聊城互联网营销培训:网络世界彻底提升资安的自保之道

  • A+
所属分类:计算机培训

进入数字化、网络化的时代,信任是许多系统得以运作、资讯能够互通、交易可以进行的基础之一,随着各种技术的演进,服务的可用性(Availability)和易用性(Usability)也持续提升,如何确保安全性,却一直都是难题,而且越来越难以处理,甚至已经严重威胁现实世界的正常运作。

根据世界经济论坛发布的2018年全球风险报告,在十大造成严重冲击的风险当中,网络攻击(Cyberattacks)排名第六;而十大可能产生的重大风险里面,网络攻击首度进入前三名,仅次于极端气候事件与国家级灾难,而第四名是资料诈欺或窃取,也和IT技术安全密切相关。

事实上,IT技术安全威胁实在太多,不胜枚举,就算兴起之后、面临衰退,过了一阵子之后,往往又复杂、进化,或混杂在其他威胁当中使用,令人防不胜防。

但总体而言,这些威胁之所以能够横行,可归结于新兴科技的迅速崛起与普及,例如,云服务、行动应用、物联网,而且,影响铺天盖地而来,个人与企业都难以抗拒,而无法置身事外;同时,也因为大开方便之门的关系,横跨内外部的威胁,像是:资料外泄、DDoS、APT、特权帐号滥用等,也都源源不绝,难以彻底断绝。面对这样的局势,资讯安全的确到了草木皆兵、四面楚歌的地步,我们不知道该相信什幺,正是当前的写照。

边界不复存在的内部网络环境

在传统网络安全架构设计当中,位于内部的用户与应用系统,普遍被视为可信任的状态,因此,较少实施验证和检核机制。然而,时至今日,用户与应用系统执行的位置遍及各处,甚至已经没有内外之分,此时,我们看待IT技术安全防护时,应该采取持续验证、不轻易信任的态度。

过去以来,IT业界为了强化资讯安全,已投入许多资源,设法提升用户的信任。若要追溯这些努力的源头,要先从微软谈起,他们在2002年开始提倡信赖运算

当时,该公司的作业系统Windows NT 4.0、Windows 2000因为本身的漏洞遭到滥用,而深受Code、Nimda、Blaster等网络蠕虫攻击所苦,因此,他们痛定思痛,积极强化作业系统与其他软体的安全性,于是,自Windows XP SP2开始,内建Windows Firewall、Windows Update自动更新,并推动软体开发生命周期(SDL)的安全性工程。

微软后续在Windows Vista与Windows Server 2008当中,所内建的用户帐户控制(UAC)以及网络存取防护(NAP)也都是基于这样的理念,所发展出来的安全性特色。

除了微软,AMD、HP、IBM、Intel与微软也在2003年合作,成立了信赖运算组织(TCG)他们促进了几种广为人知的安全技术发展,像是越多个人电脑与服务器内建的信任运算模组(TPM)、提供网络存取控制功能的信任网络连线(TNC),以及套用在硬盘本身加密应用的标准规格(SED)

在那几年期间,分层防御(Layered Defense)及纵深防御(Defense in Depth)的概念相当盛行,让网络存取控制(NAC)的应用方式受到瞩目,市场上,也出现不少协同防御的产品。

之后,随着服务器虚拟化平台与云端服务的窜起,软体定义式防护与云端安全产品,也开始陆续浮上台面,可在这些当时这些非典型的网络应用环境当中,支持IT技术安全防御策略的实施。

例如,资深的网络防火墙厂商Check Point,在2014年推出Software Defined Protection,以及服务器虚拟化平台厂商VMware于2011年发布的vShield,以及2012年并购网络虚拟化厂商Nicira而取得的NSX,都能提供网络分区隔离(Network Segmentation)功能,借此降低内部网络受到横向攻击的可能性,而在大型公有云服务当中,也具备多种网络分区机制,以AWS而言,在Amazon VPC里面,就提供子网络、安全群组、网络存取控制清单(NACLs)。

到了2009年,研究机构Forrester首席分析师John Kindervag提出了新的IT技术安全模式,称为零信任(Zero Trust Model),当时受到很大的关注,不过,初期积极响应的IT技术安全厂商并不多,主要是以次世代防火墙闻名的Palo Alto Networks。到了2015年,Forrester发现相关应用领域逐渐拓展的现象,涵盖了虚拟化网络基础架构(VNI)与网络指挥调度解决方案(Network orchestration solutions)。在2016年第四季,他们将基于零信任概念的威胁减缓技术,大幅增加到20种。

然而,Forrester在今年1月发布的报告当中,又重新归纳了一次零信任的产品类型与对应厂商。他们将这些部分定调为延伸生态系,并且区分为零信任平台、安全自动化与调度指挥、安全透视与分析,以及人员、工作负载、资料、网络、连网设备等安全层面,而「人员」的部分,又细分成互动过程与身分管理,「网络」则专指网络分区隔离。

