微分段安全技术解析：云原生环境下的零信任实践 P2

书接上回：微分段安全技术解析：云原生环境下的零信任实践 P1

微分段的类型

微分段为动态环境提供保护。例如，云原生架构如容器^[1]和 Kubernetes 可以在几秒钟内启动并关闭。分配给云工作负载的 IP 地址是短暂的，使得基于 IP 的规则管理成为不可能。在微分段中，安全策略以身份或属性（env=prod, app=hrm 等）而不是网络构造（例如，10.100.0.10 tcp/80）的形式表达。应用或基础设施的变化会触发安全策略的实时自动修订，无需人工干预。

容器分段

容器分段涉及将容器从彼此及宿主系统隔离开来，以提高安全性并减少攻击面。容器化是一种广泛使用的技术，允许在单个宿主系统上的不同容器中运行多个应用程序或服务。如果没有适当的分段，容器可能会访问彼此的数据和配置文件，这可能导致安全漏洞。

容器分段的最佳实践

• • 容器隔离： 每个容器应从运行在同一宿主系统上的其他容器中隔离开来，以防止未授权访问。这可以通过使用 Docker 和 Kubernetes 等提供内置隔离机制的容器技术来实现。

• • 网络分段： 可以使用网络分段技术将容器彼此分开。这涉及为每个容器创建独立的网络，并配置防火墙规则以允许或拒绝容器之间的流量。

• • 基于角色的访问控制： 可以使用基于角色的访问控制（RBAC）定义不同容器的访问策略，根据用户角色和权限进行管理。这有助于确保容器只被授权的用户和过程访问。

• • 镜像签名： 容器镜像可以进行数字签名，以确保只有经过验证的镜像才能在生产环境中部署。这有助于防止容器镜像被篡改或修改，从而减少安全漏洞的风险。

• • 运行时保护： 运行时保护工具可以用来监控容器活动并检测可能表明安全漏洞的异常行为。这些工具有助于实时检测和防止攻击，提高容器化环境的安全态势。

容器分段有助于确保容器化应用程序和服务的安全。通过隔离容器并应用访问控制策略，组织可以减少攻击面，并防止未授权访问敏感数据和资源。容器分段应作为整体安全策略的一部分实施，包括网络安全、访问控制和运行时保护。

云安全中的用户分段

云安全中的用户分段涉及根据组织内不同角色和职责划分用户访问权限，以确保用户只能访问其工作功能所需的资源。用户分段通过限制敏感数据和资源的暴露范围，仅限于授权用户，从而减少攻击面。

由于云环境的动态性和快速变化，用户分段是全面云安全策略的关键组成部分。以下是云安全中用户分段的一些关键考虑因素：

• • 基于角色的访问控制（RBAC）： RBAC 涉及创建和定义角色的权限，然后根据工作职能将用户分配到适当的角色。这种方法确保用户只能访问其工作功能所需的资源，减少意外或故意数据泄露的风险。

• • 多因素认证（MFA）： MFA 要求用户提供多种形式的认证才能访问资源。这可能包括密码、安全令牌或生物识别数据。MFA 是一种有效的方法，特别是与 RBAC 结合使用时，可以防止未授权访问云资源。

• • 持续监控： 持续监控用户活动对于实时检测和响应安全事件至关重要。这涉及分析日志数据和用户行为，以识别威胁和漏洞。

• • 职责分离： 职责分离涉及在多个用户之间划分责任，以防止任何单一用户对系统或过程拥有过多控制权。这有助于降低欺诈或错误的风险，并确保敏感操作由多个用户执行。

• • 定期访问审查： 定期访问审查涉及定期审查用户访问权限和权限，以确保它们仍然是必需的。访问审查有助于识别和移除不必要的访问权限，减少未授权访问的风险。

通过实施 RBAC、MFA、持续监控、职责分离和定期访问审查，组织可以增强其云安全态势，保护免受不断变化的威胁影响。

微分段的益处

采用微分段的组织能够实现具体的益处，具体包括：

• • 减少攻击面：微分段提供了对完整网络环境的可见性，不会延缓开发或创新的速度。应用开发人员可以在开发周期早期集成安全策略定义，确保应用部署或更新不会产生新的攻击向量。这在快速发展的 DevOps 世界中尤为重要。

• • 改善数据泄露的防护：微分段使安全团队能够根据预定义的策略监控网络流量，同时缩短对数据泄露的响应和修复时间。

• • 加强监管合规性：利用微分段，监管官员可以创建政策，将受监管系统从基础设施的其余部分隔离开来。精细控制与受监管系统的通信，降低非合规使用的风险。

• • 简化策略管理：转向微分段网络或零信任安全模型提供了简化策略管理的机会。一些微分段解决方案提供自动应用发现和基于学习的应用行为的策略建议。

微分段的应用案例

微分段的应用范围广泛且日益增长。以下是一些代表性的例子：

• • 开发与生产系统：在最佳情况下，组织会仔细区分开发和测试环境与生产系统。然而，这些措施可能无法阻止疏忽行为，如开发人员为测试目的从生产数据库取用客户信息。微分段可以通过精细地限制两个环境之间的连接来强制执行更严格的分离。

• • 保护软资产：公司有巨大的财务和声誉动机来保护“软”资产，如机密的客户和员工信息、知识产权和公司财务数据。微分段为防止数据外泄和其他恶意行为提供了额外的安全级别，这些行为可能导致停机并干扰业务运营。

• • 混合云管理：微分段可以为跨多个云的应用程序提供无缝的保护，并在由多个数据中心和云服务提供商组成的混合环境中实施统一的安全策略。

• • 事件响应：如前所述，微分段限制了威胁的横向移动和泄露的影响。此外，微分段解决方案提供的日志信息有助于事件响应团队更好地理解攻击策略，并通过遥测数据帮助确定特定应用程序的政策违规情况。

微分段常见问题解答

网络分段与微分段有何不同？

虽然网络分段和微分段都有助于提升网络安全和性能，但它们在基础上有所不同。传统的网络分段侧重于进出网络的南北流量，并使用 VLAN、防火墙、路由器等设备实施。这些设备可以配置来执行网络层面的安全策略，如访问控制列表（ACL）或防火墙规则。

另一方面，微分段侧重于东西流量，通常使用基于软件的安全解决方案实施，如基于虚拟机的防火墙或端点保护平台（EPP）。微分段在个别工作负载或应用层面而非网络层面应用安全策略。

什么是防火墙策略？

防火墙策略定义了组织的防火墙应如何处理针对某些 IP 地址和地址范围的进出网络流量。策略可能关注用户身份、网络活动和应用程序，以及 IP 地址。

什么是虚拟网络？

虚拟网络使用软件连接计算机、虚拟机（VM）和服务器或虚拟服务器，与传统的物理网络不同，后者通过硬件和电缆固定在特定位置。

什么是应用依赖？

应用依赖是指软件、应用程序、服务器和其他组件相互依赖以执行其功能的情况。为确保服务不间断，应在将组件迁移到云、移到新的云环境或实施微分段之前绘制应用依赖关系图。

引用链接

[1] 容器: https://www.paloaltonetworks.com/cyberpedia/what-is-a-container

获取更多云原生社区资讯，加入微信群，请加入云原生社区，点击阅读原文了解更多。