您好,欢迎来到链接目录 - 您的网站目录之家!

当前位置:链接目录 » 站长资讯 » 产品资讯 » 文章详细 订阅RssFeed

从攻击面视角,看信创零信任方案实践

来源:网络转载 浏览:40010次 时间:2022-09-04

从攻击面视角理解零信任

Gartner在2022年发布的《2022年网络安全重点趋势(Top Trends in Cybersecurity 2022)》报告中,把“攻击面扩大”作为重要的一项提出。

报告指出:为了管理一系列扩大的安全攻击暴露面,组织机构需要关注的远不只是针对漏洞进行补丁修复。由于一系列数字化方案的应用带来的变化,例如新型混合网络架构、公有云的加速应用、互连更紧密的供应链、外部可访问数字资产增多及物联网科技的更多应用,导致攻击面大幅扩大。组织机构必须开始在传统的“安全屋”方案之上思考新战略,尽快采取行动提升安全可视化及关键业务的风险防范水平。

攻击面的定义是:一个给定的计算机或网络系统可以被恶意人员访问和利用的漏洞的总和。 为了对攻击面进行持续可视化呈现和缩减,需要做好以下几方面工作:

业务访问:即人访问业务系统的过程管理。

漏洞管理:优先级排序、分类与可视化处置。

资产安全:测绘、脆弱性管理、合规建设等。

零信任是一种架构和方法论,其关注点在于提供安全的应用访问路径。 从攻击面视角出发,零信任主要针对“业务访问”部分给出解决方案,可进一步细化为几个重点:

权限与路径:围绕人和应用的访问权限与路径,进行可视化呈现、梳理与管理,消除违规和越权访问,规划最优路径。

通信安全:将通信内容进行加密,对通信的双方进行身份校验,避免通信被监听或破坏。

内容审计:将通信内容进行还原、记录和留存。

在保护数据安全方面,相比数据安全领域的脱敏、泄露防护、数据库防护等专用技术,零信任解决方案的核心作用在“关口前移”。对于关键数据设置合理的访问权限与路径,实现高效率管理,从源头提升非法接触数据的难度和门槛,可以有效帮助数据安全整体方案进行落地。

零信任实践的三个层次

对于零信任建设,本文将按照以下三个层次进行分析:

零信任的三个层次

1、南北向:外部远程接入

在南北向,访问控制的主要挑战来自于传统VPN技术的几个隐患:

长期开放固定端口,导致网络层暴露面持续存在,这一缺陷在攻防演练中多次被攻击方成功利用。

长连接机制下,网络质量敏感型应用可能存在性能问题。

在多云和混合云接入环境下,权限控制不够精细或维护成本过高。

终端安全管控能力不足。

目前主流的VPN替代方案是软件定义边界SDP(Software Defined Perimeter),这一方案已有较为广泛的应用 ,其核心优势如下:

采用先认证再连接模式,避免固定端口暴露。

使用短连接方案,增强业务性能体验。

基于人和业务系统定制全局策略并实现动态自适应,在多云和混合云接入场景下更为适用,且能降低维护难度。

支持全品类主机和移动终端操作系统、SDK及浏览器环境接入,采用人+端+接入环境三维校验技术,在终端身份核验方面更具执行力,更适合移动应用和IoT终端接入场景。

2、东西向:内部主机互访

在东西向流量层面,零信任的主要解决方案是微隔离。其针对的主要安全攻击手段是横向扩散,也即攻击者获取失陷主机后作为跳板在安全域内继续扩大攻击,最终威胁到核心资产。 微隔离可以通俗地理解为业务系统间防火墙,在数据中心等场景中,大二层环境和虚拟化工作负载使得这一技术更为流行。

微隔离产品一般可以做三种分类,分别是:

Hyper-V微隔离:以VM为单位进行隔离。

网络微隔离:在L3/L4进行隔离(经常借助SDN控制器)。

主机微隔离:基于主机/业务系统进行隔离。

其中最受欢迎的微隔离方案是主机微隔离 ,其中一个原因是这个方案相对容易部署,通过管理平台和主机上部署Agent就可以开始部署策略。无论是Windows或Linux操作系统,Agent可以通过iptables等方式进行策略控制,而在管理平台上可以将主机互访关系与路径进行可视化与管理,并针对访问需求进行策略自适应计算、异常分析与下发,这种方案在云负载、虚拟负载和物理服务器上都保持一致有效,从而阻断东西向安全威胁,缩减业务交付时间和维护成本。

