- 前言
2020年8月NIST正式发布《零信任架构标准》,其中总结了基于微隔离技术的零信任架构体系。结合微隔离控制中心+代理/虚墙的工作模式,通过对数据中心工作负载进行风险评估,控制中心可以动态的向代理/虚墙下发控制策略,限制各业务之间的访问权限。微隔离架构的明显优势在于能够实现网络流量的可视化,能自适应网络结构变化,当然,网络规模越大,控制中心策略分析就越复杂,其庞大的计算量,也注定了运维的高成本。
那么微隔离架构究竟在零信任中担任了什么重要角色呢?
微隔离谨遵零信任的核心原则——最小权限,不再划分网络边界,一切用户及业务的前提都是不可信的。用户或app访问任何业务都需要经过验证,这种负责南北向流量的安全架构称之为SDP架构。有南北向,就要有东西向,业务与业务之间的访问,同样存在安全隐患,假设一台web服务器被攻破,由于门户网站对DB有很高的访问权限,黑客将无阻拦的通过web服务器进一步攻破数据库,而微隔离正是解决这种东西向安全的零信任架构。SDP控制用户/app对业务的访问,微隔离限制用户在业务内部的移动,两者结合,可以最细粒度的实现网络流量的全面可视化及最大力度的访问控制,保护数据中心的安全。
- 微隔离概述
微隔离的实现方式是将数据中心内部所有的业务按照特定的原则划分为数个微小的网络节点,根据动态策略分析对这些节点执行访问控制,在逻辑上将这些节点隔离开,限制用户横向移动,这就是微隔离。在微隔离的架构中,不再存在内、外网的概念,而是将数据中心网络隔离成了很多微小的计算单元,这里我们简称节点。每个节点要访问其他节点的资源,都需要经过微隔离客户端的认证,如果节点身份认证不通过,或不具备访问权限,会被客户端拦截。
节点可以是门户网站,可以是数据库、审计设备,甚至一个文件服务器,只要具备一定的数据处理能力的单元,都可以成为一个节点。他们不再因处于内网而被认为是“可信的”,所有节点都被逻辑隔离,节点之间的访问都是受控的。节点划分越细致,控制中心对整个数据中心网络的流量可视化就越清晰。
根据NIST给出的微隔离架构标准,我们绘出微隔离部署结构图:
微隔离主要元素说明:
- 微隔离客户端:通过代理或虚墙实现,主要包括流量信息收集和策略执行两个部分。向控制中心反馈当前网络中的业务流量信息,实时上报业务动态,接收控制中心下发的策略控制指令,执行安全策略动作,
- 微隔离控制中心:主要包括管理引擎和策略管理两个控制块。管理引擎接收客户端发送的流量数据,并根据这些信息建立业务模型,交由策略管理模块分析当前网络形势,进行多维度策略运算,动态生成安全策略,并下发给客户端执行,通过流量自学习实现策略自适应。
微隔离系统运行流程:
- 确定业务主体:我们首先要明确微隔离系统需要管理的对象是什么,如何划分节点。节点的划分原则主要有两个,一个是要符合数据中心的业务体系,一个是要尽可能降低策略计算的复杂度。例如按当前网络中的业务类型划分、按照业务或部门职权划分,按照重要性优先级划分等;
- 客户端收集业务流量信息,上报管理中心,并实时监测业务流量走向;
- 管理引擎绘制业务流量拓扑,根据流量数据判断网络结构变化,更新拓扑信息。
- 业务节点发送访问申请,客户端接收到申请后上报管理中心。
- 策略管理模块分析业务流走向,启动策略运算,下发安全策略至微隔离客户端。
- 客户端策略执行,业务认证通过且具有访问权限,流量放行;认证不通过或认证权限不够,执行相应的阻断动作;输出策略匹配日志信息。
- 微隔离技术路线
微隔离方案落地可选技术路线包括代理隔离、虚墙隔离、混合模式。
- 代理隔离
通过代理软件实现隔离,需要将代理部署在网络中的每个节点,节点通过代理向微隔离客户端申请认证,客户端通过代理来控制节点用户的网络行为。这种方案不需要考虑底层架构,且方便节点迁移,代理保留节点身份信息,控制中心安全策略计算复杂度相对降低。但劣势也比较明显,需要为数据中心所有节点安装客户端,节点划分最低到主机级别,业务划分粒度有限。
- 虚墙隔离
通过虚拟防火墙实现隔离。基于防火墙技术,具有更好的安全性,且易于扩展虚墙的DPI、AV、IPS、WAF等功能,集成多类型日志信息。其劣势在于虚墙的费用相对较高,且性能优化困难。
- 混合模式
数据中心网络拓扑情况十分复杂时,可适当结合代理和虚墙两种模式,针对具体情况选择易于实施的技术方案,当然,混合模式也会增加管理难度,增加微隔离客户端的实现开销。
- 基于主机Agent实现微隔离
基于主机Agent的技术往往利用部署在主机上的终端软件来进行安全管理。
