域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過

從攻擊面視角理解零信任

Gartner在2022年發(fā)布的《2022年網(wǎng)絡(luò)安全重點(diǎn)趨勢(shì)(Top Trends in Cybersecurity 2022)》報(bào)告中，把“攻擊面擴(kuò)大”作為重要的一項(xiàng)提出。

報(bào)告指出：為了管理一系列擴(kuò)大的安全攻擊暴露面，組織機(jī)構(gòu)需要關(guān)注的遠(yuǎn)不只是針對(duì)漏洞進(jìn)行補(bǔ)丁修復(fù)。由于一系列數(shù)字化方案的應(yīng)用帶來的變化，例如新型混合網(wǎng)絡(luò)架構(gòu)、公有云的加速應(yīng)用、互連更緊密的供應(yīng)鏈、外部可訪問數(shù)字資產(chǎn)增多及物聯(lián)網(wǎng)科技的更多應(yīng)用，導(dǎo)致攻擊面大幅擴(kuò)大。組織機(jī)構(gòu)必須開始在傳統(tǒng)的“安全屋”方案之上思考新戰(zhàn)略，盡快采取行動(dòng)提升安全可視化及關(guān)鍵業(yè)務(wù)的風(fēng)險(xiǎn)防范水平。

攻擊面的定義是：一個(gè)給定的計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)可以被惡意人員訪問和利用的漏洞的總和。 為了對(duì)攻擊面進(jìn)行持續(xù)可視化呈現(xiàn)和縮減，需要做好以下幾方面工作：

業(yè)務(wù)訪問：即人訪問業(yè)務(wù)系統(tǒng)的過程管理。

漏洞管理：優(yōu)先級(jí)排序、分類與可視化處置。

資產(chǎn)安全：測(cè)繪、脆弱性管理、合規(guī)建設(shè)等。

零信任是一種架構(gòu)和方法論，其關(guān)注點(diǎn)在于提供安全的應(yīng)用訪問路徑。 從攻擊面視角出發(fā)，零信任主要針對(duì)“業(yè)務(wù)訪問”部分給出解決方案，可進(jìn)一步細(xì)化為幾個(gè)重點(diǎn)：

權(quán)限與路徑：圍繞人和應(yīng)用的訪問權(quán)限與路徑，進(jìn)行可視化呈現(xiàn)、梳理與管理，消除違規(guī)和越權(quán)訪問，規(guī)劃最優(yōu)路徑。

通信安全：將通信內(nèi)容進(jìn)行加密，對(duì)通信的雙方進(jìn)行身份校驗(yàn)，避免通信被監(jiān)聽或破壞。

內(nèi)容審計(jì)：將通信內(nèi)容進(jìn)行還原、記錄和留存。

在保護(hù)數(shù)據(jù)安全方面，相比數(shù)據(jù)安全領(lǐng)域的脫敏、泄露防護(hù)、數(shù)據(jù)庫(kù)防護(hù)等專用技術(shù)，零信任解決方案的核心作用在“關(guān)口前移”。對(duì)于關(guān)鍵數(shù)據(jù)設(shè)置合理的訪問權(quán)限與路徑，實(shí)現(xiàn)高效率管理，從源頭提升非法接觸數(shù)據(jù)的難度和門檻，可以有效幫助數(shù)據(jù)安全整體方案進(jìn)行落地。

零信任實(shí)踐的三個(gè)層次

對(duì)于零信任建設(shè)，本文將按照以下三個(gè)層次進(jìn)行分析：

零信任的三個(gè)層次

1、南北向：外部遠(yuǎn)程接入

在南北向，訪問控制的主要挑戰(zhàn)來自于傳統(tǒng)VPN技術(shù)的幾個(gè)隱患：

長(zhǎng)期開放固定端口，導(dǎo)致網(wǎng)絡(luò)層暴露面持續(xù)存在，這一缺陷在攻防演練中多次被攻擊方成功利用。

長(zhǎng)連接機(jī)制下，網(wǎng)絡(luò)質(zhì)量敏感型應(yīng)用可能存在性能問題。

在多云和混合云接入環(huán)境下，權(quán)限控制不夠精細(xì)或維護(hù)成本過高。

終端安全管控能力不足。

目前主流的VPN替代方案是軟件定義邊界SDP（Software Defined Perimeter），這一方案已有較為廣泛的應(yīng)用 ，其核心優(yōu)勢(shì)如下：

采用先認(rèn)證再連接模式，避免固定端口暴露。

使用短連接方案，增強(qiáng)業(yè)務(wù)性能體驗(yàn)。

基于人和業(yè)務(wù)系統(tǒng)定制全局策略并實(shí)現(xiàn)動(dòng)態(tài)自適應(yīng)，在多云和混合云接入場(chǎng)景下更為適用，且能降低維護(hù)難度。

支持全品類主機(jī)和移動(dòng)終端操作系統(tǒng)、SDK及瀏覽器環(huán)境接入，采用人+端+接入環(huán)境三維校驗(yàn)技術(shù)，在終端身份核驗(yàn)方面更具執(zhí)行力，更適合移動(dòng)應(yīng)用和IoT終端接入場(chǎng)景。

2、東西向：內(nèi)部主機(jī)互訪

在東西向流量層面，零信任的主要解決方案是微隔離。其針對(duì)的主要安全攻擊手段是橫向擴(kuò)散，也即攻擊者獲取失陷主機(jī)后作為跳板在安全域內(nèi)繼續(xù)擴(kuò)大攻擊，最終威脅到核心資產(chǎn)。 微隔離可以通俗地理解為業(yè)務(wù)系統(tǒng)間防火墻，在數(shù)據(jù)中心等場(chǎng)景中，大二層環(huán)境和虛擬化工作負(fù)載使得這一技術(shù)更為流行。

微隔離產(chǎn)品一般可以做三種分類，分別是：

Hyper-V微隔離：以VM為單位進(jìn)行隔離。

網(wǎng)絡(luò)微隔離：在L3/L4進(jìn)行隔離(經(jīng)常借助SDN控制器)。

主機(jī)微隔離：基于主機(jī)/業(yè)務(wù)系統(tǒng)進(jìn)行隔離。

其中最受歡迎的微隔離方案是主機(jī)微隔離 ，其中一個(gè)原因是這個(gè)方案相對(duì)容易部署，通過管理平臺(tái)和主機(jī)上部署Agent就可以開始部署策略。無論是Windows或Linux操作系統(tǒng)，Agent可以通過iptables等方式進(jìn)行策略控制，而在管理平臺(tái)上可以將主機(jī)互訪關(guān)系與路徑進(jìn)行可視化與管理，并針對(duì)訪問需求進(jìn)行策略自適應(yīng)計(jì)算、異常分析與下發(fā)，這種方案在云負(fù)載、虛擬負(fù)載和物理服務(wù)器上都保持一致有效，從而阻斷東西向安全威脅，縮減業(yè)務(wù)交付時(shí)間和維護(hù)成本。

3、斜向：安全域訪問控制

除了討論特別多的南北向和東西向之外，兼具二者的所謂“斜向”經(jīng)常被忽略，尤其是當(dāng)網(wǎng)絡(luò)規(guī)模足夠大和安全訪問控制策略足夠復(fù)雜時(shí)，這一方向會(huì)顯得尤為重要。 在跨廣域網(wǎng)的多分支機(jī)構(gòu)網(wǎng)絡(luò)中，同時(shí)有眾多遠(yuǎn)程接入用戶，包括居家辦公員工、供應(yīng)鏈及第三方合作伙伴，此時(shí)安全域的劃分與安全策略規(guī)劃將會(huì)比較復(fù)雜。試想，此時(shí)兩個(gè)主機(jī)之間的訪問可能會(huì)跨三層及安全域，也就是說在南北和東西兩個(gè)方向同時(shí)發(fā)生，而真正的訪問控制落地會(huì)在安全設(shè)備的訪問控制策略上，單純的南北向或東西向權(quán)限控制都不能獨(dú)立解決問題。

斜向?qū)?yīng)的零信任解決方案是NSPM（Network security policy management）技術(shù)。 在NSPM的訪問控制基線管理功能中，可以基于業(yè)務(wù)需求和安全域訪問規(guī)則設(shè)置訪問控制基線，訪問控制基線信息至少包括源域、源地址、目的域、目的地址、協(xié)議、端口、動(dòng)作等信息，支持黑白名單、高危端口、病毒端口的自定義，支持定期依據(jù)訪問控制基線對(duì)網(wǎng)絡(luò)訪問控制策略進(jìn)行檢查，及時(shí)發(fā)現(xiàn)和清除導(dǎo)致非法越權(quán)訪問的違規(guī)策略。此外，NSPM的網(wǎng)絡(luò)暴露風(fēng)險(xiǎn)管理功能能夠以某一主機(jī)或主機(jī)組為對(duì)象，自動(dòng)化實(shí)現(xiàn)網(wǎng)絡(luò)暴露路徑與暴露風(fēng)險(xiǎn)的分析，從網(wǎng)絡(luò)訪問關(guān)系與安全路徑的角度描述其對(duì)外的暴露情況，可以幫助用戶及時(shí)了解某些重要主機(jī)與網(wǎng)絡(luò)暴露面的大小、風(fēng)險(xiǎn)的高低，輔助用戶進(jìn)行暴露面收斂與暴露路徑的安全加固。

為了系統(tǒng)性解決權(quán)限控制問題，需要將南北向、東西向和斜向解決方案進(jìn)行有機(jī)結(jié)合。當(dāng)前，將SDP、主機(jī)微隔離和NSPM結(jié)合的零信任解決方案并不常見，國(guó)內(nèi)的廠商安博通是供應(yīng)商之一，產(chǎn)品均已適配信創(chuàng)終端環(huán)境，在金融和運(yùn)營(yíng)商行業(yè)已有成功案例。

信創(chuàng)終端環(huán)境落地經(jīng)驗(yàn)總結(jié)

將零信任技術(shù)方案應(yīng)用于信創(chuàng)環(huán)境，工作主要在于完成相關(guān)軟件在信創(chuàng)CPU(龍芯/鯤鵬/飛騰)、信創(chuàng)操作系統(tǒng)(麒麟、統(tǒng)信)及信創(chuàng)網(wǎng)卡和信創(chuàng)數(shù)據(jù)庫(kù)等環(huán)境中的適配。這一落地過程中需要克服的主要技術(shù)難點(diǎn)包括：

硬件無關(guān)化程度：當(dāng)軟件主要在用戶態(tài)實(shí)現(xiàn)時(shí)，遷移到信創(chuàng)過程中將不會(huì)涉及到過多的驅(qū)動(dòng)工作，更加順利。

解決跨平臺(tái)編譯和各語言、組件版本升降級(jí)問題。

各類國(guó)產(chǎn)化產(chǎn)品的適配和遷移工作。

克服開發(fā)工具鏈相對(duì)薄弱的現(xiàn)狀進(jìn)行持續(xù)調(diào)試。

與體系架構(gòu)相關(guān)的開源軟件重構(gòu)和遷移。

通過幾個(gè)體系的信創(chuàng)領(lǐng)域產(chǎn)品推進(jìn)，零信任相關(guān)產(chǎn)品已經(jīng)在信創(chuàng)終端環(huán)境下實(shí)現(xiàn)了較好的落地。從應(yīng)用效果看，盡管在性能和加解密能力等方面還有優(yōu)化空間，但已可以成功應(yīng)用于通用環(huán)境。

未來展望

在政策和技術(shù)雙重驅(qū)動(dòng)下，零信任安全在信創(chuàng)領(lǐng)域已取得了不錯(cuò)成果，未來將會(huì)迎來更大機(jī)遇，尤其是在金融市場(chǎng)的加速應(yīng)用。零信任解決方案的落地過程中需要關(guān)注多個(gè)層面，持續(xù)縮減攻擊面和控制訪問權(quán)限，守好前置關(guān)，成為數(shù)字化轉(zhuǎn)型和數(shù)據(jù)安全的重要措施。

參考文獻(xiàn)：

《Guide to Network Security Concepts》,Gartner

《Top Trends in Cybersecurity 2022》,Gartne

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！