| 2022-09-14
零信任代表未来安全架构的发展方向,零信任安全核心观点是不自动信任何访问者或设备,任何访问都应该进行认证、授权或者访问控制,以避免内网渗透等安全风险。在本文中,笔者主要从主机领域分析零信任框架的落地与零信任实践。
以近期被肆虐的勒索病毒为例,我们在回溯了多起勒索病毒事件的入侵轨迹后发现,黑客均是先攻击业务系统中安全防御能力较弱的主机,再利用业务系统中主机间的“信任”关系,东西向移动至核心系统,渗透成功后锁定核心业务、窃取数据或者勒索用户,也就说在“默认内网安全”的架构下,无论核心业务系统的安全防御能力多强,只要业务系统中还存在安全薄弱点,都一样可能遭受黑客入侵。
解决主机间东西向移动的零信任架构是微隔离技术,微隔离从2016年开始连续三年入选Gartner 10大安全技术,其本质是基于主机agent的分布式防火墙技术,目标是解决进入云计算时代后安全边界模糊导致的防火墙策略丢失,以应对云计算时代的东西向流量防护。
云锁将微隔离技术衍生为二个模块:流可视化、微隔离(东西向流量防护、南北向流量防护),以实现业务系统主机间的零信任安全框架。
流可视化
流可视化的功能分为两部分:1,业务资产可视化;2,业务资产间访问关系可视化。
下图中图标代表安装agent的主机资产,主机间的线代表访问关系,线的颜色代表访问绿色-合规流量;红色-违规流量(被拦截);灰色-未设置规则流量;黄色-监控模式流量。
微隔离
微隔离采用白名单机制,可以细粒度控制主机、主机应用间的访问关系。分为两个部分:
1.东西向流量防护
可以基于角色、标签定义主机、主机应用间的细粒度访问控制策略。比如在一个安全域内允许A类主机(如web服务器)去访问B类主机(如数据库),其他类型的主机去访问B类主机将被禁止;或者A类主机的web应用可以去访问B类主机的数据库应用,A类主机的其他应用访问B类主机的数据库应用将被禁止。
微隔离解决了主机与主机间的零信任问题,而主机内部应用间的零信任模型如何建立?应用漏洞利用是黑客常用的攻击手段,在主机内部应用之间的默认“信任”的前提下,利用存在漏洞的应用发起一系列攻击,最终获得服务器权限。
主机的零信任安全实践
应对应用漏洞攻击的零信任架构,1,在内核层剥离应用过高权限;2,对在易受攻击应用中注入rasp应用运行时自我防护技术。
ASVE虚拟化安全域是云锁在内核层的应用权限控制技术,可以将web服务、数据库服务等高权限应用隔离在受限环境,实现主机内部应用“零信任”,可以有效抵御提权等利用应用漏洞的黑客攻击,如限制WEB服务器进程权限,禁止执行cmd.exe等;限制数据库进程权限,禁止创建可执行文件等。
Rasp应用运行时自我防护
Rasp(Runtime Application Self Protection)技术不再单纯关注应用漏洞本身,而是将监控与防护移至命令执行、脚本解析等攻击发起点,实现对应用系统的流量、上下文、行为的持续监控。
Rasp技术的核心思想是默认应用是不可被信任的,应用自身需要具备对抗黑客攻击的能力,解决了应用补丁的滞后性问题,缩短attack free攻击时间差,降低了0day漏洞的安全威胁。
结束语:
主机是信息安全的最后一道防线,主机安全也必将成为零信任安全框架落地的重要构成。
越来越多的企业意识到需要在企业内部和外部生态环境中营造信任。下一代互联网访问,零信任已成必然趋势。国内外踊跃的零信任安全厂商中,不乏有许多已经为终端用户部署落地的案例。下面小编就给大家分析零信任的未来展望。
零信任即无边界访问控制,打破传统“内部等于可信任”、“外部等于不可信任”的传统旧安全观念。蒲公英基于SD-WAN延伸出全新的访问边界及安全模型,对于企业数字化转型提供了可扩展性和易用性。
蒲公英零信任架构通过对访问身份权限的动态管控,持续进行信任评估和动态访问控制,实现最终业务安全访问。优势如下:
建立基于应用的安全边界,打破传统基于防火墙的网络边界,建立基于应用的更细粒度的访问策略管理;
建立基于身份的接入验证,身份权限动态管控,所有成员身份无差别信任与验证;
建立基于安全的数据保护,终端数据、应用分级隔离,企业数据通过加密隧道传输。
蒲公英零信任安全网络访问应用场景:
远程移动办公。随着远程办公及移动办公越来越普及,外部访问量激增,而企业访问边界的模糊化和访问设备的可信度管控缺失,导致企业数据安全面临较大挑战。但大部分企业基于已有的网络架构无法瞬时改变,这时蒲公英基于SD-WAN的零信任安全访问就能快速接入,重建企业网络访问边界,加强网络安全;
助力数字化转型。随着物联网、5G时代的到来,企业数字化转型已成为必然的趋势,这种情况下,业务平台及员工身份属性的多样化将越来越强烈。零信任在此基础下可重塑信任体系及访问策略,有效内外访问成员的安全属性进行监控;
通过本文介绍的零信任实践场景,我们了解到,零信任可以应用于整个计算架构的各个方面,提倡对于所有身份进行授权访问,并动态监控授权身份的访问行为,所有账号无差别信任与认证,保障网络安全访问,同时可以极大的提高企业在数字化转型过程中的抗安全风险能力。