Center of Internet security (opens new window)

Security reference architecture based on Technology Risk Management - TRM

# 网络安全的简史

# 网络防火墙和虚拟专用网络(VPN)

隔离网络基础设施以更好地保护各种资源的想法始于20世纪90年代中期出现的第一批网络防火墙和虚拟专用网络(VPN)。早在2008年,DarkReading公司就对许多可以被称为防火墙发明者的作者进行了研究。大多数分析人士会说,最早将防火墙商业化的是CheckPoint软件技术有限公司,该公司至今仍在销售防火墙。至于全球第一个VPN协议,大多数人都认为是由微软公司在1996年创建的,然后在本世纪初开始流行,思科、瞻博网络和其他公司仍在出售网络防火墙和VPN。

防火墙和VPN的作用是通过制定各种策略来隔离网络:来自内部营销数据库的网络流量将被允许进入这部分网络,而来自内部人事数据库的网络流量则不允许。或者允许来自外部网络的查询访问企业的web服务器,但不允许访问其他任何数据。如何构建这些策略是这两款产品的秘密,网络安全专家经过培训和实践才能弄清楚这一切。

在那个网络边界严格且定义明确的时代,这没什么问题。但随着网络应用程序分散在网络上,边界不再是一个可行的想法,也不可能强制执行。随着企业使用更复杂的软件供应链,它们变得依赖于那些应用程序编程接口,并且对各种软件和组件如何组合在一起了解较少。

网络攻击者知道他们最终可以找到进入网络的方法。VPN和防火墙成为新的安全隐患,尤其是随着越来越多不受信任的远程设备已经加入企业网络。

# 进入零信任

这就是Kindervag提出零信任理念的由来。Kindervag表示,不能相信任何人或任何应用程序,必须审查每次互动,这是一些安全专业人士所说的“最低特权”。它开启了一个自适应身份验证的时代,用户和应用程序最初并没有获得100%的访问权限,但企业会根据具体情况逐步批准。

例如,如果人们向银行查询当前余额,必须证明自己拥有合法的账户。如果想转移资金,则必须做更多的事情,如果想把资金转移到一个新的海外账户,还必须做更多的事情。

如今的零信任创造了“信任经纪人”的概念,即交易双方都信任的调解人或中立的第三方。设置这些机制并不容易,特别是在双方不一定直接了解或信任对方的情况下,特别是在不同的情况、应用程序和用户类型需要不同代理的情况下。

这种复杂性就是当今的零信任实现所处的位置。OpenText公司旗下的NetIQ公司在其“企业零信任状态”报告中说,“当大量数据和工作负载现在生活在传统网络之外时,将企业系统、应用程序和数据放在一个位置,并依靠多层安全工具和控制来将攻击者拒之门外已经不够了。零信任不是一个单一的软件,而是一个战略框架。”将其可视化的一种方法是Gartner公司如何将其架构图显示为一系列相互连接的部分,例如处理用户身份、威胁情报和应用程序。

人们需要了解“战略”和“框架”,以及它们对零信任实现的意义。“战略”意味着,在任何可靠的网络安全计划的核心,都需要尽可能地实现零信任。这正是美国总统拜登在两年前发布的《改善国家网络安全行政命令》所试图推动的目标,其目标是让美国政府机构实施零信任安全。

尽管这是值得称赞的,但仍远未实现。即使是采用行政命令也无法通过法令实现零信任,尽管最近,美国联邦机构被告知要取消对VPN和路由器等各种网络设备的互联网访问,这对任何信息技术管理者来说都应该是显而易见的。

去年发布在《安全周刊》的一篇文章指出,“保证零信任的唯一方法就是众所周知的拔掉电脑的插头,把它包裹在六英尺厚的混凝土里,然后把它扔进深海。”但这阻碍了可用性。因此,其诀窍在于从这种极端和不可行的位置转向能够提供安全性和业务利益并且实际上也有用的东西。这就是框架部分需要考虑的地方。

身份验证提供商Nok Nok Labs公司的首席执行官Phil Dunkelberger表示,“实现零信任框架没有对错之分,但它基本上是一个很好的结构。细节决定成败,由于没有一刀切的用户和用例,因此很难部署。”

他的观点是,在制定零信任实施计划时,IT和安全管理人员提出了错误的问题。他说:“零信任能带来更好的业务成果吗?我们会有更安全的应用程序,或者提高这些基础设施投资的回报吗?”

