知微见著:微隔离

01、引言:知微见著

战国韩非子在其《说林上》曾说到:圣人见微以知萌,见端以知末,故见象箸而怖,知天下不足也[1]。圣人见到细微的苗头,就能预知事物的发展,透过微小的现象,便可看到本质。知微见著,网络安全领域更是如此。如何通过微小流量而发现大的潜在安全风险?下面就是我们要介绍的微隔离技术。

02、什么是隔离技术?

微隔离(Micro Segmentation),顾名思义是一种颗粒度更细的网络安全隔离技术[2]。传统上的网络安全隔离,如网络防火墙(图1),是对数据中心的南北流量进行管控,主要根据源目IP等五元组信息对流量放行或阻止,且无法查看区域内部的东西流量。而微隔离技术(图2)真正做到,特别是东西流量的安全监测,弥补了企业内部相同网络内业务虚拟机之间的监控盲区。

图 1:传统网络隔离技术

知微见著:微隔离

图 2:微隔离技术

目前业界有多种技术路线,包括:

01

#基于云原生能力#

云厂商面向其用户推出了适用于自身平台的安全组件,如阿里云、VMware NSX等,可与云管理平台紧密结合,但对第三方云平台的适应性具有明显局限,用户无法跨越多个云环境进行统一管控。

02

#基于第三方防火墙#

防火墙厂商通过与虚拟化平台的适配,将东西向流量牵引至其防火墙系统实现访问控制,可利用较成熟的安全能力对流量进行检测和控制,但性能上存在较大难点,且实际效果往往受制于虚拟化平台的兼容适配水平。

03

#基于agent客户端#

业界主流主要采用主机代理(Agent)的模式,通过控制工作负载操作系统的主机防火墙程序(iptables)实现面向工作负载的隔离控制,但需要在每个服务器上安装agent客户端。

04

#对比#

知微见著:微隔离

03、基于agent客户端模式

01

基础配置 / config

基于agent客户端(即主机代理)模式是目前业界主流及主推的微隔离方案[3]。具体来说,微隔离后台会根据操作系统不同,下发不同的agent到服务器。微隔离agent获取到操作系统产品ID(唯一值),会与操作系统捆绑。安装成功后,工程师会在后台以手动打标签的形式对主机进行分组,然后基于组做安全配置。“位置”、“环境”、“应用”三个标签是针对工作组的,三个标签确定一个工作组。在工作组内,工程师会给工作负载(即单台主机)加上“角色”标签,然后基于工作组和角色标签(或者IP地址)来制定安全策略。

02

安全策略 / strategy

所有的安全策略将通过agent修改主机防火墙实现,并只对装有微隔离agent的主机入向流量管控,出向流量是默认放开。当安全策略制定后,后台可选择“建设”“预阻断”“阻断”三种模式[4]。建设模式为学习模式,一般业务主机装agent后默认初始状态都为“建设”模式来学习流量。在这个模式下,微隔离至少学习1-3个月(学习时间越久越好)来尽可能识别正常业务流量。预阻断模式下,控制后台会显示哪些流量被放行或阻断,即预留时间手动修正安全策略,不会阻断流量。而切换到阻断模式,策略会下发到装有微隔离agent的主机上。未配置安全策略的流量将会被阻断,开启该模式有一定的正常流量拦截的风险。

03

讨论 / discussion

主机代理的微隔离技术能够有效填补数据中心东西流量监测盲区,发现并识别服务器之间的异常流量。但由于技术特点与部署环境,微隔离只能监测到装有agent主机的入向流量,并只对已部署的主机进行安全管控。此外,如果内部主机被植入病毒木马,我们可以遏制其横向侧移或内部传播,但需要和业务相关方协调配合,识别异常流量。

04、

微隔离在攻防演练中应用与思考

作为网络安全的重要工具与抓手,微隔离技术在企业攻防演练防守过程中发挥着不可或缺的作用。根据以往攻防演练实战中的经验,在演练前需确保装有微隔离agent的主机经过长时间的流量学习,如果学习时间较短或者演练前新加装agent,都有可能导致后台误报率上升并造成正常业务被拦截。在攻防演练期间,业务相关方需与安全团队确认相关告警真实性及其他安全设备告警关联性,一旦核实攻击轨迹,可以在微隔离后台安全隔离该台主机。一般情况下,一旦相关恶意服务或者病毒到达服务器后,说明互联网或者其他出入口(指内网、运维终端等)都已被恶意攻击者突破。考虑到攻防演练实战特殊性和时效性,在业务相关方可以承受业务暂时中断风险下,一般建议先处置,再去核实信息。

05、总结

我们通过在关键业务系统成功落地微隔离技术,有效地填补了数据中心内部东西流量检测盲区,解决了边界防火墙无法实现颗粒度防护的现实问题。基于业务视角,我们重建了域内边界,夯实了数字基础设施安全能力,为公司提供了有利的网络安全支撑。

参考文献

[1]  知微见著,百度百科

[2]  微隔离,通信百科

[3]  零信任架构落地实践 京东的微隔离方案有哪些思路可以借鉴?,安全419业界

[4] 案例| 民生银行云原生网络微隔离管控探索与实践,金融电子化

文章作者:石昊宁

封面设计:Lina   

原创文章,作者:EBCloud,如若转载,请注明出处:https://www.sudun.com/ask/32782.html

(0)
EBCloud's avatarEBCloud
上一篇 2024年4月2日 下午3:28
下一篇 2024年4月2日 下午3:28

相关推荐

  • 怎么把屏蔽的网页找回来,被屏蔽的网站如何打开

    黑帽SEO技术是指使用不公平手段,例如隐藏关键字和虚假内容,来提高网站的排名或重要性。这些行为不仅会受到搜索引擎的惩罚,你的网站也可能被屏蔽。因此,避免使用黑帽SEO 技术。 7.…

    行业资讯 2024年5月11日
    0
  • Git操作命令和管理

    现代工业体系中的项目运作从来不是一个人独角戏,必定是多人协作。软件工程也不是计算机产业上古时期某个程序员两三天弄出来的小demo。这一章节我们将讨论如何使用Git参与到项目的协作中…

    2024年4月2日
    0
  • 如何高效地下载虚拟机?

    如何高效地下载虚拟机?什么是虚拟机?为什么要重视虚拟机的下载?如何快速、高效地下载虚拟机?这些问题都是云服务器行业中不可忽视的关键。本文将为您介绍如何解决常见的虚拟机下载问题,并提…

    行业资讯 2024年4月12日
    0
  • 如何免费使用万能刷人气精灵提升网站流量?

    你是否经常为自己的网站流量不足而苦恼?又或者,你是否听说过万能刷人气精灵这个神奇的工具,但不知道如何使用它来提升网站流量?那么,本文将为你揭开这个搜索引擎优化行业的神秘面纱。什么是…

    行业资讯 2024年4月10日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注