软件定义、云计算、微服务:如何做好新环境下的网络隔离

概览

做年度计划的时候,公司企业总会将安全当作头等大事加以考虑,其中一个值得注意的防御方法就是网络隔离。

遭遇网络攻击的时候,如果有做网络隔离,便可以将攻击限定在特定区域,防止攻击者利用最初的立足点进一步探索公司网络,从而控制攻击的影响。分隔网络并在每个区域应用强访问控制的方法,可以隔离攻击,防患于未然。

但时至今日,企业网络已不仅仅是网络,而是大量传统网络、软件定义网络(SDN)、云服务和微服务的集合。该混合环境的分隔需要升级版分隔方法。

本文将介绍网络隔离该如何入手,讲述应该提前规划和避免的一些问题。

开始

指定基本网络区域是最成功的网络隔离切入方法。万变不离其宗,不管混合网络复杂到何种程度,应总是从最简单的区域开始分隔。初始区域通常包括内部、外部、互联网和隔离区(DMZ)。然后可对初始区域进一步调整细分和设置访问策略,最终形成可接受的分隔设置。

夯实安全策略

公司企业制定应用到区域间允许端口及协议上的标准策略。该策略应完全文档化,以可被快速查阅的形式呈现,不能仅仅是IT安全经理脑中那团变来变去的非正式“规则”。只要安全策略集中统一到一个地方,就可以放心做出协调一致的访问策略修改了。

随着分隔进程向纵深发展,可以考虑用用户ID和应用控制来进一步分隔网络。

限制出站

公司网络有极大可能性已经被感染,即便尚未感染,限制出站流量也是个良好操作。完全防止恶意软件是不可能的,但我们有另一种方法可以简单地缓解恶意软件感染的后果。只要将出站连接限制到非必要不允许的程度,就可以阻止恶意软件回连C2服务器或者上载被盗数据了。

传统网络、云及其他

当公司网络扩展至云端,你便需要与应用团队携手合作。如果采取整体迁移的方式,公司的云网络可能就是之前现场网络的延伸,而传统分隔架构将被沿用到云端。已经采用“云原生”操作的公司企业(以DevOps和CI/CD过程为特征)则不然,他们会围绕应用而非网络来构建云。这种情况下,云为相关应用团队所有,一旦发生安全事件,必须与相关应用团队紧密合作以限制泄露范围。

这种操作经常需要2个或2个以上的团队为了同一个目标联合起来,顺带提供了改善网络连接性和安全性的机会。规划需要自己负责分隔的网络时,你会想要囊括进可能与你现有网络融合的那些相关网络。认识到这种改变会引入新的安全顾虑和障碍,就可以更好地预期对你网络隔离策略的整体影响。

可管理

除了网络平台的不断改变,网络策略也在持续变化中。2019年里,你的公司很可能会开展云优先的项目、发布新的业务,或者在全球各地开设新的分公司——必须对此做好准备。

无论网络如何变化,管理和跟踪这些变化都是必须的。你的网络上之前配置的发现工具,或者目前用来管理你网络的那些工具,可以作为管理你网络隔离过程的良好起始点。如果有多个现有解决方案,不妨考虑自己是否能将之集成到一个中央控制台上,统一设计、实现和管理正在进行的网络隔离工作。

分阶段实现

进行到这一步,你应该清楚网络隔离过程中有哪些资源可以利用,有哪些人可以负责分隔设计和实现。有以上认知打底,你就该为分隔实现事项设置优先级了。

首先,在较高层次上评估网络,考虑要指定哪些区域。即使只分成两个区域,也能提供对连接性更好的管理,增加访问可见性,识别出之前可能漏掉的与现有访问规则相关的风险。

从上述内部、外部、互联网和隔离区这4个初始区域开始,你可以指定进一步的连接限制,设置哪些区域需要再细分(比如:敏感数据、网络资产等等)。

如果要符合特定行业监管规定,从指定敏感数据区开始(比如,为 PCI DSS 系统及数据专设一个区域)。脑子里想着合规,然后返回去总览整个网络。该方法可助你发现连接改进点、减少访问权限、增加攻击敏感数据的难度。

微分隔

应用安全的时候总是从宏观层次上开始:区域、子网、虚拟局域网等等。随着安全旅程的深入,微观层次上的问题也应进入视野。SDN、云平台和Kubernetes微服务之类现代架构以安全为本,提供灵活的方法为每个应用程序开发各自的访问控制。按应用程序实施连接限制,令用户可制定更具体的白名单,更容易发现异常行为,实现细粒度控制。而想要高效达成此目的,你得让应用拥有者也参与进来。

慢一点,少一点

记得谨慎实现分隔,因为在公司网络中实现这么细致的控制会随着分隔规模的扩大而变得无法管理。

过分分隔是网络隔离中需要特别注意避免的一条,分隔过度会因复杂性的上升而造成管理上的丧失。虽然网络隔离能改善整体安全性,促进合规,但公司企业应渐进式分隔网络,这样才能保持住可管理性和避免网络过于复杂。

分隔步子迈得过大过快,或者一开始就分得太细,会造成“分析瘫痪”的窘境,安全团队很快就会应接不暇,网络隔离的优势也就体现不出来了。

在拥有500个应用的环境里为每个应用分配一个安全区域就属于分隔过度。如果每个区域都单独配置,仅网络规则的规模都能耗尽公司安全资源,让公司更不安全。

采取行动

安全界每个人都知道,自动化解决方案是能发送太多太多警报的。网络安全策略管理(NSPM)解决方案可缓解该警报疲劳。NSPM可以审核安全策略违反事件,确定它们是否可接受的异常,需不需要做出修改以符合规定。除了合规,NSPM解决方案还可以评估访问违规是否遵循了经审核的异常规程。

安全人员常会成为攻击者的目标。NSPM解决方案也可用于确定网络违规是否攻击者利用被盗凭证授权敏感数据访问的结果。

永不停歇

网络隔离的正确方法是永不“完结”。每个网络都在经历改变,治理连接的访问控制也需要改变。循序渐进的方法是最佳操作。NSPM可使你在每一步都有机会审查、修正和持续优化分隔。

上一篇:微软如何做安全?

下一篇:零日计划(ZDI)今年将收购更多漏洞