微隔離入門指南
作者:星期五, 九月 27, 20190

在數據中心邊界已消失殆盡的時代,傳統分隔已不足以應付各種情況。微隔離隨即登場。公司企業應如何充分利用該改進版安全架構呢?

微隔離融合軟件定義網絡 (SDN) 和更好的虛擬化,打造出安全架構最為基礎的技術之一,使安全人員得以在邊界逐漸模糊的世界中構建清晰安全界限。

企業該如何最大程度地收獲微隔離帶來的好處呢?安全專家告訴你該做些什么。

大连福彩3d彩票网:微隔離是什么?

2011年福彩3d走势 www.oykik.tw 一直以來,網絡分隔都是廣受歡迎的隔離有價值受?;は低車某S梅絞?。通過將網絡上敏感區域與不重要和防護不嚴的區域隔開,安全架構師能夠阻止攻擊者在網絡上橫向移動和提權。分隔不僅可以減小成功攻擊的波及范圍,還能讓安全策略師將資金花在刀刃上,往風險最高的系統投入最多安全預算,而不用擔心攻擊者在低風險系統中占據橋頭堡的后果。

拘泥于傳統分隔的問題在于,該方法確實將網絡架構師所謂的縱向流量,也就是進出數據中心的客戶端-服務器交互數據流,控制得非常好。但在混合云環境,數據中心邊界已消失殆盡,約 75% 到 80% 的企業流量都是橫向的,或者說,是服務器到服務器,在各應用之間的。

Firemon 技術聯盟副總裁 Tim Woods 稱:

隨著我們邁入數字轉型、云優先策略和混合企業時代,能夠創建較小控制區域以?;な蒞踩?,變得至關重要。這首先要從額外的分隔開始——可以想成更小、更多的控制區域,但隨著虛擬化采用的增長,該分隔如今可以一路深入至單個工作負載了。

SDN 和容器及無服務器功能等技術是真正的游戲規則改變者,讓分解工作負載資產、服務和應用至其自身微隔離變得更加可行,也更負擔得起。

Shield X 創始人兼首席研發官 Ratinder Paul Singh Ahuja 表示,過去,分隔需要重新路由硬件,這是個相當昂貴的人工過程。現在,網絡都已經軟件定義了,可以很容易地隨云環境的經常性變化自動完成。

從徹底映射數據流和架構開始

說起成功微隔離部署中的最大攔路虎,安全專家首推可見性問題。分隔粒度越細,IT 部門越需要了解數據流,需要理解系統、應用和服務之間到底是怎樣相互溝通的。

Entrust Datacard 董事兼首席信息安全架構師 Jarrod Stenberg 表示,你不僅需要知道有哪些數據流流經你的路由網關,還需要具體追溯到單個主機,無論是實體主機還是虛擬主機。你必須擁有可供獲取此信息的基礎設施和工具,否則你的部署實現很可能失敗。

這就是為什么任何成功的微隔離都需要從徹底的發現和映射過程開始的原因。Stenberg 解釋道,作為該過程的一部分,公司企業應挖掘或編制自身應用的完備文檔,文檔可以支持未來所有微隔離決策,確保應用按既定方式運轉。

NCC Group 安全咨詢總監 Damon Small 表示,這種細致程度可能需要與供應商緊密合作,或者執行詳細分析,確定哪里應該部署微隔離,以及如何在不引發生產中斷的情況下部署。

使用威脅建模來定義用例

一旦公司建立起機制獲取數據流可見性,這種理解就會開始帶來風險評估和威脅建模。然后評估和建模再反過來幫助公司確定微隔離的位置和粒度。

vArmour 產品及策略高級副總裁 Keith Stewart 稱:

有了這種理解,你就會開始認清自身環境中的風險,或者說你的‘爆炸半徑’。攻擊者侵入網絡后能深入到哪里?用戶數據庫之類關鍵資產在不在該爆炸半徑內呢?只要你能標出高風險區域,你就可以開始布置微隔離控制,解決這些風險。

思科 Duo Security 全球咨詢 CISO Dave Lewis 表示,在沒制定出詳細的行動計劃前,不要著手布置微隔離。因為微隔離以細粒度訪問控制實現,要求大量的盡職調查與對細節的關注。

