网络是一个具有挑战性的领域,使用混合网络或内部和外部子网的组合使其更具挑战性。基于网络地址的安全控制在保护组织方面有着悠久而杰出的历史,但它们也并非没有某些限制。我与云安全组织Edgewise Networks的首席执行官Peter Smith、网络安全策略自动化提供商Tufin的首席技术官和联合创始人Reuven Harrison、安全解决方案提供商Securonix的产品战略和营销高级副总裁Nitin Agale讨论了这个概念。
Peter Smith:在云计算中,运营商对网络的控制要少得多,而且地址是短暂的,所以管理基于地址的防火墙规则太复杂了。
对于内部网络,组织越来越多地采用扁平的内部网络,这使得网络罪犯可以横向移动(根据Carbon Black 2019年4月的威胁报告,目前70%的网络攻击都是横向移动的)
网络地址在现代网络中是短暂的,特别是在云和容器环境中。因此,在操作上保持基于地址的策略是非常具有挑战性的。网络过度暴露的几率很高,合法通信被无意中阻塞的几率也很高——特别是在云或数据中心内的锁定、最低权限的环境中。
还有安全问题,因为基于网络地址的安全系统无法识别通信内容,这使得恶意软件和其他攻击很容易利用已批准的防火墙规则。“安全”地址。例如,如果一个地址被允许通信,那么该特定主机上的任何软件都可以使用已批准的策略——甚至是恶意软件。
Reuven Harrison:传统的基于网络地址的安全控制在云上不那么有效。随着一个组织从使用服务器和[基础设施即服务]IaaS发展到更高级的云服务,如[平台即服务]PaaS和[软件即服务]SaaS, IP地址被从用户那里抽象出来。例如,云中的存储桶不与任何特定的IP地址相关联。要为这类服务编写安全策略,您需要使用标识和访问管理策略(IAM),而不是安全组或防火墙。
此外,传统上依赖子网和vlan来实现安全区域和分割(源自互联网路由的原始设计),在现代软件定义的网络中已不再需要,它允许更细粒度的分割。
Nitin Agale:传统的网络控制是为了防止内部网络中的坏人。假设数据位于内部网络(数据中心)的服务器上。随着云的转变,这种情况将不复存在。因此,网络控制是无效的。
随着数据不断迁移到云上,移动设备和安全控制也需要改变。在设计控件时,必须了解数据驻留在云中,并且可以使用多种类型的移动设备从任何地方访问数据。
斯科特·马特森:为什么会存在这些挑战?
Peter Smith:存在这些挑战是因为基于地址的安全性只关注如何通信,而不是什么通信,所以只要攻击使用被认为“安全”的网络路径和协议,它就可以横向移动而没有任何障碍。
以下是与三种最常见的基于网络地址的微细分和零信任方法相关的具体挑战:
NGFW(下一代防火墙):在这种模型中,它将基于第7层的网络周边防火墙设备用于划分内部网络。它提供了深度的数据包检查,使其能够提供比第3层和第4层防火墙更多的保护,但比基于软件的替代方案昂贵得多,特别是当需要扩展能力以覆盖不同的地理位置时。此外,检查包中的协议永远不能确切地告诉您什么软件实际上在通信。
NGFWs在保护包含的工作负载方面效率较低,因为网络是在设备的上下文中存在的,而NGFW作为设备则不是。由于虚拟设备的形式,它们也很难用于控制云中的东西流量,尤其是在AWS中。
SDN(软件定义的网络):在软件定义的网络中,防火墙被合并到网络结构中,使其具有提供第2层隔离的独特优势,否则基于主机的防火墙和类似的解决方案将不可用。它也比基于主机的防火墙更难绕过,因为您不能在主机级别关闭它。然而,SDNs需要更大的投资来提供普通的第3层和第4层防火墙之外的保护,这增加了总拥有成本。此外,它不能为容器或裸金属云部署提供保护。
基于主机的防火墙编排:节省成本是一大优势,因为它内置在操作系统中,无处不在,而且提供广泛的保护,包括设备之间的内部通信。在云中也很方便,因为有完善的方法来部署软件,而这些方法对于设备的形式来说是不存在的。
参见:安全专家为保护自己的数据所做的4件重要事情(TechRepublic)
不幸的是,基于主机的防火墙编排只提供了第3层和第4层控制,没有NGFW提供的第7层功能。然而,最大的缺点是,攻击者可以利用已批准的主机防火墙规则。
Scott Matteson:为什么公司要转移到扁平的内部网络,而牺牲独立的分段网络的保护能力?
