利用零信任微分段来保障美国联邦政府网络安全

分段(Segment)是网络安全的基本思想(国内经常称为隔离)。传统的网络分段(现在被视为宏分段),已经存在多年,最初是为了提高效率和减少广播域而开发的。而伴随着数据中心和虚拟化技术的兴起,更加细粒度的微分段已经成为安全发展的必然趋势。

Illumio是微分段领域的领导者,把微分段做到了极致。它从可视化开始,通过建立应用程序地图,识别高价值资产,开发、测试、实施自然语言安全策略,来减少攻击面和防御入侵,从而实现数据中心和云安全。

本文是《Illumio六部曲》系列的终章,概述了Illumio利用主机微分段来保障美国联邦政府网络安全的方法,包括安全分段的六种类型、采用微分段的五大理由、实施微分段的五个步骤。对于保护我国政企安全,也具有普适性参考价值。

《Illumio六部曲》系列:

《照亮微分段》:微分段的技术路线和解决方案;

《通过应用程序地图开启零信任》:微分段必杀技之一——应用程序地图;

《让安全策略更简单》:微分段必杀技之二——自然语言安全策略;

《微分段有效性实战评估》:以红队实网攻防,来量化微分段的防御效果;

《零信任硬币的两面》:将微分段应用于美国国防部;

《利用零信任微分段来保障美国联邦政府网络安全》(本文):将微分段应用于美国联邦政府;

目 录

1.改变入侵者的游戏规则

2.理解并关闭你的攻击面

3.采用微分段的五大理由

4.安全分段的六种类型

5.五步骤构建微分段策略

6.普适性建议:微分段策略

01、改变入侵者的游戏规则

从历史的发展过程看,为了提高网络性能,首先在网络层开发了分段技术,如安全域划分、VLAN等,不妨称之为网络分段(宏分段)。

而随着向云的迁移和以数据为中心的安全理念深入人心,希望保护其环境内部安全的组织,通常需要比网络分段更加动态和更细粒度的分段能力,这使得内部分段(微分段)正在成为数据中心和云安全的基础。

首先,我们来看看入侵者的游戏规则:

1)从低价值环境入手。入侵者为了突破你的边界,通常是从一个低价值环境进入,比如你的开发环境、承包商网络,或者依靠你的员工访问。

2)横向移动寻找机会。要对您的组织造成损害,它们首先必须访问关键数据或系统,而要做到这一点,它们必须在您的环境中横向移动。

3)发现高价值目标。不幸的是,入侵者往往可以到达高价值目标,因为大多数数据中心是开放的。

结论:只要入侵者在你的盔甲上发现任何缝隙,他们就可以实施入侵,然后窃取有价值的数据。

现实情况是:当今的入侵者,通常要花费数月或数年的时间,隐藏在被侵入的网络中,定期抵达高价值目标,而且往往在入侵后很久才会被抓获。

为什么会这样?因为大多数政府机构和私人组织,在控制数据中心和云内部的连接方面做得很少。这种控制的缺乏,产生了两个后果:

一方面,它使得非法的横向移动非常容易。因为类似这样的暴露环境存在非常大的攻击面,所以入侵者有大量的攻击面可以选择。

另一方面,它使得对横向移动的检测变得异常困难。因为防御者不得不将检测资源分布在整个环境中,而且没有好办法来识别移动,即便是在他们自己的系统中。即便是专门用来检测环境中攻击者的工具,从恶意软件检测到行为分析工具,也会因为产生告警疲劳,而使入侵者可以继续躲藏在噪音中。

而微分段可以改变这个游戏规则。其方法是:减少入侵者到达高价值目标的途径,并为防御者提供一个可靠平台来检测横向移动,而不会被误报所淹没。其目标是:阻止闯入低价值环境的入侵者,向您的高价值资产进行关键性转移。

入侵者一旦进入您的数据中心,通常会做的事情包括:

操作服务器、虚拟机、容器;

利用用户帐户提升权限或运行进程;

通过服务器之间的网络连接传输数据。

这些步骤中的每一步,都不得不使用受您控制的系统,从而触发警报提醒,以便您可以立即阻止入侵行动。一个警报——即入侵者的一个错误——就是它所需要的一切。

02、理解并关闭你的攻击面

数据中心内的攻击面,是指入侵者可以用来在您的环境中移动并到达您的高价值资产的所有网络连接。

潜在连接:存在到同一网络中具有开放端口/进程的任何服务器的潜在连接,除非它被防火墙明确阻止。

大多数数据中心都有数十万或数百万个潜在连接。

活动连接:只有当流量流经该连接时,该连接才处于活动状态。

只有一小部分潜在连接用于合法目的。

环境中的每个开放端口和活动进程,都提供了一个潜在的连接,该网络中的任何其他计算机都可以连接到该连接。在正常业务过程中,通过这些连接(“活动连接”)的合法通信流,但是潜在的连接远多于任何组织使用的连接。

事实上,对于许多组织来说,在任何给定的时间,只有不到3%的潜在连接是活跃的。这意味着大多数机构可以在不限制其正常业务的情况下,关闭几乎所有的内部攻击面。而关闭这些不必要的潜在连接,可以实现:

限制入侵者在环境中的行动自由,增加他们触发警报的风险,使入侵者的行动更加困难;

限制需要关注的攻击面的数量,使得您可以将安全资源集中到最有效的地方;

快速移动以遏制入侵者,限制爆炸半径并降低事件响应和补救的成本和复杂性。

03、采用微分段的五大理由

微分段消除了数据中心和云中不必要的网络连接。它不同于网络分段,网络分段已经存在多年,最初是为了提高效率和减少广播域而开发的。

今天每个人都在谈论微分段。需要注意的是:大多数组织不会在其整个环境中完全雷同地部署单一类型的分段,而是会将不同类型的分段与数据中心和云的不同安全需求相匹配。

安全分段(Security Segmentation)的定义:在整个环境中部署不同类型的分段,以提高安全性而不影响业务的过程。

如果您正在考虑使用分段来提高安全性,以下是您应该考虑微分段的五个原因:

1)支持所有环境和平台

微分段适用于所有数据中心和公共/私有云部署:裸机、操作系统、虚拟机监控程序(Hypervisor)、容器、任何网络(物理或SDN)以及任何公共或私有云。

2)以应用程序为中心的可见性

微分段可以构建一个实时应用程序依赖关系图,该图显示了应用程序的连接方式和通信方式。这是使用分段来控制他们应该如何交流的第一步。

3)安全策略创建和管理

与传统的防火墙规则不同,微分段使用高级自然语言策略来描述所需的应用程序行为,而非基础设施架构。这使您可以将数千个机器可读的防火墙规则,整合为数十个人类可读的策略,从而使得安全策略的描述和实施更加轻松。

4)自适应和自动化

您的应用程序不断变化,如果您的分段不能自动适应这些变化,您的安全性将在几天或几小时内过时。为了跟上应用程序的变化,微分段系统会自动响应应用程序的自动缩放和跨基础设施的移动,以确保安全性完好无损。

5)可定制的分段类型

组织可以根据所保护的资产,来定制其分段类型。比如:

对于低价值资产:可以选择“环境分段”;

对于高价值资产:可以采用“应用程序分段”,甚至“进程和服务分段”。

总之,您可以在整个环境中使用不同类型的分段(如下节所示)。

04、安全分段的六种类型

安全分段有不少于六种分段类型:

1)环境分段(Environmental segmentation):是最粗粒度的分段形式,将数据中心内的不同环境分开。它通常用于将低价值环境与组织的其他部分隔离开来,因此任何入侵该环境的入侵者,都将被阻止横向移动到高价值环境。这也可以用于分段分配给不同客户的系统,因此如果一个系统受到威胁,其他系统将保持安全。它大大减少了攻击面,是最容易实现的分段形式。在大多数情况下,应该在整个数据中心部署环境分段。

2)位置分段(Location segmentation):根据工作负载运行的数据中心/云来划分工作负载,也是有意义的。如果您运营的数据中心所在的国家/地区存在法律要求在本地存储数据,或者您有一个特定数据中心来保存您最敏感的数据,并且希望限制来自其他数据中心的设备访问这些数据的能力,那么这种分段方式将非常有用。

3)应用程序分段(Application segmentation):用于分离单个应用程序,即使在同一环境中,也阻止跨应用程序通信。组织经常使用应用程序分段,来为其最有价值的应用程序增加一层安全性。在具有许多应用程序的环境中,这将极大地提高您的安全性,并为入侵者设置了额外的障碍。

4)分层分段(Tier segmentation):比应用程序分段更细粒度,它是在一个应用程序中划分层次(例如,Web层、App层、DB层)。由于许多入侵者会首先通过Web层进入数据中心,因此这种级别的分段会进一步隔离入侵者,迫使他们在搜索高价值数据时不得不穿越更多的数据中心分段。

5)进程和服务分段(Process and service segmentation):也称为纳米分段(nano-segmentation),是最细粒度的分段形式,并确保只允许到其他工作负载的活动连接。这种细粒度分段对于保护高价值资产最为有用,所有不必要的潜在连接,均保持关闭状态。

6)用户分段(User segmentation):可以防止凭证跳转——即入侵者或内部人员尝试使用已获取的凭证,来访问高价值应用程序。这确保了当某个特定用户登录到某个工作负载时,该工作负载只能与允许该用户访问的服务器联系。

05、五步骤构建微分段策略

构建安全分段策略有五个基本步骤:

1)识别高价值资产

首先需要确定最高价值的系统、应用程序、数据。这些资产可以是具有国家安全价值的数据、敏感人员数据、运行机构的关键应用程序、员工用于敏感对话的通信平台、关键工业系统。

识别高价值资产使您能够将安全工作重点放在最重要的方面。对于这些资产,您可以使用细粒度分段来保护。而对于价值较低的资产,使用更粗粒度的分段就足够了,实现起来也不那么复杂。

2)映射应用程序依赖项

映射工作负载、应用程序和环境之间的连接。服务器之间的合法通信,使用这些连接,但攻击者也可以使用这些连接。这可以通过应用程序地图来实现:

了解你的网络中哪些部分的联系最紧密,将帮助你确定,在哪里进行分段能带来最大的好处。

3)理解安全分段的类型

您的分段策略应该采用正确的分段类型(参考上一节的六种分段类型),以提供所需的安全性。

4)根据您的运营安全需求制定分段策略

您不会在整个环境中使用相同的分段。一般来说,您希望对高价值区域采用更细粒度的分段,而对低价值区域采用更粗粒度的分段。为此,首先确定数据中心和云的哪些区域需要保护,然后为每个区域分配适当的分段策略。微分段对于解决这个阶段特别有用,因为它允许您将不同粒度的分段部署到环境的不同部分。

为你的分段策略的不同状态,设定一个时间表:

您可以首先从风险最低的环境开始,这样就可以在不冒业务中断风险的情况下测试您的方法。

务必优先考虑那些你在第二阶段确定的高价值资产,分段这些资产将为您的工作带来最大的安全性增加。

5)测试并部署您的策略

由于分段改变了数据中心本身,因此必须确保该策略与数据中心的运作方式保持一致,而且不会破坏任何东西。在部署分段策略之前,对其进行测试和建模,是部署任何安全策略的最后一步。

06、普适性建议:微分段策略

对于大多数数据中心,我们建议:

环境分段:把最易暴露、最低价值的环境隔离开来。

分层分段:进一步保护高价值应用。

应用分段:在高价值的环境中隔离应用程序。

进程分段:针对核心服务或特别有价值的工作负载(集群)。

以下是优化分段策略以保护数据中心和云的其他几种方法:

1)使用环境分段,隔离开低价值环境。这样既可以保持低价值环境的灵活性,又可以遏制它们的暴露面,使得进入环境的入侵者难以从它们跳转到更高价值的目标。

2)根据工作负载的角色或层次,分段大型应用程序(例如,将web、数据库、应用程序服务器划分开)。这种方法避免了通过工作负载或进程来分段整个应用程序的复杂性,但仍然显著降低了攻击者在应用程序中自由移动的能力。

3)在以策略为中心的组织中,将主题数据存储相互隔离。例如,执法机构可能会根据调查地区,对保存调查数据的服务器进行分段。通过基于主题来分段数据存储,组织可以防止威胁在整个策略环境中的快速传播。

4)考虑对不同地理位置的服务器之间的通信进行分段。例如,在世界各地拥有多个数据中心的机构(如美国大使馆),可以对这些数据中心进行分段,以防止本地入侵迅速蔓延到其他地区。这也适用于在美国各地有多个办事处的国内机构(如运输安全管理局)。

5)在一个专用、不可路由的网络上,聚集密集型处理平台(如Hadoop)。对应用程序进行“分层”,使得内部处理机器(即真正的高价值目标),只能从面向外部的机器访问,并且严格控制对面向外部的机器的访问。这迫使攻击者采取多个步骤,来访问Hadoop集群中的高价值数据。

6)使用进程和服务分段,来保护AD(活动目录)和其他核心服务。使用进程和服务分段,来关闭除实际使用的服务之外的所有服务的连接,并限制正在使用的服务的连接,而不是为几十甚至上百个公开的服务保留潜在的连接。