必須十分重視微隔離前的恰當規劃。要知道自己到底需要分隔什么。

WatchGuard Technologies 高級安全分析師 Marc Laliberte 表示,需要注意的一點是,微隔離可以多種不同技術方法實現,復雜程度也各不相同。

一開始的計劃應包含界定威脅模型,確定適合自己的微隔離形式。安全投資應基于公司及其應用面臨的風險,還有成功攻擊可能導致的破壞。

以業務需求進行平衡控制

威脅建模過程中,推進微隔離的策略師在設計微隔離時需時刻考慮到商業利益。

SAP NS2 CISO Ted Wagner 稱表示,全面鋪開的時候,分隔方案既要符合安全需求,也要提供必要的訪問權,讓應用和過程能無縫銜接,平滑工作。方案不能孤立設計或實現,得經過很多利益相關方的審查。

微隔離的成功需要安全部門與來自業務和 IT 的利益相關者協作,從一開始就深入了解所有這些流動中的應用和業務過程是怎么協同工作的。

Palo Alto Networks 全球系統工程高級副總裁 Scott Stevens 表示,有必要組建一支由企業主、網絡架構師、IT 安全人員和應用架構師組成的多樣化團隊來實現該過程。

打造一支全方位團隊還有助企業預先設立期望值,避開可能腰斬項目的那類政治問題。

思科的 Lewis 稱,實現微隔離的主要障礙存在于和業務部門之間的溝通。以前就常在出問題時聽人抱怨 “這肯定是防火墻弄的”。現在,微隔離成了內部業務部門刻薄批評的對象。

采用階段式方法

專家建議,開始微隔離的公司企業理性對待微隔離項目推進速度。

Stevens 支招,從專注實用方法開始,而不是一來就搞大翻修。熟悉該過程的基本步驟:識別信息在公司中的流動方式,基于該信息流建立分隔的網絡,創建更新的安全策略,納入必需的安全功能,然后準備持續監視和更新該網絡。

Entrust Datacard 的 Stenberg 建議采用一次處理一個應用的階段式方法。

這可以使你專注高優先級目標,完全鎖定它們,同時又保留網絡上其他東西的分隔控制。為控制粒度,應基于所處理和存儲的數據的敏感度,根據需訪問的用戶來分組資產。

Ericom Software CTO Nick Kael 表示,微隔離項目不僅應該分解成可管理的部分分階段實施,其部署過程也應設置能反映階段性進展的里程碑和度量指標。這些項目可能復雜且耗時,所以在過程中顯示進展很重要。

建立微隔離可持續性

隨著公司不斷往微隔離中引入更多資產,負責團隊需考慮長遠發展。正如 Woods 解釋的,微隔離不是“設置了就可以丟開不管”的策略。

這意味著,企業需設立長期機制以維持數據流的可見性,設置技術功能以靈活維護策略改變與實施要求?;掛馕蹲判棖邐枋鑫⒏衾肱渲霉芾碇懈魅碩幾涸鹱魴┦裁?。

SAP NS2 的 Wagner 表示,微隔離管理的角色和責任同樣很重要。微隔離規則的改變應經過審查,類似配置控制委員會這種運營和安全團隊可驗證變更適當性的地方。

同時,企業不想受人工審批和修改過程的掣肘。所以,應嘗試盡可能往維護過程中引入自動化。

Edgewise Networks 創始人兼 CEO Peter Smith 稱:

微隔離要求的很多費時費力工作如今都可以用機器學習加以自動化,包括查清應用相互通信的方式,確定能以最少數量提供最大覆蓋面的規則集,以及持續跟進變更,尤其是在云環境中。

在策略方面,人類操作員將是最終決策者,但自動化應能幫助縮短審查所有東西的過程。

長遠看,實行微隔離的所有努力都能幫助企業大幅降低不可避免的安全入侵風險。微隔離在增加安全控制的同時,還保留了發揮現代工作流和混合基礎設施優勢所必需的靈活性,而最終,無論你將其視為遵從最小權限原則還是實行零信任,微隔離都可幫助安全團隊以細粒度維持 IT 資產的保密性、完整性和可用性。

相關閱讀

 

微隔離:好還是不好?

看看GuardiCore Centra是怎么做好微隔離的

 

 

關鍵詞:

相關文章

寫一條評論

 

 

0條評論