微分段使用虚拟化技术在网络中创建日益细化的安全区域。通过应用高度集中的安全策略,微分段将安全性从简单地识别IP地址转变为仅根据用户的身份和角色授予用户访问他们需要的应用程序和数据的权限。然后安全就变成了个人用户,限制了网络内危险的横向移动。这些策略可以通过位置和设备进一步细化,一种考虑当前安全风险的自适应方法。这是零信任的一项核心技术,即没有人应该被信任或被授予比他们需要的更多的访问权限。
一、微分段及其作用
微分段是一种网络安全技术,它帮助安全架构师将数据中心合理地划分为不同的安全段到各个工作负载级别,然后我们参考每个工作负载定义安全控制。
正是微分段,使IT行业能够借助网络虚拟化技术在数据中心内部部署不同的安全策略。这种方法不需要安装多个防火墙。微分段还用于保护策略驱动的企业网络中的虚拟机(VM)。
由于微分段中的安全策略应用于单个网络,因此它起到了抵御攻击的作用。微分段使用网络虚拟化技术在所有数据中心和云部署中创建细粒度的安全区域,隔离单个工作负载并使其安全。
微分段为组织提供了许多好处:
减少攻击面:微分段限制了攻击者在网络中横向移动的能力,最终减少了潜在的攻击面。
威胁检测和响应:即使采用了优化的安全实践,漏洞也是不可避免的。但是微分段可以显着提高威胁检测和响应时间。当检测到策略违规时,微分段工具可以生成实时警报,甚至阻止未经批准的活动。
监管合规性:微分段可以通过创建专门存储受监管数据(通常是通用数据保护条例(GDPR)和加州消费者隐私法案(CCPA)等法律涵盖的客户的个人身份信息(PII))的细分来加强组织的监管合规性态势)。然后可以为这些细分市场创建以合规性为重点的策略。这也大大简化了审计过程。
二、零信任及其作用
零信任是一种保护网络、应用程序和环境中所有访问的综合方法。因为应用程序是现代业务的核心,推动生产力和收入;保护整个应用程序堆栈或工作负载至关重要。组织正在部署比以往更多的工作负载,并在多样化的多云环境中的更多位置运行它们。传统的安全方法难以提供全面的保护,这一问题因当今的敌对威胁环境而恶化。“不信任,验证一切”企业安全的零信任方法变得必要,而不是可选。
当今的安全团队需要考虑对访问应用程序内数据库的API、微服务或容器的安全访问,无论它位于云、数据中心或其他虚拟化环境中的任何位置。他们需要关注如何对访问进行分段并识别恶意行为,以遏制漏洞并防止横向移动。
这是如何以有意义的方式实施的?零信任是一种方法,但就像许多事情“魔鬼在细节中”一样。将零信任理念付诸实践的一种常见方法是使用微分段来实现“不信任,验证一切模型”。
三、传统技术的问题
传统的安全工具,例如防火墙、虚拟专用网络和网络访问控制(NAC),都有其局限性,因为它们主要侧重于保护网络外围。安全团队历来认为最大的威胁是来自网络外部的攻击。但这种方法忽略了内部威胁——以及黑客最终进入网络时可能造成的破坏。
对于客户、远程工作接入和物联网(IoT)设备的网络边缘活动的增加使网络安全状况变得复杂。边缘流量促使组织将数据处理从数据中心转移到网络边缘。这提高了数据中心的安全性和响应能力——但将这些问题转移到网络边缘,需要新的安全方法。对此,边缘安全成为了一个新的流行词,其核心是零信任的概念。
3.1不能基于IP的云安全策略
云原生开发可能对传统的企业政策提出挑战,部分原因是环境中不断变化的性质。云工作负载跨位置移动,应用程序中的实例可以随着需求的波动和容器在几秒钟内来来去去而动态扩展——这使得验证成为一个严重的问题。
在这些环境中,许多企业所习惯的基于IP的安全性很快就会变得难以管理。混合和多云环境引入了IP域的转移,因为容器化的工作负载可以在一小时内复制、重新安排和重新托管。微服务通过可通过HTTP/gRPC访问的API公开,使IP地址无关紧要。为了实现端到端的可见性,管理员必须将跨多种环境的IP流拼接在一起,这在规模上变得不可行。
