6163银河.net163.am“微隔离”助力数据中心零信任建设
时间:2023年11月15日
1.微隔离是实现零信任的重要因素
随着云计算、虚拟化技术的快速发展,数据中心内部网络架构从传统的IT架构向虚拟化、混合云和容器化升级变迁。传统的云安全产品,往往将防护重点放在网络边界进行防护,无法根据业务进行精细化隔离控制。一旦边界的防线被攻破或绕过,攻击者就可以在云内部横向移动、肆意破坏。
根据Forrester Research 的《Forrester Wave™:零信任扩展生态系统平台提供商》[1]报告,报告中提到随着跨数据中心和多云环境移动的动态工作负载的复杂性日益增加,通过基于边界的安全防御体系和传统防火墙防止漏洞的日子已经一去不复返,其中强调了零信任的策略重点是通过 “微隔离” 来防止攻击者的横向移动。从结构上讲,零信任要求跨环境细分,以隔离威胁并限制破坏的影响。
2.微隔离建设的必要性
1.从安全建设角度:一直以来,网络安全建设采用纵深防御技术和最小权限逻辑来进行企业网络安全管理,而微隔离是实现这两个逻辑的基本方式。在云计算中,通过边界部署防火墙来实现可信网络与外部网络的控制,内部通过域间防火墙也就是安全组方式来实现访问控制。但从目前分析来看,一个区域内计算密度仍然较高,存在较大暴露面,所以需要在内部进一步建立纵深防线。
2.从攻击防御角度:从近年来的安全事件我们可以看到,攻击者从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的高级可持续攻击。无论从著名的 Kill Chain 模型(洛克希德-马丁公司提出的网络攻击杀伤链),还是近年来的勒索病毒、挖矿病毒,这些攻击都有一些显著特点,一旦边界的防线被攻破或绕过,攻击者就可以在数据中心内部横向移动,而中心内部,特别是一个安全组内,基本没有安全控制的手段可以阻止攻击。
3.从安全闭环角度:网络安全设备中有了行为分析、有了蜜罐、有了态势感知,却没有了最基本的访问控制。数据中心内部往往几百台虚拟机域内全通,安全策略“只敢增、不敢减”,没有可靠的手段来梳理无效的策略。虽然内部有大量的检测设备,但当攻击发生时无法对攻击行为进行有效的阻断。
3.6163银河.net163.am睿甲微隔离支持构筑有效解决方案
6163银河.net163.am基于零信任安全理念推出6163银河.net163.am睿甲零信任微隔离检测系统,系统基于零信任的微隔离技术,采用主机探针模式,提供云内物理机、虚机、容器之间所有流量的可视化以及隔离管控能力。尤其是针对云中大量微服务、容器的弹性生命周期问题,由传统的基于IP的网络访问策略,改进为基于业务标签属性的网络访问策略,利用集中的大数据实时网络分析和计算能力,实现了工作负载网络访问策略的自动化构建,减轻了安全运维的工作量和工作难度,为用户提供安全运营闭环。
1.自动化识别东西向网络访问关系,便捷辅助策略设计
系统可通过业务流量自学习,自动梳理网内业务流量访问关系,将流量数据以图形方式展示,方便用户直观地了解网络流量状况。还提供对网络流量路径的可视化,包括网络访问者IP/进程名、服务提供者IP/进程名、访问端口、协议、访问次数、访问时间等,协助用户更好地理解网络流量和网络行为,从而优化网络性能和安全性。对采集到的流量数据进行深入分析,发现潜在的安全威胁,并将分析结果以可视化的方式呈现给用户,帮助用户更好地了解网络流量的特征与行为的同时,还为策略制定提供了基础。
图1 微隔离业务网络访问关系拓扑图
2.随业务和环境变化策略自适应调整,实现自动化运维
基于自动学习业务流量形成拓扑,系统可以灵活的为安全人员智能化推荐契合业务的隔离策略。在业务弹性扩展时(虚拟机漂移、容器弹性伸缩等),能全面识别环境内工作负载、IP、端口、应用关系的变化,并根据基于业务的描述规则,自动计算生成新的微隔离策略,实现策略的自适应,同时策略采用标签方式形成,避免了基于IP的安全策略,便捷安全人员查看。
图2 微隔离安全策略管理图
3.紧急隔离失陷云主机网络访问,防止威胁进一步扩散
系统可通过微隔离模块与入侵检测模块、风险发现模块联动,当发现某主机内出现了高危漏洞、高危配置、恶意程序、异常攻击行为等威胁事件后,支持一键强制隔离的应急处置,全面降低网内横向渗透风险,以满足在诸如:护网、应急响应、病毒爆发等场景下自动化响应处置的需要,做到风险暴露面快速收敛的同时还对攻击威胁扩散进行有效限制。
4.6163银河.net163.am睿甲零信任微隔离检测系统客户价值
6163银河.net163.am睿甲零信任微隔离检测系统可部署在混合数据中心架构中,满足了物理机、虚拟机、云主机、容器等多种工作负载在混合异构场景下统一安全防护的需求,通过自主学习分析、可视化展示业务访问关系,实现细粒度、自适应的安全策略管理。实战化场景中,系统可快速隔离失陷主机网络,阻断横向渗透行为,让零信任理念真正落地。
参考资料:
[1] Forrester Research,Forrester Wave™:零信任扩展生态系统平台提供商 https://www.forrester.com/bold