3、斜向:安全域访问控制

除了讨论特别多的南北向和东西向之外,兼具二者的所谓“斜向”经常被忽略,尤其是当网络规模足够大和安全访问控制策略足够复杂时,这一方向会显得尤为重要。 在跨广域网的多分支机构网络中,同时有众多远程接入用户,包括居家办公员工、供应链及第三方合作伙伴,此时安全域的划分与安全策略规划将会比较复杂。试想,此时两个主机之间的访问可能会跨三层及安全域,也就是说在南北和东西两个方向同时发生,而真正的访问控制落地会在安全设备的访问控制策略上,单纯的南北向或东西向权限控制都不能独立解决问题。

斜向对应的零信任解决方案是NSPM(Network security policy management)技术。 在NSPM的访问控制基线管理功能中,可以基于业务需求和安全域访问规则设置访问控制基线,访问控制基线信息至少包括源域、源地址、目的域、目的地址、协议、端口、动作等信息,支持黑白名单、高危端口、病毒端口的自定义,支持定期依据访问控制基线对网络访问控制策略进行检查,及时发现和清除导致非法越权访问的违规策略。此外,NSPM的网络暴露风险管理功能能够以某一主机或主机组为对象,自动化实现网络暴露路径与暴露风险的分析,从网络访问关系与安全路径的角度描述其对外的暴露情况,可以帮助用户及时了解某些重要主机与网络暴露面的大小、风险的高低,辅助用户进行暴露面收敛与暴露路径的安全加固。

为了系统性解决权限控制问题,需要将南北向、东西向和斜向解决方案进行有机结合。当前,将SDP、主机微隔离和NSPM结合的零信任解决方案并不常见,国内的厂商安博通是供应商之一,产品均已适配信创终端环境,在金融和运营商行业已有成功案例。

信创终端环境落地经验总结

将零信任技术方案应用于信创环境,工作主要在于完成相关软件在信创CPU(龙芯/鲲鹏/飞腾)、信创操作系统(麒麟、统信)及信创网卡和信创数据库等环境中的适配。这一落地过程中需要克服的主要技术难点包括:

硬件无关化程度:当软件主要在用户态实现时,迁移到信创过程中将不会涉及到过多的驱动工作,更加顺利。

解决跨平台编译和各语言、组件版本升降级问题。

各类国产化产品的适配和迁移工作。

克服开发工具链相对薄弱的现状进行持续调试。

与体系架构相关的开源软件重构和迁移。

通过几个体系的信创领域产品推进,零信任相关产品已经在信创终端环境下实现了较好的落地。从应用效果看,尽管在性能和加解密能力等方面还有优化空间,但已可以成功应用于通用环境。

未来展望

在政策和技术双重驱动下,零信任安全在信创领域已取得了不错成果,未来将会迎来更大机遇,尤其是在金融市场的加速应用。零信任解决方案的落地过程中需要关注多个层面,持续缩减攻击面和控制访问权限,守好前置关,成为数字化转型和数据安全的重要措施。

参考文献:

《Guide to Network Security Concepts》,Gartner

《Top Trends in Cybersecurity 2022》,Gartne

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

推荐站点

  • 站长资源平台站长资源平台

    2898站长资源平台作为最全面的站长资源服务平台,致力于为广大站长和网站运营人员提供包含了友链交换、站长资讯、友情链接、网站交易、免费流量交换、站长工具、网站资源交换、软文投稿、软文推广等各个领域,是站长最好的选择

    www.2898.com
  • 落伍者落伍者

    落伍者创办于2001年,系国内历史最悠久的互联网创业者交流平台。

    https://www.im286.net
  • 域名交易平台域名交易平台

    域名交易平台立足于打造一个以域名交易为核心,域名拍卖、域名竞价、域名经纪中介交易为主要交易方式的域名买卖平台,并提供域名抢注、域名展示页等辅助工具及应用,并成功为CCTV、苏宁、微软、百度Baidu、新浪SINA、QIHU 360、腾讯QQ等多家企业买回域名。

    https://www.ename.com
  • 爱名网爱名网

    爱名网22.CN为顶级域名、商标、SSL证书、云计算的注册与中介交易服务提供商,提供域名注册、商标查询、https申请;商标域名中介交易与拍卖、云主机与SSL服务器证书申请的企业互联网+云计算服务门户。

    https://www.22.cn
  • A5创业网A5创业网

    A5创业网是面向互联网创业者的创业创新服务平台,提供全方位的创业资讯以及创业实战经验,推荐前沿创业项目。A5创业网全力支持创业者实现创业梦想。

    www.admin5.com