网络隔离是零信任模式较常见的架构

在2010年Forrester开始倡议零信任模式之际,他们也设计了一套基于这个理念而成的零信任网络架构,当中包含了集成多种控制与防护功能的网络隔离闸道(SG)、依据不同作业属性而区分成多种隔离区的微核心与边界(MCAP)、负责的集中管理机制的服务器,以及负责收集与分析网络流量的资料撷取网络(DAN)。(图片来源/Forrester)

零信任的基本精神:不论信任与否,一律要通过验证才算数

到底什幺是零信任?为何越来越多IT技术安全厂商都拥抱这个概念?简而言之,在零信任的网络环境,所有网络流量都是不可信任的,因此,IT技术安全专业人员须验证与保护所有资源,限制与严格实施存取控管,并检测与记录所有网络流量。

根据John Kindervag在2010年对于零信任网络架构的诠释,他提出下列三个核心的概念:(一)在安全设备上,不再有信任与非信任的界面;(二)不再有信任与非信任的网络;(三)不再有信任与非信任的用户。

若将零信任模式扩大到资讯安全的层面来看,John Kindervag提出三个基础的概念:(一)不论身在何处,须确保所有资源都是以安全的方式存取;(二)采用最低权限的策略,并且严格实施存取控制;(三)检测与记录所有流量。

而在上述概念里面,我们必须假设所有网络流量都是具有威胁的,除非它们通过自家的IT技术安全团队验证,确认取得合法授权、通过检测,并且受到保护,否则就不予以信任。举例来说,内部与外部网络之间的资料存取,经常会运用加密信道来保护,相对地,网络犯罪份子可轻易侦测到未加密的资料,因此,IT技术安全专家对于内部资料存取的保护态度,须与网际网络的外部资料存取一致。

在存取行为的管理上,零信任模式也将运用更多方法来验证、减害。

过往我们仰赖的作法,主要是基于用户角色的存取控制机制(RBAC)而成的防护,并且普遍用于网络存取控制、基础架构软体,以及身分与存取管理系统。若是采用零信任的模式,RBAC将不会是唯一方法,重点在于配置最低的存取权限,以及施行精确的存取控制,以便减少遭到攻击与滥用的影响程度。例如,根据用户表明的身分,适当分配存取的资源,而且仅限于他们执行这些工作所需范围,使他们只能做正确的事情,而非盲目相信用户,并未考虑因故意或疏忽而导致为非作歹的可能性。

当然,天底下没有十全十美、天衣无缝的限制,为了更进一步确保事情是否做对,并且及早掌握出错的状况,我们还需要做到持续检测与记录,举例来说,须具备网络流量活动的分析与透视能力(NAV),而且是检测与记录能够一起进行,以主动、即时的方式来处理所有网络流量,并非被动、延迟一段时间才处理,而且仅针对内部网络流量。

为了达到这样的要求,零信任模式对于网络流量分析与透视,也特别定义出应具备的特性,例如,可弹性扩充使用规模,以及持续执行的态势感知能力,并且包含网络探查(寻找与追踪资产)、流向资料分析(解析流量模式与用户行为)、封包撷取与分析,以及网络诠释资料分析(解析网络串流封包)、网络鉴识(协助突发事件反应与犯罪调查)

而在零信任架构的设计上,John Kindervag认为,需要搭配四个组件,分别是:网络分区闸道(Network Segmentation Gateway,SG)、微核心与边界(Microcore and Perimeter,MCAP)、集中管理,以及资料撷取网络(Data Acquisition Network,DAN)

其中的SG,将包含原本分散在多种IT技术安全产品的功能,像是防火墙、网络入侵防御系统、网站应用程序防火墙、网络存取控制、内容过滤闸道、网络闸道,以及其他加密产品,而且深入集成到网络层级,同时,SG也将内建封包转发引擎,使其能够建置在网络的中心。IT技术安全人员可以在SG里面定义通用的控管政策,而且必须配置多个高速网络界面,以便承担庞大的网络流量处理作业。

这里的SG和我们所熟悉的UTM设备相当类似,不过,John Kindervag表示,UTM着重的部分,在于网络边界的控制,SG所要部署与针对的位置,却是在网络的中心。

MCAP则为各个网络分区,它们是连接到SG与其他设备的网络界面而形成的交换区(Switching Zones),这些区域里面设置了专属的微核心交换器,共用同样的功能与政策控管属性,而使得每个隔离区成为一个微边界(Microperimeter)。IT技术安全人员可以透过汇聚所有MCAP里面的交换器,形成统一的交换网络,达到集中管理的目的。

