新闻动态
蔷薇灵动就是自适应微隔离
道高一丈—像防守者一样思考
- 分类:观点
- 作者:
- 来源:
- 发布时间:2019-09-06 14:34
- 访问量:
【概要描述】微隔离的价值就在于能够最大程度减少攻击面 前面讲的理论很美好,那么如果一个管理者,想要实践这种以我为主的安全思路,他主要会面临什么挑战呢?我们说主要的挑战来自于来自于两个方面,一个是业务规模,一个是控制点。大家首先可以设想一下,在一个几百台服务器,几千台服务器,甚至上万台服务器的场景中,要确定每一个系统的最小的网络可见性是怎样的将会有多么困难。而随着云计算和容器技术的发展,数据中心的规模却在飞速膨胀,让本来就困难的问题变得更加困难。另一个问题是控制点,无论如何,你如果要控制网络访问,你都需要一个具体的控制点。随着数据中心规模的膨胀,以及我们管理粒度的精细化,一定会导致控制点总量的急剧增加,而这势必对控制点的成本(购买成本,部署成本,运维成本)产生严格的要求,在这种情况下,过去那些很重的控制点(比如防火墙)就很不合适了。就是在这种背景下,微隔离技术诞生了!
道高一丈—像防守者一样思考
【概要描述】微隔离的价值就在于能够最大程度减少攻击面
前面讲的理论很美好,那么如果一个管理者,想要实践这种以我为主的安全思路,他主要会面临什么挑战呢?我们说主要的挑战来自于来自于两个方面,一个是业务规模,一个是控制点。大家首先可以设想一下,在一个几百台服务器,几千台服务器,甚至上万台服务器的场景中,要确定每一个系统的最小的网络可见性是怎样的将会有多么困难。而随着云计算和容器技术的发展,数据中心的规模却在飞速膨胀,让本来就困难的问题变得更加困难。另一个问题是控制点,无论如何,你如果要控制网络访问,你都需要一个具体的控制点。随着数据中心规模的膨胀,以及我们管理粒度的精细化,一定会导致控制点总量的急剧增加,而这势必对控制点的成本(购买成本,部署成本,运维成本)产生严格的要求,在这种情况下,过去那些很重的控制点(比如防火墙)就很不合适了。就是在这种背景下,微隔离技术诞生了!
- 分类:观点
- 作者:
- 来源:
- 发布时间:2019-09-06 14:34
- 访问量:
一直以来,究竟是“道高一尺魔高一丈”,还是“魔高一尺道高一丈”是有争论的,很多人从理想主义出发,会说“魔高一尺道高一丈”,寄希望于正义必将战胜邪恶。但很可惜,这不是实际情况,实际情况恰恰和这句话的原始版本一样,是“道高一尺,魔高一丈”,至少在网络安全领域完全如此。更有意思的是,就连这句话背后所揭露的形成机制都是一样的。
道高一尺魔高丈,
性乱情昏错认家。
可恨法身无坐位,
当时行动念头差。
防守者如何思考呢?我们不说那些高深莫测的理论,我们只提三个字——“攻击面”,你能把这三个字弄明白,就把握了战场上的主动权。
那么问题来了,要如何能够下降系统的攻击面呢?步骤也非常简单,就三件事,
1) 摸清资产
2) 下降资产可见性
3) 治理已知的漏洞
这样列个表出来显得专业多了是吧,其实就是从关于攻击面的定义推导出来的必然动作。因为攻击面就是资产上可以被利用的攻击目标,所以要下降攻击面,当然是先摸清楚资产信息,如果连自己有什么资产都不清楚,就更别提对这些资产进行保护了。然后要做的事情就是下降资产可见性,这个也很好理解,如果资产都不可见,显然也就无从进行攻击了,当然,资产的存在是为了进行业务处理,它必然要接入网络,必然要有一定的可见性,但我们可以尽量的下降它的可见性,也就是让尽量少的“人”能看见它,这样就使得尽量少的机会可以攻击到它。即使是必须要有可见性,也要把这个可见性再尽量的控制在必须开放的服务上,也就是说,你只可以访问你必须访问的那个服务,其他的服务(端口)你仍然没有可见性。这样一来,系统就要比过去安全的多。然而,我们还可以再进一步的下降攻击面。对于那些必须开放的服务,我们应该去治理这些服务上存在的已知漏洞,这样一来,虽然有网络上的可见性,但由于缺少可被利用的漏洞,也就无法利用这种可见性来进行攻击,我们就进一步的下降了这个系统的攻击面。
通过这么几步走下来,你的系统可谓固若金汤了,当然它仍然不是绝对安全的,但确实比过去要安全的多,你可以想像,一个黑客通过某种方式拿到一台主机后,举目四望,发现竟然根本看不到几台他能访问的机器,这得有多失望,然后就这几台机器,他也只能访问有限的几个服务,而这些服务上又没有可以被利用的漏洞,这得有多茫然。就算是他运气极好,恰恰他可以访问的资产上存在一个可以被利用的0day,恰恰这个0day就在他可以访问的服务上,而恰恰这个0day的攻击工具被他掌握了,然后他就又多拿下一台机器,再然后呢?他发现他还是只能看见有限的几台机器,有限的几个服务,然后他又得指望运气了。如此的步履维艰,意味着极高的攻击成本,而一旦攻击成本超过了攻击收益,这个黑客就会选择放弃!这就是通过攻击面管理来对抗网络攻击的理论。
前面讲的理论很美好,那么如果一个管理者,想要实践这种以我为主的安全思路,他主要会面临什么挑战呢?我们说主要的挑战来自于来自于两个方面,一个是业务规模,一个是控制点。大家首先可以设想一下,在一个几百台服务器,几千台服务器,甚至上万台服务器的场景中,要确定每一个系统的最小的网络可见性是怎样的将会有多么困难。而随着云计算和容器技术的发展,数据中心的规模却在飞速膨胀,让本来就困难的问题变得更加困难。另一个问题是控制点,无论如何,你如果要控制网络访问,你都需要一个具体的控制点。随着数据中心规模的膨胀,以及我们管理粒度的精细化,一定会导致控制点总量的急剧增加,而这势必对控制点的成本(购买成本,部署成本,运维成本)产生严格的要求,在这种情况下,过去那些很重的控制点(比如防火墙)就很不合适了。就是在这种背景下,微隔离技术诞生了!

版权所有:Copyright 2018 北京蔷薇灵动科技有限公司 京ICP备18016518号-1
京公网安备 11011402013412号
版权所有:Copyright 2018 北京蔷薇灵动科技有限公司