用户名密码,以及无法察觉的主机间访问关系。网络上的互通,为他们的行为提供了便利。
如何降低扁平网络的风险
正如上面所提到的,安全建设应该从一种“假定入侵”的心态开始。即使是最好的边界防御,迟早也会被攻破。这种心态让你可以像攻击者一样思考,并提出相关问题。
如:一旦攻击者在我们的网络中站稳脚跟,他们将通过哪些方式找到高价值资产?通向高价值资产有哪些路径?我们有什么措施来防止攻击者在网络中自由移动以及隐藏?
如果答案是“什么都没有”,或者“一些防火墙和vlan”(结果可能同样糟)。那么你可能需要马上采取行动来降低这种风险。
1.确定资产的重要程度。首先你要先确定哪些是你的重要资产,这可能并不是安全部门可以决定的,而是需要多部门,不仅是业务部门,甚至涉及到法务及财务部门,共同来确定资产的重要程度。
2.确定最佳的保护方式。保护重要资产有许多层面需要考虑,包括身份识别与访问管理(IAM)、漏洞管理和微隔离等。微隔离是为了确保业务主机只能被与其有业务关系的主机访问,且这些主机只能按照允许的特定业务流访问。
3.选择适用的解决方案。挑选解决方案首先要分配好内部执行的团队,可能是安全部、业务部、网络部或者IT部,甚至是多部门的协作共同去挑选、讨论市场上可用的解决方案。对于隔离手段,我们强烈建议企业从不同的供应商那里寻找不同的隔离方案,但同时考虑与环境的适配性(降低部署运维成本),自动化能力(几千、上万台虚拟机靠手动是不可能的),性能损耗(投入成本、业务影响),支持未来技术发展(投资有效性,是否支持容器、混合云等),内部业务流量的可视化能力(实际业务流是否与规划一致)等方面,最后完整的测试很有必要。
扁平网络的普及程度正在增加,但与此同时,恶意攻击者的胃口也在增加,这是一个危险的组合。认识到扁平网络的风险是第一步。转变成“假定入侵”的心态,从而开启降低风险的过程。而微隔离可以有效的帮助企业降低内部攻击面--有助于确保扁平网络不会最终成为攻击者的天堂。
声明:本文来自蔷薇灵动,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。