而所谓的集中管理,是指网络的后端平台(backplane)的处理作业,可由透明、统合的MCAP总体管理机制来定义,而且,须由原本基于个别组件的命令行操作方式,提升为集中化、更易于使用的管理系统。

至于DAN的设置,则是为了突显撷取网络资料的重要性,本身也是一种MCAP,里面可部署安全事件管理系统(SIEM)、网络分析与透视工具(NAV),负责集中撷取、分析与记录所有的网络流量。

利用这样的网络区域,我们能处理通过SG的所有流量,包含连结所有MCAP的部份——透过镜射与转送流量的作法,有效收集其中传输的封包、Syslog、SNMP等讯息,并且存放到单一位置上,以便后续执行网络流量的检测分析,达到近乎即时处理的要求。

在零信任模式当中,看待威胁进犯位置更周延。就像保护总统安全,需注意保护对象的身分、位置,以及能接近的人员;而边界控管需设立多层区隔,如外围的栅栏与军警,而在总统坐车旁,有特勤环绕,形成微边界防护,还要提防远端狙击,做好端点控管。

基于零信任模式的应用程序控管策略

基于动机的不同,威胁程度高低也随之变化,然而,不论是恶意或善意,端点装置与应用程序都有可能成为威胁,因此,对付不同程度的威胁,可运用黑名单与白名单来控管,而在相对较正常、合法的端点与应用程序当中,我们可以运用隔离、强制套用最低权限的存取方式来实施保护。

零信任模式开始大幅扩张,更多层面均可适用

在Forrester起初发布的零信任研究报告里面,对于网络架构的部份着墨甚多,再加上网络分区隔离的确在此扮演非常关键的角色,因此,近年来,每当谈到采用这样概念的产品类型,大多数人都会联想到次世代防火墙,然而,零信任不单是网络隔离,而是整体的防护策略,涉及处理流程与技术,所以,Forrester近几年在阐述零信任模式时,不再局限在网络,而是延伸更多防护层面。

例如,今年初,他们特别提出零信任延伸生态系统(Zero Trust eXtended Ecosystem)的概念,将零信任模式拆解开来,以资料为中心,周边围绕着人员、设备、网络、工作负载等四个环节,并运用网络透视与分析、自动化与调度指挥等技术来贯串。

认同与重视零信任的企业变多,Google与Netflix都已开始采用

除了长期提倡这个概念的研究机构,对于市场观点有了重大的改变,零信任模式近期受到很大的瞩目,其实,还有几个原因在推波助澜。

其中一个,就与Google有关。该公司资讯长Ben Fried在2014年公开表示,大型企业应创建「零信任」基础架构。Google也在这一年,发布研究论文〈BeyondCorp: A New Approach to Enterprise Security〉,后续又发布多篇探讨BeyondCorp概念与实作的论文。

而从2017年起,Google在这套自家发展的零信任安全框架,具体提供了新的云端服务,并且开始积极向外宣传,例如,在Google Cloud Next大会上,发表了Cloud Identity-Aware Proxy(Cloud IAP),让用户能够建置BeyondCorp描述的内容感知型安全存取环境;此外,他们也连续两年前往全球瞩目的IT技术安全大会RSA Conference,主讲BeyondCorp。

对于这项从2011年开始进行的研究计画,Google很自豪,号称能让大部分员工每天在不受信任的网络环境下,无需运用防护,也能安全工作。

除了Google,最近,我们还看到另一家建置零信任架构的网络公司,那就是知名的线上影音业者Netflix。

在今年初的Usenix Enigma大会,该公司资深安全工程师Bryan Zimmer公开介绍他们的零信任架构,称为无关位置的安全途径(Location Independent Security Approach,LISA)当中包含三大基本原则:(一)是否信任的关键,在于用户身分与端点健康状态,而不是所在位置;(二)对于办公室网络,不能信任;(三)设备要隔离。

长期而言,为了提升整体安全防护,应该会有更多组织,加入施行零信任模式的行列,随着新一波数字转型浪潮的持续推动,应用系统与服务的运作,势必走向更加开放的环境,如果再继续沿用传统的二分法(内部、外部,信任、不信任)来界定资讯安全的保护范围,恐怕将越来越难以因应这种敌我不明的态势。

若能彻底认清现实,思考与建构适合本身作业环境的零信任模式,透过持续验证、记录,以及不断地分析、监督,方能有效地落实「控制」与「保护」,而非将防御策略仅偏重在任何一端,我们也就能更扎扎实实获得保障。

Google投入零信任模式的发展

零信任模式并非只有IT技术安全厂商在倡导,云端服务大厂Google已经投入,他们耗费6年发展了零信任的安全框架,称为BeyondCorp。他们在存取控制的目标上,从原本仅针对网络边界来强化防护,提升到可针对个别装置与用户来进行管控,目前已能让自家员工从任何地方连网至公司的应用系统,而不需要经由传统加密连线。



发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: