快捷搜索:

基于SDP/微隔离框架的零信任架构

只管在以前几年中企业安然架构进行了一系列改进,但有一个紧张转型已经杀青共识,那便是企业不能仅寄托外围界限的“马其顿防线”来阻拦收集进击者。经由过程将IT情况划分为可控的细分区间——即所谓的“微隔离”,能有效办理未经授权的横向移动的寻衅,使企业能够安然地隔离事情负载,实现细粒度的收集保护。

如今,收集进击者正在赓续考试测验绕过安然步伐的新措施,是以能够有效阻断横向移动的微隔离已成为主流安然技巧之一。

微隔离与SDP和零相信架构的关系

一个范例的基于SDP/微隔离框架的零相信架构

提到微隔离,我们有需要先回首一下零相信架构的观点。零相信是一个全新的安然机制和构想,即所有资产都必须先颠末身份验证和授权,然后才能启动与另一资产的通信。SDP是一种零相信实现框架,经由过程应用微隔离在资产之间创建相信关系,将零相信安然性观点利用于收集中。SDP可以作为有效的收集安然节制步伐,使组织更能抵御传统的收集安然进击。是以,微隔离是基于SDP实现零相信架构的紧张技巧,然则与很多新兴技巧一样,SDP也有很多实现措施和路径,不合的企业必要根据自身需求以及不合措施的优毛病来选择得当自己的蹊径。

微隔离的事情道理

微隔离不仅是收集机能和治理分段技巧所迈出的一步,也是专门为办理关键收集安然问题而设计的,可以低落风险并使安然机能够适应赓续变更的IT情况。

以前二十年间,信息安然专家们已经大年夜量探究了零相信技巧的各类实施规划和潜在问题。瞻博收集(Juniper)技巧安然认真人Trevor Pott觉得:“微隔离是'安然简化'的实现,”它拥有自动化和编排对象,供给具体申报和繁杂的图形用户界面。他弥补说:“如今,我们不再有任何饰辞不去做我们20年前就应该做的工作。”

微隔离经由过程单其中央策略将安然性实施分配到每个零丁的系统。收集安然供给商OPAQ的首席技巧官汤姆·克罗斯(Tom Cross)解释说:“微隔离使全部企业收集(而不光是在界限)可以履行精细的安然策略。”“这种措施是需要的,由于外围安然无意偶尔会掉败,并且由于云谋略的利用遍及,收集外围正变得千疮百孔。”

微隔离仍旧寄托传统的收集安然技巧,例如造访节制收集。IT办事供给商Entrust Solutions的IT主管兼收集安然专家Brad Willman表示:“微隔离的独特之处在于,这些(传统)安然措施适用于微隔离收集中的各个事情负载。”

微隔离已经吸引了许多企业和机构的关注。IT咨询公司Kelser的高档咨询工程师Andrew Tyler觉得:“微隔离是一种策略,它不仅可以防止数据泄露,而且还可以经由过程将泄露限定在收集的一个局部来极大年夜地削减破坏(假如发生)。”

不合的微隔离措施

Cross建议,技巧高明的进击者在考试测验渗透企业资本时会采纳多个步骤,是以根基架构防御者应斟酌在每个步骤上建立节制步伐。他说:“系统之间的内部横向化移动在近来的安然事故中起了关键感化,诸如Mimikatz和Bloodhound之类的对象为进击者供给了富厚的功能。”“微隔离可以有效堵截防御者在内部收集中传播的潜在路径,使防御者能够有效破坏进击行动。”

必要重点指出的是,微隔离不仅是面向数据中间的技巧。Cross说:“许多安然事故始于终极用户事情站,由于员工单击钓鱼链接,或者他们的系统受到其他要领的破坏。”从最初的感染点开始,进击者可以流窜到全部企业收集。他解释说:“微隔离平台应该能够经由过程单个节制台在数据中间,云事情负载和终极用户事情站上实施策略。”“它还应该能够阻拦进击在任何这些情况中的横向传播。”

与许多新兴技巧一样,安然供应商正从各个偏向动手实现微隔离规划。三种传统的微隔离类型是基于主机代理的微隔离,基于虚拟机监控法度榜样和收集隔离。

(1) 基于主机代理。这种微隔离类型依附位于端点中的代理。所稀有据流都是可见的并将此中继到中央治理器,这种措施可以减轻发明寻衅性协议或加密流量的麻烦。主机代理技巧平日被觉得是一种高效的微隔离措施。“因为受感染的设备是主机,是以优越的主机策略以致可以阻拦问题进入收集,”软件开拓和IT办事始创公司MulyTIc Labs的CTO David Johnson说道。然则,它要求所有主机都安装软件,“对遗留操作系统和旧系统可能并不友好”。

(2) 基于虚拟机监控法度榜样。应用这种微隔离,所有流量都流经治理法度榜样。Johnson解释说:“监视虚拟机治理法度榜样流量的能力意味着人们可以应用现有的防火墙,并且可以根据日常运营实例的必要将策略转移至新的虚拟机治理法度榜样。”这种措施的毛病是虚拟机治理法度榜样分段平日不适用于云情况、容器或裸机。他建议说:“在能够派上用处的场景中,基于虚拟机监控法度榜样的措施异常有效。”

(3) 收集隔离。这种措施基础上是对现有安然架构的扩展,它基于造访节制列表(ACL)和其他颠末光阴查验的措施进行细分。约翰逊说:“到今朝为止,这是最简单的措施,由于大年夜多半收集专业职员都认识这种措施。”“然则,大年夜型收集段可能无法实现微隔离,并且这种做法在大年夜型数据中间中治理起来可能既繁杂又昂贵。”

在购买微隔离对象时,紧张的是要记着,并非所有微隔离产品都能很好地得当这三个基础种别。许多供应商正在探索供给弹性收集微隔离的新措施和改进的措施,例如机械进修AI 监控。在投入任何特定的微隔离产品之前,请确保具体懂得供应商的特定技巧措施,以及是否与企业自身的架构和运营要求存在兼容性问题。

微隔离的毛病

只管优点一大年夜堆,但微隔离也带来了一些利用和操作方面的寻衅。当有供应商向你兜售“一键式”办理规划的时刻,企业安然主管尤其必要鉴戒,由于微隔离的初始支配平日会分外麻烦。Tyler警告说:“实施微隔离对有些营业和利用可能会具有破坏性。”“您可能会发明一些不支持微隔离的症毕营业功能和利用打嗝。”

另一个潜在的绊脚石是拟订办理每个内部系统需求的策略。对付很多企业而言,这可能是一个繁杂且耗时的历程,由于在从新权衡和定义IT政策及其含义时,可能会发生内部斗争。Cross察看到:“在大年夜多半组织中,任何对内部节制的触动都邑阻力重重。”

当高敏感度资产和低敏感度资产同时存在于同一安然界限内时,懂得不合收集通信所需匹配的端口和协议(以及偏向)是很紧张的。实施欠妥会导致收集意外中断。NCC集团北美公司技巧总监,关键根基举措措施防御专家达蒙·斯莫尔(Damon Small)表示:“此外,请记着,实施微隔离所需的变动可能必要停机,是以精心计划很紧张。” 。

微隔离技巧一样平常都支持各类盛行操作系统(例如Linux、Windows和MacOS)情况。但对付应用大年夜型机或其他旧技巧的组织而言,微隔离技巧的兼容性并不乐不雅。Cross警告说:“他们可能发明微隔离软件不适用于这些遗留平台。”

微隔离入门

要成功支配微隔离,必须对收集体系布局以及受支持的系统和利用法度榜样有具体的懂得。Small指出:“详细来说,企业应该知道系统之间若何通信。”“详细可能必要与供应商相助无懈或进行具体阐发,以确定应将微隔离放置在何处以及若何以不中断临盆的要领来放置微分段。”

启动微隔离计划的最佳措施是拟订具体的资产治理计划。Pott说:“在周全掌握收集资产并设计出一些措施对这些系统进行分类之前,您无法对若何瓜分收集做出理性的抉择。”

办理了资产发明、分类和治理自动化问题后,IT情况才算是为微隔离筹备就绪。Pott建议说:“现在,安然主管们是时刻到安然厂商那里购物了,并提出很多有关总拥有资源,集成能力,可扩展性的尖锐问题。”

Cross察看到,微隔离平台的机能取决于履行策略。他说:“用户必要懂得进击者的进击环节和步骤,并确保其策略能堵截最有代价的道路,这一点很紧张。”“一些简单的规则可以将Windows Networking、RDP办事和SSH在内部收集上的应用范围缩小到特定用户,从而可以抵御盛行的进击技巧,而不会滋扰营业流程。”

您可能还会对下面的文章感兴趣: