新闻动态
微隔离:一条无法被绕过的业务边界
发布时间:
2023-07-26 14:04
来源:
作者:
访问量:
微隔离能够基于业务属性灵活地构建业务边界,有效防止攻击在内部横移。
边界安全一直以来都是网络安全的基础,我们的目标是御敌于外。然而,近年来情况发生了巨大的变化。勒索病毒、高级持续性威胁(APT)等内部威胁在数据中心内部日益泛滥。而云计算的多租户混合部署和多应用混合部署的特点更加剧了内部威胁的挑战。面对这种情况,等级保护开始重视内部威胁,并在其2.0标准中提出了明确的要求。换句话说,现代的边界安全不仅需要防御外部攻击,还需要能够防御内部威胁。我们需要防止外部攻击进入网络,即使进入了也无法在网络内部横向传播。这是对边界安全理论的一次提升,也是对边界安全技术的一大挑战。
在网络安全领域,内部横移是一种常见的问题,它是一切内部威胁必然会经历的一个中间过程。内部横移主要利用了边界绕过后,内部缺乏控制点的漏洞。实质上,这是零信任理论所指出的问题,即在边界之后我们给予了过大的默认信任。由于内部横移的存在,一旦内部威胁成功进入网络,它们可以在网络内部自由移动,获取更多的权限和敏感信息,从而对整个网络造成更大的威胁。
在解决内部横移问题时,最自然的想法是将边界设备的部署密度提高,以缩小被保护资源的范围。然而,这种方法面临两个问题。首先,随着密度的增加,所需的边界设备数量将呈几何级数放大,这对于大规模数据中心来说是无法承受的开销。其次,如此多的边界设备需要进行管理和策略运维,这是一个非常困难的任务。过去的尝试在这方面都以失败告终。
为了解决这个问题,最终的解决方案是将被保护的资源和用于保护的控制点合二为一,通过服务器自身的访问控制能力来进行边界控制,而不是依赖外置的设备。可以理解为,网络中有多少资源就有多少边界设备,每个边界设备只保护一个资源,任何进出这个资源的网络流量都必须经过这个边界设备,无法绕过。这样的边界被称为微边界,它将被保护的资源从大网络中隔离出一个小的分段,这个分段上只有被保护资源这一个网络资产,也被称为微分段或者更为人们所熟知的名字——微隔离。
微隔离通过为每个工作负载分配身份证书来实现访问控制。每个身份证书包含工作负载的相关属性,其中业务属性是关键属性之一。通过策略计算引擎,微隔离为每个工作负载配置了主机防火墙访问控制策略。根据策略,同一业务内的资产可以相互访问,而不同业务间的资产默认拒绝访问。如果需要通信,需要单独设置白名单。通过这种方式,同一业务资产上的所有主机防火墙共同构建了一条逻辑边界,将具有相同业务属性的资产从网络中隔离出来。
微隔离技术的价值与优势在于其能够基于业务属性灵活地构建业务边界,相较于传统的基于网络的边界防御方案有着本质的提升。通过微隔离,我们可以将同一业务的资产纳入业务边界,而不受IP地址或物理空间的限制。这种边界组织方式在云计算环境中尤为重要,因为只有通过微隔离技术,才能在计算资源和网络资源完全池化的云环境下,自由地构造出业务边界。此外,微隔离的逻辑边界是通过主机防火墙协商构建的,这意味着边界不是一个圈,而是所有节点都正交的一个魔法阵。通过在业务主机之间互相添加白名单,非业务主机无法访问,从根本上解决了边界绕过问题。微隔离的边界是由所有业务主机上的微边界组成的,这样的边界无法绕过。
随着云计算的普及,网络内部的构造变得更加扁平化,不同业务和租户的数据混合在一起,因此业务边界的构建变得尤为重要。然而,云计算的资源池化特性使得构建业务边界变得非常困难。微隔离技术通过创新性地将边界构建的参数从网络地址升级为业务属性,使得边界构建摆脱了底层参数的限制,变得极为灵活。此外,基于端点的白名单访问控制逻辑确保了构建的边界无法被绕过,建立了强大的内部纵深防御体系,解决了传统边界安全的致命漏洞。微隔离的部署相对于独立的网络设备来说更加简单,后续的运维也更加便捷,因为用户只需要管理资产的业务属性即可。微隔离技术的出现极大地提升了网络的安全性,同时也降低了边界安全的全生命周期成本。微隔离已经成为云计算时代无法绕过的新边界。
微隔离,横向侧移,业务边界
上一页
上一页