传统的隔离技术,基本上是面向网络进行的安全管理,通过将主机组织成安全域,进而在域间进行安全管理。而基于主机Agent的技术则完全打破了这一传统的思维模式,将管理的对象从网络转向了主机自身,构建起从主机到主机的管理体系,从而使整个安全管理过程更加灵活。
基于主机Agent模式的部署方式比较简单,也是当前使用的最多的一种方式。这种方式可支持各类云架构。可实现虚机、容器统一纳管且角色化访控,精细度高、灵活性强,分布式策略执行,性能压力较小。
虽然这种方法需要在工作负载中安装agent,但是因为其在混合环境下具有明显的优势,目前已经成为微隔离的最主流技术。
所有安装了Agent代理的主机通过外部控制中心进行策略控制并协调代理通信。虚拟主机之间的通信亦可通过代理进行隧道加密传输,所有的访问动作都必须依赖于策略管控,安全性得到大大的提升。
这种实现方式主要在于主机的系统环境兼容,对底层架构环境的依赖性不高,降低了对虚拟化平台的复杂适配兼容工作,也解决了其他几种方式在容器环境下防护能力缺失的问题。
实现主机Agent模式的难点在于Agent部署的工作量庞大及其对主机资源占用的问题,但基于主机Agent实现的微隔离具备与基础架构无关,能够支持混合云,策略可随主机自动迁移等多维度的优势,已经成为了当下应用最为广泛的实现方式。
- 微隔离的实践与应用
零信任最核心的原则是最小权限(Least Privilege),而微隔离就是零信任解决方案的最佳实践之一。业界领路人的多年探索,后起之秀的努力开拓,让微隔离系统无论在性能还是易用性上,都得到了空前的发展。这当然也离不开云计算技术的推动,合理利用当下的大数据资源,是微隔离能够取得阶段性突破的前提。无论是对数据流信息的可视化构建,还是动态安全策略的计算,都需要我们打破传统静态拓扑的思维,从自适应的角度出发,绘出一个彼此隔离却又互相交织的网络蓝图。
我们不再针对传统网络结构中诸如IP地址、域、地区等简单概念创建安全策略,而是建立在权限的基础上,控制网络业务之间的互访,可以基于用户、基于业务类型或是基于分级,通过对业务流量拓扑的分析,用最快的速度给出最合理的、最适于当下的规则集。
要将基于微隔离的解决方案应用到实践中,需要对数据中心业务有足够的了解,对网络模型有个大概的预判,我们最终的实现目的,是要对网络环境有足够的管控力,当然,如今的微隔离技术亟待解决的难题还有很多,比如:
- 业务运行环境越复杂,管控粒度越细,策略的计算难度就越高;在庞大的网络体系下如何最大程度提升性能,实现秒级运算,是当下一大挑战。
- 需要做到全方位自适应动态策略生成,包容大范围网络迁移。
- 基于可视化的业务网络中,如何确定微隔离部署的最佳位置,才能最大程度降低拓扑的绘制难度,又不易引起网络中断。
- 在庞大业务群中如何定义业务的多重认证,做到在提高安全性的同时不提高认证延时。
- 德迅零域(微隔离)
- 产品概述:
德迅零域·微隔离安全平台可部署在混合数据中心架构中,实现跨平台的统一安全管理,通过自主学习分析、可视化展示业务访问关系,实现细粒度、自适应的安全策略管理。产品在真实威胁中,可快速隔离失陷主机网络,阻断横向渗透行为,让零信任理念真正落地。
Agent:实时采集业务网络连接和资产信息,接收服务端指令,管控主机防火墙。
计算引擎:聚合、统计网络连接,进行可视化呈现,根据业务流量生成网络策略,并分析策略的覆盖。
控制台:控制台可清晰展示网络连接和策略配置情况,用户通过控制台集中管理网络策略并进行隔离操作。
- 产品功能:
数据库审计:自动学习业务访问关系,并以多种拓扑图清晰展示,结合资产信息,为策略制定提供基础。
策略好管理:依据不同管理场景,配置不同粒度的控制策略,并随业务或环境变化自适应调整策略,实现自动化运维。
策略易验证:在不真实拦截流量的情况下,持续监控学习业务访问关系,自动验证策略准确性和覆盖度。
管控多选择:访问控制模式决定控制策略如何放行/阻断网络连接,配合不同的管理要求,支持不同强度的控制模式。
威胁可隔离:在发生真实攻击场景下,提供应急响应手段,迅速隔离失陷主机网络,防止威胁进一步扩散。
保护更全面:对未部署Agent的网络设备和业务敏感主机实现保护,并可对DMZ区主机的外网访问进行控制。
- 产品亮点
- 结束语
挑战越大,机遇也就越大。微隔离能够带给我们的,是更智能的安全解决方案。可视化的全面部署,能清晰的呈现业务运行状态,为用户行为跟踪、故障定位、攻击溯源提供了有效的手段。业务服务器受到微隔离系统的管控,实时监测网络行为,将渗入内网的攻击截断在用户级节点,防止大范围扩散。
5413
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
