沒有網絡安全,就沒有企業安全和國家安全,這也是近年來,我國網絡安全法、等保2.0規章制度等一系列網絡安全措施出臺的根本原因。
隨著網絡安全等級保護2.0標準的發布,業界也掀起了一輪學習等保2.0的熱潮,作為國內知名網絡安全廠商,薔薇靈動通過研究發現,在很多技術理念上,等級保護2.0都有了巨大的變化,比如“源地址”訪問控制問題。當我們把防御的視線從邊界轉向內網,很多安全思路都會發生變化,等保2.0時代,我們可以有更有效的對抗手段來應對可能的安全威脅。
等保2.0時代企業要控源
等保2.0時代,控源的必要性
面對等保2.0,我們必須得控源,因為當我們做面向互聯網邊界安全的時候,我們很難對源進行控制,因為你完全不知道誰會訪問你,你只能對內部的服務進行訪問控制。為了應對這個挑戰,業界發展出了威脅情報技術,于是我們可以在邊界上加一些黑名單,這樣會對邊界安全有所幫助,但它最終也無法回答究竟誰是好人,所以在互聯網邊界,白名單是不可行的。
但是,在行業性專網或者純粹的內網,情況是不一樣的。無論是訪問者還是服務者都是已知的,都是可以被管理的。面對等保2.0,我們完全可以有更有效的管理手段,也就是基于源地址的白名單訪問控制。如果我們能預先知道訪問我的都是誰,那么我就不用再考慮誰是壞人的問題(因為你對壞人的描述只要是基于規則的,就是可以繞過的),我可以只對我明確認識的人開放服務,在內部環境中有無數種辦法對一個終端的身份進行驗證,相較于黑名單繞過而言,白名單欺騙無疑要難的多。
等保2.0時代企業要控源
等保2.0時代,除了可以對源地址進行限定外,更重要的是,在一個完全可控的網絡內,我們不僅可以在近服務側的位置進行訪問控制,我們還可以在整個網絡的所有可能位置對訪問進行控制,尤其是可以做到“近源防護”。比如說一臺主機要進行超越其業務需求的445端口訪問,那么除了在開放相關服務的服務器前進行阻攔,我們還可以在其接入處的隔離設備上直接對其進行阻攔,因為這臺機器的業務需求是已知的,它的業務路徑也是已知的,我們可以在全路徑上對其進行訪問控制。
所以,在可控的網絡內(專網/內網)對源進行白名單訪問控制,顯然是更有效的防護手段。遺憾的是,我們看到了太多的真實案例中,用戶在內網仍然延續了互聯網邊界的安全策略,只對被保護對象進行基于目的地址的訪問控制,某種意義上說,這就是一種自廢武功的防御策略,我們本來可以打造出一個天羅地網,而實際上只是建構了幾個孤立的碉堡。這不利于企業應對等保2.0。
等保2.0在安全防御理念更先進
不得不說等保2.0確實是這個時代我國網絡安全工作的智慧結晶,展現出了很高的理論和技術水平。等保2.0之前的等級保護1.0(GB/T22239-2008)中,在“網絡安全”的“訪問控制章節“中,并未明確指出要對源地址做訪問控制。而在等級保護2.0(GB/T22239-2019)中,在“安全區域邊界”的“訪問控制”章節中則明確強調:“要對源地址,目的地址,源端口,目的端口和協議等進行檢查,以允許/拒絕數據包進出”(8.1.3.2 c)。同時還指出:“默認情況下除允許通信外受控接口拒絕所有通信”(8.1.3.2 a)。等保2.0明明白白的指出在網絡內部應該進行白名單訪問控制。當然,針對”8.1.3.2 a”可能會產生一個漏洞,那就是——什么才算允許通信呢?管理員是否可以允許所有通信呢?關于這一漏洞,等保2.0用另一條要求予以回答:“應刪除多余或無效的訪問控制規則,優化訪問控制列表,并保證訪問控制規則數量最小化”(8.1.3.2 b)。這同樣是一條在等保2.0里新加入的規則,因為在黑名單機制下,這條要求基本沒什么意義。阻斷規則多一些,并不會對安全造成影響,最多就是會拖慢網絡速度,因此,過去的策略優化主要是從效率的角度進行的,而不是從安全的角度進行的。但是在等保2.0制度下,在白名單模式下,策略集的最小化就有了非常重要的意義。因為此時的策略都是關于對已知訪問源和已知服務的“允許“規則,那么這個策略集一定是越小越好,應該將最少的服務開放給最少的人,這樣才是最安全的做法。
等保2.0時代微隔離五步法
所以,我們說等保2.0在安全防御理念上取得了長足的進步。而另一方面,等保2.0也對網絡安全的管理工作提出了遠超過去的要求。在過去,如果在系統的關鍵節點處部署了防火墻,然后針對一些已知威脅配置了一些黑名單策略(不用太多,因為誰也不能窮舉全部的威脅),那么基本就符合了等級保護的要求。但是在等保2.0時代則明確對訪問策略做了白名單化要求。這意味著什么呢?意味著管理員必須對內網業務完全掌握,必須對全部資產完全掌握,必須對每一個終端設備的業務訪問需求完全掌握,對業務之間的關系要完全掌握,并且還要保證,在這個網絡發生任何風吹草動(業務調整,上下線,終端增減等等)時,能及時準確的做出策略重構。
面對等保2.0,圍剿才是控源的最高境界
等保2.0時代,控源需要更高的技術手段,那就是微隔離,微隔離技術的基本邏輯就是點到點訪問控制,因此在微隔離掌握話語權的內網體系里,它能夠做出不可思議的神操作——圍剿。
以下技術討論以薔薇靈動的微隔離技術實現為前提。
想要處理等保2.0的控源問題,就要了解微隔離,微隔離的控制點在每一臺工作負載(物理機,虛擬機,容器)上,而它的具體控制能力分為兩類——“出站”和“入站“。所謂“出站”,就是控制一個工作負載能夠對外發起的通信,所謂“入站”,就是控制一個工作負載能夠接受的訪問請求。如果要說“近源”控制的話,最近的控制點顯然就是訪問發起點自身的主機防火墻了。微隔離可以在主機防火墻上配置出站策略,以嚴格規范其能夠訪問的服務。
很多情況下,即使一臺主機已經被感染了,但是這個惡意代碼未必有能力或者有意愿去修改主機防火墻的配置(比如怕觸發日志記錄和告警以及主機安全軟件的反擊,畢竟主防火墻是關鍵的系統設施),這個時候他就沒有能力去做一些非法外聯比如cc通信,內網掃描,以及數據回傳之類的操作,這很不利于等保2.0的控源。
當然,還有一些惡意代碼能夠提權,或者不怕觸發相應的監控,那么此時主機防火墻的“出站“控制能力基本就失去作用了,但是別著急,真正的神操作現在才開始上演。讓你輕松面對等保2.0。
當一臺工作負載已經被控制之后,他勢必會利用此臺機器對內網進行進一步的攻擊,而此時他會發現,他已經陷入了人民戰爭的汪洋大海。因為微隔離的策略是雙向配置的,我們在業務學習的時候基于一個業務生成的策略是雙向配置的,不僅配置了出站策略,還配置了入站策略。也就是說,每一個對外開放服務的工作負載都嚴格地按照白名單向有限的訪問源進行開放,這跟等級保護2.0的要求一致。此時,這個受控主機,一旦嘗試進行超過其業務需求網絡訪問時,他會發現其他工作負載都會拒絕他的訪問,不但拒絕,這些工作負載還會把它的這種不正當訪問請求記錄下來發送給管理員。
等保2.0時代的網絡安全的理念已經與過去有了很大的不同,那就是“敵已在內,敵將在內”。在這種想定下,我們除了防御攻擊者的滲透外,還要防范其內部的平移,盡量將攻擊者控制在一個盡可能小的范圍內。或者換言之,面對等保2.0,我們應該盡可能降低每一個內網資產的暴露面,盡可能提高其平移的攻擊成本,并盡可能記錄下內部網絡行為中的各種蛛絲馬跡,這就是我們所謂的“圍剿”。
當下,面對更加嚴格的技術和管理要求,為更好地實施等保2.0,建議相關企業引入微隔離技術。