由于IP地址不再像以前那样持久,因此无法依靠它们来准确识别云中的工作负载,从而使它们无法用于遵循零信任最佳实践的安全策略。
四、基于零信任安全对用户和设备进行身份验证
零信任框架依赖于“不信任任何事情,验证一切”的理念。这意味着,在允许访问任何应用程序或存储的数据之前,组织必须对在内部或外部连接到网络的每个用户和设备进行身份验证和授权。这种“最低权限”访问方法认识到过多的信任是一个漏洞。
如果恶意行为者获得对网络的访问权限,以边界为中心的安全工具无法阻止他们通过网络横向移动,从而使他们能够访问应用程序和数据。这种横向移动特别危险,因为这种高级持续威胁是最灾难性的数据泄露事件的幕后推手。零信任保护跨网络内所有应用程序和环境的访问。
那么,安全团队如何对通过网络传输的大量用户和设备进行身份验证?一个关键是创建软件定义的分段并使用微分段在粒度级别为它们定义安全策略。
五、基于微分段进行网络隔离和工作负载
从历史上看,组织使用网络分段来确保安全,这是一种在基于硬件的环境中创建子网络的技术。这些网段是使用传统的、以参数为中心的工具(例如网络或防火墙)构建的,以提供南北安全——数据进入或离开网络的流动。
另一方面,微分段为东西向或横向流量(网络内的数据流)提供保护。这包括网络内的服务器到服务器、应用程序到服务器和网络到服务器的连接。通过创建安全microsegments与细粒度策略控制单个工作负载,微分段提供了中和软件定义的段之间的交通完全控制。
5.1网络分段和微分段
网络分段与微分段的一个常见类比是,网络分段充当围绕网络城堡的围墙和护城河。微分段充当保护城堡墙壁内每一扇门和通道的守卫。两者都需要,但微分段是可以保护您最有价值数据的缺失部分。
5.2网络分段的问题
网络分段背后的理论与零信任形成鲜明对比,因为它只涉及授权对网络的初始访问。这意味着一旦连接获得访问权限,就可以信任它可以在整个网络或至少该网段中自由传输。
网络分段的另一个问题是它对提供有限控制的网段的粗略策略的依赖。现代混合和云网络中的软件定义段需要为每个段设置数千个粗略的策略来实现一些横向流量保护。随着新资源和用户不断添加到网络中,这远远超出了合理管理的范围。
在高级持续威胁(APT)的情况下,缺乏全面、详细的策略来保护横向流量是一个特别大的问题。在这些情况下,攻击者会使用窃取的凭据来访问网络。如果没有零信任框架,攻击者就可以在长时间未被发现的网络中导航,绘制组织的系统并创建高度定制的恶意软件来收集敏感数据。零信任和微分段是防止APT在整个网络中公开传播的关键新步骤。
六、基于零信任和微分段减少攻击面
过隔离环境和分割工作负载,使用微分段的零信任框架通过限制从一个可能受损的工作负载到另一个工作负载的移动,大大减少了网络的整体攻击面。一旦微分段,细粒度的安全策略就可以应用于工作负载,一直到单个机器、用户或应用程序。这些策略可以根据真实世界的构造定义,例如用户组、访问组和网络组,并且可以跨多个应用程序或设备应用。
6.1如何分配策略
在设备级别,策略可用于根据设备的功能为设备分配某些限制,以便只有需要访问关键应用程序和资源的设备才能获得授权。这些设备也可以相互隔离,因此除非获得授权,否则它们无法通信。设备还可以根据位置(例如咖啡店与公司网络)以及设备本身的安全性进行限制,这可能不是所有安全更新和补丁都是最新的。
策略也可以基于源身份,这是微分段相对于以前的分段方法的另一个优势。网络分段只能告诉您分段之间正在通信哪些信息,而微分段可以查明请求通信的资源的身份,无论是服务器、应用程序、主机还是用户。这提供了更精细的分段,只允许其身份已被授予适当权限的资源之间进行通信。
有了全面的微分段解决方案,任何无法通过策略参数验证的连接都会被阻止获得访问权限。微分段不仅可以防止横向移动,还可以为安全团队提供所有网络流量的高度可见性和上下文。这使团队能够快速识别恶意行为和违规行为,从而改进事件响应和补救。