Peter Smith:维护一个平面网络在操作上比维护一个分段网络要简单,分段网络造价昂贵,管理和维护也极其复杂。平面网络为管理员提供了易用性,因为它更容易控制进出流量(网络流量的单点入口和出口),并且所有应用程序都可以更容易地与网络上的任何其他应用程序或数据存储进行通信。
不幸的是,这种方法也增加了攻击面,因为它允许应用程序之间有更多不必要的可用路径,每个路径为渗透者在网络中横向移动提供了一种途径。一旦攻击者在环境中找到了立足点,就很难阻止他们横向移动以危害整个网络。
斯科特·马特森:什么是横向运动?
横向移动威胁毫无疑问是今年组织机构面临的最大网络安全风险。
Peter Smith:另一种(更好的)选择是使用基于软件和机器身份的保护方法,也称为零信任安全。根据不可变的、加密的指纹为每个工作负载创建身份,指纹由多个属性(例如二进制文件的SHA-256散列或BIOS的UUID代码)组成。通过这种方式,只有在验证了软件和设备的身份后才允许通信,从而阻止了所有未经授权的通信。
组织还应该根据设备、主机和工作负载本身的身份制定安全策略。这些身份可以使用每个工作负载的不可变、惟一和内在属性来构建,例如二进制文件的SHA-256加密哈希、bios的通用唯一标识符(UUID)或处理器的序列号。
Reuven Harrison:使用标签、标签、安全组、FQDNs和url等身份,而不是IP地址来指定您的安全策略中的源和目的地。使用云本地安全控制,并依赖云提供商来执行它们。当数据过于敏感而不能依赖云提供商时,添加您自己的加密安全性
Nitin Agale:分析和处理数据以确保在边缘或SDN内部的安全性,对于优化组织的安全性和成本至关重要。它提供了更多的实时数据分析,实现了快速响应行动,并通过避免跨网络移动大量数据优化了成本。
Peter Smith:尽管上述三种方法各有优缺点,但它们都有一个致命的缺陷:它们都依赖网络地址来构建和执行策略。因此,他们不能通过允许的访问控制来区分好软件和恶意软件。
参见:2G和3G网络的安全漏洞将在未来几年构成风险(TechRepublic)
基于身份的控件使用不可变的加密身份来保护最多7个策略的任何段,而其他模型通常需要数千个策略,这可能会严重损害网络性能。因为它只允许经过认证的软件进行通信——欺骗或修改的应用程序不会拥有与真正的二进制文件相同的身份——因此,只允许来自经过认证的机器和软件的经过认证的通信。默认情况下,其他一切都被阻止。因此,如果一个未经授权的脚本或任何其他攻击者获得了立足点,他们将无法横向移动进行任何破坏。
基于身份的策略是可移植的,因为它们应用于工作负载级别而不是网络级别。因此,无论工作负载运行在何处——在premises、public cloud甚至在容器中——都受到保护。
身份颠覆了典型的安全脚本,因为基于身份的零信任关注的是已知的、已批准的软件和设备的积极身份,而不是淘汰坏的。默认情况下,所有未标识为“良好”的流量都被拒绝。
Scott Matteson:安全策略如何工作的一些主观例子是什么?
Peter Smith:为了方便和管理,理想情况下,策略应该尽可能少,而基于身份的零信任方法可以实现这一点。与跟踪无限数量的威胁并创建策略来监视它们不同,一种更简单、更易于管理的方法是为允许通信的内容创建策略——数量要少得多——实际上创建了一个权限最小的环境。所有其他流量被认为是不安全的或未经授权的,因此,阻塞。
小的云配置错误可能带来大的安全风险
Peter Smith:在我们的环境中,部署微细分和创建零信任很简单。将安装一个轻量级代理,它甚至不需要重新启动系统。在72小时内,机器学习系统会创建一个应用程序拓扑图,并消除不必要的路径来减少攻击面,通常会导致90%的减少。在策略自动构建之后,运营商只需单击一次,就可以对整个网络进行微分段,将典型的微分段部署时间从数月减少到几分钟,并且极大地降低了实现成本。
一旦部署,解决方案需要最少的关注。策略可以适应普通的网络变化,如应用程序升级和自动缩放。
Vonage全球技术运营主管史蒂夫?斯特拉特(Steve Strout)表示:“我们现在的情况是,我一个月只会看一两次。”