也许很多人对零信任的理解是错误的。信任用户或应用程序需要一个连续的过程,就像自适应身份验证一样。企业开始时要采取一些步骤来实现完全信任,每次提供一点。从全有或全无的方式来看,这种模式更适合当今世界。

零信任概念化的一种方法是考虑采用微分段来隔离应用程序,本质上是将防火墙抽象到特定的工作负载和用户。Gartner公司的Watts表示,这意味着“首先实施零信任,改善最关键资产的风险缓解,因为这将产生最大的风险缓解回报。”

Gartner公司使用了五个考虑因素来定义零信任:交付平台是什么,如何安全地实现远程工作,如何管理各种信任策略,如何保护任何地方的数据,以及与第三方产品的集成情况。对于一个框架或一系列产品来说,这都是需要实现的许多接触点。

Watts在他的预测报告中说:“零信任可以作为一种思维方式、范式、战略或特定架构和技术的实施。”他提出了一些建议,以帮助企业更成功地实施,包括在项目开始时定义零信任控制的适当范围和复杂程度,限制对设备和应用程序的访问,以及应用持续的基于风险的访问策略。

他说:“从根本上说,零信任意味着消除构成许多安全计划基础的隐性信任(以及信任的代理),建立基于身份和场景的信任。这需要改变安全程序和控制目标的设置方式,尤其是改变对访问级别的期望。”

亚马逊网络服务公司(AWS)最近在加利福尼亚州阿纳海姆举办的re:Inforce会议展示了这将如何运作的例子。AWS公司网络防火墙总经理Jess Szmajda展示了现有的零信任服务(例如验证访问和VPC Lattice)将如何与一系列新的零信任服务协同工作,从而使AWS更加安全。它们包括经过验证的权限和GuardDuty威胁监控工具的扩展功能,以增加更好的安全策略粒度和更多的预防性控制。AWS公司称之为“无处不在的身份验证”。

其结果是,企业应该为零信任的实施做好漫长而曲折的准备。特别是如果他们能展示出直接的商业效益,那么迈出第一步是值得的。

# example: 零信任模型 Zero trust model

# 人员安全

  • 身份标签管理
  • 持续身份认证
  • 动态权限管理
  • 特权账号管理

# IAM

Difference between Active directory and Identity and Access managment (opens new window)

# 设备安全

  • 设备属性管理
  • 设备动态访问
  • 设备合规
  • 终端设备保护

# 网络安全

# 微分段

微分段 (opens new window) 在传统的数据中心网络中,普遍认为数据中心网络内部的流量是安全的,外部的流量是不安全的。因此,通常在网络内、外部的边界部署防火墙,对进、出网络的流量(即南北向流量)进行分析和处理。这种在边界设备上对流量进行安全分析的技术,也称为边界安全技术。

随着数据存储、应用的不断增多, 数据中心网络流量从以前的南北向流量为主转变为东西向流量为主,这样对内部流量进行安全管控就变得尤为重要。一旦攻击者冲破边界防护,那么数据中心内部的安全将受到严重威胁,攻击者可以随意攻击数据中心内部的服务。因此在云化的数据中心内部,需要针对数据中心内外部的流量做全面的防护,如果将数据中心内部虚拟机间的流量全部绕行集中式防火墙,很难满足数据中心灵活分布式、可扩展部署的要求和挑战,容易形成性能和扩容的瓶颈。

微分段可以提供比子网粒度更细的分组规则,并对数据中心的内部网络进行分组,然后对所有分组之间的流量部署安全策略。这样就可以实现更精细的业务策略控制,限制攻击行为在网络内部横向移动的能力,以增强安全性。这就类似于我们将船体分成若干个相互隔离的独立船舱,能保证因破损造成某一船舱进水时,不会波及其他船舱而导致整船进水,从而提高船舶的抗沉性。

微分段与VLAN、ACL、防火墙对比 网络分段不是新技术,传统网络通常依赖防火墙、虚拟局域网(VLAN)和访问控制列表(ACL)用于网络分段,对业务流量进行隔离。但是这些技术存在其局限性:

  • VLAN子网隔离: VLAN只能基于子网进行隔离,其不能实现同一子网内不同服务器之间的隔离,是一种非常粗糙的分段方式。
  • 配置ACL 配置ACL规则可以实现不同服务器之间的隔离。但是数据中心网络中,服务器的数量非常庞大,若要实现服务器之间的隔离,则需要部署海量的ACL规则,配置维护相当复杂。同时,网络设备的ACL资源有限,不能满足客户部署海量ACL规则的需求。
  • 防火墙
    • 数据中心一般只在对外的网络边界上设置防火墙,因为原则上认为入侵风险来自于外部,数据中心内部是相对安全的。理论上,也可以在数据中心内每个互联节点上部署防火墙来进行内部隔离,但是这需要部署大量的防火墙,是一笔很大的硬件投资,而且防火墙的设置和维护也是一个巨大的工作量。
    • 虚拟化技术的应用使得安全的边界难以界定,如果将数据中心内部虚拟机之间的流量全部引到防火墙设备上集中分析,很难满足数据中心灵活分布式、可扩展部署的要求和挑战,容易在性能和扩容等方面形成瓶颈

而微分段可以提供更细粒度、更灵活的分段方式。微分段定义强调“微”和“分段”。

  • “微”是相对于“物理网络分段”(基于广播域VLAN/VNI划分子网)而言的,相比“物理网络分段”,微分段粒度更细,因为它可以基于IP地址、IP网段、MAC地址、VM名等细粒度来分段,即属于相同VLAN的不同设备之间也能实现相互隔离。
  • “分段”是指将网络按照一定的分组规则划分为若干个子网络,不同子网络之间通过策略控制流量,从而实现数据报文仅能在约定的节点之间相互发送,而不是发送给所有节点。

微分段借鉴了安全设备Security Zone的概念,将数据中心业务单元按照一定的原则分组,然后通过分组间策略实现流量控制。微分段基于以下两个元素实现精细分组隔离:

  • EPG(End Point Group):基于IP地址、MAC地址、VM名、应用等分组策略,对服务器、虚拟机等承载业务的实体进行的分组。
  • GBP(Group Based Policy):基于EPG分组的流量控制策略,规定了分组内部、分组之间的流量控制策略。

# 双向传输安全

# 威胁防护

# 软件定义边界 SDP

# 工作负责/应用安全

  • 应用安全访问
  • 开源与第三方安全
  • DevSecOps
  • 安全配置

# 数据安全

  • 数据发现与分类
  • 数据脱敏
  • 数据防泄露
  • 数据血缘

# todo

# Endpoint Detection and Response - EDR

also referred to as endpoint detection and threat response (EDTR), is an endpoint security solution that continuously monitors end-user devices to detect and respond to cyber threats like ransomware and malware.

# DDOS

About Anti-DDoS (opens new window)

DDoS全称:分布式拒绝服务(DDoS:Distributed Denial of Service),该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。CC攻击全称Challenge Collapsar,中文意思是挑战黑洞,因为以前的抵抗DDoS攻击的安全设备叫黑洞,顾名思义挑战黑洞就是说黑洞拿这种攻击没办法,新一代的抗DDoS设备已经改名为ADS(Anti-DDoS System),基本上已经可以完美的抵御CC攻击了。CC攻击的原理是通过代理服务器或者大量肉鸡模拟多个用户访问目标网站的动态页面,制造大量的后台数据库查询动作,消耗目标CPU资源,造成拒绝服务。

DDoS攻击打的是网站的服务器,而CC攻击是针对网站的页面攻击的,用术语来说就是,一个是WEB网络层拒绝服务攻击(DDoS),一个是WEB应用层拒绝服务攻击(CC)。CC攻击模拟用户对一些比较消耗资源的网页进行攻击,而DDoS攻击则是针对ip进行攻击,两者的危害也是不一样的,DDoS的攻击会比CC攻击更难防御,造的危害会更大

DDOS attack DNS A DNS flood is a type of distributed denial-of-service attack (DDoS) where an attacker floods a particular domain's DNS servers in an attempt to disrupt DNS resolution for that domain.

网络安全拓扑图推荐 (opens new window)