

等保2.0合规
等保2.0的零信任精神内核
等保2.0的安全要求与应对
安全通用要求
8.1.3 安全区域边界
【8.1.3.2访问控制】
a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
挑战:这一条本质上是要求以白名单的方式在边界上做访问控制,最大的挑战在于如何确保白名单策略符合业务实际需求,因为一旦策略配置错误就会引起业务中断。
应对:蔷薇灵动通过业务流量自学习,可以准确的描绘每一个工作组、每一个工作负载的访问情况,基于业务拓扑,蔷薇灵动可以准确的生成符合业务实际的白名单访问控制策略。

b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
挑战:这条要求可以认为是上一条白名单要求的衍生要求,在白名单模式下,必须确保策略集最小,核心挑战在于如何确保策略始终与业务保持一致。
应对:蔷薇灵动自适应策略计算引擎,可以根据网络环境的实际情况自动进行策略的计算与更新,对不必要的策略实时删除,始终确保策略与业务需求的一致性。

c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
挑战:这条要求最大的难点在于如何确定服务的访问源,在过去边界防御主要是基于目的地址与端口在做,如果要对源进行限制,将大大提高策略设计的难度。
应对:蔷薇灵动可视化业务拓扑能够准确的描述全部业务访问的源和目的的准确信息,并可以自动化生成访问控制策略,极大提升策略配置效率和策略有效性。

【8.1.3.3 入侵防范】
b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
挑战:在等保2.0中首次明确强调要防范内部危险,而这个要求的核心挑战在于策略控制点的部署密度与访问控制能力。过去的解决方案普遍存在控制点成本过高以及重侦测而轻处置的能力缺陷。
应对:蔷薇灵动采用轻代理模式进行部署,每一个工作负载是控制点也是侦测点,从而实现最大密度的异常流量监测网络,并且可以实现进程级(容器级)访问控制精细度,最大程度下降内部攻击面,提升内网安全防御能力,并且对各种异常流量和工作负载做到一键隔离,快速处置。


d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
挑战:本条要求的核心挑战在于如何对东西向流量进行捕捉和记录。一方面东西向流量体量十分巨大,过去的引流、镜像等方式无法对全部东西向流量做有效捕捉,另外,虚拟网络流量不出宿主机,更加难于捕捉和记录。
应对:蔷薇灵动通过轻代理方式能够对全部东西向流量做统计与集中分析,可以有效达成等级保护对网络流量日志与事件溯源的要求。


8.1.4 安全计算环境
【8.1.4.4入侵防范】
b)应关闭不需要的系统服务、默认共享和高危端口;(主机网络应用白名单)
挑战:本条要求最大挑战在以首先要回答什么叫不需要的,然后要解决如何关闭的问题。因为对主机开放端口必要性的确认是个非常巨大的工作量,在大型网络中很难完成,而如何在不影响主机工作的前提下有效关闭端口也是个技术难点。
应对:蔷薇灵动通过进程级的业务学习,可以准确回答全部主机开放端口被什么业务进程监听以及被什么访问源进行访问,基于此可以很方便的对全网端口开放情况进行分析,并且通过白名单策略,能够做到彻底关闭全部无业务需求端口。


c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;(传统的堡垒机需求)
挑战:本条要求的核心难点在于如何解决堡垒机绕过问题,也就是当访问者已经通过控制点登录了一台内网主机后,以此主机为跳板对其他主机进行越权访问。
应对:蔷薇灵动自适应微隔离的策略控制点不在边界,而是分布于每一个被保护的工作负载之上,所以不存在绕过的可能性,也就是说在每次登录任何一台内网主机的时候都需要进行安全策略访问控制。

云计算安全拓展要求
等级保护2.0的另一个重大发展就是对云计算等新型基础架构出了额外的扩展要求,更加能够适应新计算架构的结构特征。
8.2.3安全区域边界
【8.2.3.2 入侵防范】
c)应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量;
挑战:本条的核心挑战在于如何识别虚机间流量(容器间流量),基于传统的防火墙或者其他流量分析产品都无法对虚拟流量做有效的捕捉与分析。
应对:蔷薇灵动通过工作负载上部署的轻代理,可以对虚机间流量做有效分析,并且是国内唯一可以对容器间流量做可视化分析的产品。

8.2.4 安全计算环境
【8.2.4.2 访问控制】
a)应保证当虚拟机迁移时,访问控制策略随其迁移;
挑战:云计算的一个重要特征就是经常发生虚拟机漂移,因此必须确保当虚拟机漂移时策略能够随之迁移,否则就会造成业务的中断或者安全的失控。
应对:蔷薇灵动自适应策略计算引擎,能够实时捕捉虚机漂移、虚拟机上下线、克隆扩展等事件,并进行自动化策略重算,始终保持策略有效性。
b)应允许云服务客户设置不同虚拟机之间的访问控制策略;(点到点访问控制)
挑战:本条要求明确提出云计算环境应该具备点到点访问控制能力,而实际上目前的云计算环境基本只能提供VPC、安全组等边界防御产品,用这种产品进行虚机间访问控制不具备可行性和可扩展性,部署和运维的成本极高。
应对:蔷薇灵动自适应微隔离允许用户以软件定义隔离的形式,方便的对大规模网络设置虚机间访问控制策略。
