軟件定義、云計算、微服務:如何做好新環境下的網絡隔離
責編:gltian |2019-01-29 14:15:25概覽
做年度計劃的時候,公司企業總會將安全當作頭等大事加以考慮,其中一個值得注意的防御方法就是網絡隔離。
遭遇網絡攻擊的時候,如果有做網絡隔離,便可以將攻擊限定在特定區域,防止攻擊者利用最初的立足點進一步探索公司網絡,從而控制攻擊的影響。分隔網絡并在每個區域應用強訪問控制的方法,可以隔離攻擊,防患于未然。
但時至今日,企業網絡已不僅僅是網絡,而是大量傳統網絡、軟件定義網絡(SDN)、云服務和微服務的集合。該混合環境的分隔需要升級版分隔方法。
本文將介紹網絡隔離該如何入手,講述應該提前規劃和避免的一些問題。
開始
指定基本網絡區域是最成功的網絡隔離切入方法。萬變不離其宗,不管混合網絡復雜到何種程度,應總是從最簡單的區域開始分隔。初始區域通常包括內部、外部、互聯網和隔離區(DMZ)。然后可對初始區域進一步調整細分和設置訪問策略,最終形成可接受的分隔設置。
夯實安全策略
公司企業制定應用到區域間允許端口及協議上的標準策略。該策略應完全文檔化,以可被快速查閱的形式呈現,不能僅僅是IT安全經理腦中那團變來變去的非正式“規則”。只要安全策略集中統一到一個地方,就可以放心做出協調一致的訪問策略修改了。
隨著分隔進程向縱深發展,可以考慮用用戶ID和應用控制來進一步分隔網絡。
限制出站
公司網絡有極大可能性已經被感染,即便尚未感染,限制出站流量也是個良好操作。完全防止惡意軟件是不可能的,但我們有另一種方法可以簡單地緩解惡意軟件感染的后果。只要將出站連接限制到非必要不允許的程度,就可以阻止惡意軟件回連C2服務器或者上載被盜數據了。
傳統網絡、云及其他
當公司網絡擴展至云端,你便需要與應用團隊攜手合作。如果采取整體遷移的方式,公司的云網絡可能就是之前現場網絡的延伸,而傳統分隔架構將被沿用到云端。已經采用“云原生”操作的公司企業(以DevOps和CI/CD過程為特征)則不然,他們會圍繞應用而非網絡來構建云。這種情況下,云為相關應用團隊所有,一旦發生安全事件,必須與相關應用團隊緊密合作以限制泄露范圍。
這種操作經常需要2個或2個以上的團隊為了同一個目標聯合起來,順帶提供了改善網絡連接性和安全性的機會。規劃需要自己負責分隔的網絡時,你會想要囊括進可能與你現有網絡融合的那些相關網絡。認識到這種改變會引入新的安全顧慮和障礙,就可以更好地預期對你網絡隔離策略的整體影響。
可管理
除了網絡平臺的不斷改變,網絡策略也在持續變化中。2019年里,你的公司很可能會開展云優先的項目、發布新的業務,或者在全球各地開設新的分公司——必須對此做好準備。
無論網絡如何變化,管理和跟蹤這些變化都是必須的。你的網絡上之前配置的發現工具,或者目前用來管理你網絡的那些工具,可以作為管理你網絡隔離過程的良好起始點。如果有多個現有解決方案,不妨考慮自己是否能將之集成到一個中央控制臺上,統一設計、實現和管理正在進行的網絡隔離工作。
分階段實現
進行到這一步,你應該清楚網絡隔離過程中有哪些資源可以利用,有哪些人可以負責分隔設計和實現。有以上認知打底,你就該為分隔實現事項設置優先級了。
首先,在較高層次上評估網絡,考慮要指定哪些區域。即使只分成兩個區域,也能提供對連接性更好的管理,增加訪問可見性,識別出之前可能漏掉的與現有訪問規則相關的風險。
從上述內部、外部、互聯網和隔離區這4個初始區域開始,你可以指定進一步的連接限制,設置哪些區域需要再細分(比如:敏感數據、網絡資產等等)。
如果要符合特定行業監管規定,從指定敏感數據區開始(比如,為 PCI DSS 系統及數據專設一個區域)。腦子里想著合規,然后返回去總覽整個網絡。該方法可助你發現連接改進點、減少訪問權限、增加攻擊敏感數據的難度。
微分隔
應用安全的時候總是從宏觀層次上開始:區域、子網、虛擬局域網等等。隨著安全旅程的深入,微觀層次上的問題也應進入視野。SDN、云平臺和Kubernetes微服務之類現代架構以安全為本,提供靈活的方法為每個應用程序開發各自的訪問控制。按應用程序實施連接限制,令用戶可制定更具體的白名單,更容易發現異常行為,實現細粒度控制。而想要高效達成此目的,你得讓應用擁有者也參與進來。
慢一點,少一點
記得謹慎實現分隔,因為在公司網絡中實現這么細致的控制會隨著分隔規模的擴大而變得無法管理。
過分分隔是網絡隔離中需要特別注意避免的一條,分隔過度會因復雜性的上升而造成管理上的喪失。雖然網絡隔離能改善整體安全性,促進合規,但公司企業應漸進式分隔網絡,這樣才能保持住可管理性和避免網絡過于復雜。
分隔步子邁得過大過快,或者一開始就分得太細,會造成“分析癱瘓”的窘境,安全團隊很快就會應接不暇,網絡隔離的優勢也就體現不出來了。
在擁有500個應用的環境里為每個應用分配一個安全區域就屬于分隔過度。如果每個區域都單獨配置,僅網絡規則的規模都能耗盡公司安全資源,讓公司更不安全。
采取行動
安全界每個人都知道,自動化解決方案是能發送太多太多警報的。網絡安全策略管理(NSPM)解決方案可緩解該警報疲勞。NSPM可以審核安全策略違反事件,確定它們是否可接受的異常,需不需要做出修改以符合規定。除了合規,NSPM解決方案還可以評估訪問違規是否遵循了經審核的異常規程。
安全人員常會成為攻擊者的目標。NSPM解決方案也可用于確定網絡違規是否攻擊者利用被盜憑證授權敏感數據訪問的結果。
永不停歇
網絡隔離的正確方法是永不“完結”。每個網絡都在經歷改變,治理連接的訪問控制也需要改變。循序漸進的方法是最佳操作。NSPM可使你在每一步都有機會審查、修正和持續優化分隔。
上一篇:微軟如何做安全?