微隔離可減少網(wǎng)絡(luò)攻擊面

何靜

各種規(guī)模的公司快速采用云服務(wù)，可以帶來許多商業(yè)利益，尤其是提高靈活性和降低IT基礎(chǔ)架構(gòu)成本。但是，隨著IT環(huán)境在性質(zhì)上變得更加異構(gòu)和地理分布，許多組織看到他們的安全攻擊面呈指數(shù)級增長。如系統(tǒng)強化，主動漏洞管理，強大的訪問控制和網(wǎng)絡(luò)分段等長期安全實踐繼續(xù)在安全團隊的減少攻擊面的過程中發(fā)揮重要作用。但是，由于多種原因，這些措施在混合云環(huán)境中已不再足夠。

首先，盡管這些實踐仍然具有相關(guān)性，但它們對于云計算采用和容器引入的新應(yīng)用程序部署模型等重大攻擊面增長沒有什么作用。此外，很難在混合云基礎(chǔ)架構(gòu)中一致地實施這些實踐，因為它們通常與特定的內(nèi)部部署或云環(huán)境相關(guān)聯(lián)。最后，隨著應(yīng)用程序部署模型變得更加分散和動態(tài)，它使組織面臨更大的未經(jīng)批準的橫向移動風(fēng)險。隨著東/西流量的增長，僅基于網(wǎng)絡(luò)的分段太過粗糙，無法阻止攻擊者利用開放端口和服務(wù)來擴展其攻擊足跡并找到可利用的漏洞。

這些現(xiàn)實正在引導(dǎo)許多安全管理人員和行業(yè)專家將微隔離作為戰(zhàn)略重點。實施包含可視化功能和流程級策略控制的整體微隔離方法是在云轉(zhuǎn)換IT基礎(chǔ)架構(gòu)時減少攻擊面的最有效方法。

可視化攻擊面

安全團隊可以采取的減少攻擊面的最有益的步驟之一是深入了解其應(yīng)用程序基礎(chǔ)架構(gòu)的功能以及它如何隨著時間的推移而發(fā)展。通過詳細了解攻擊面，安全團隊可以更有效地實施新控件以減小其大小。

使用微隔離解決方案可視化環(huán)境使安全團隊更容易識別任何妥協(xié)指標并評估其當前的潛在暴露狀態(tài)。此過程應(yīng)包括可視化各個應(yīng)用程序、系統(tǒng)、網(wǎng)絡(luò)和流程，以明確定義預(yù)期行為，并確定可應(yīng)用其他控制以減少攻擊面的區(qū)域。

微隔離減少攻擊面

隨著越來越多的應(yīng)用程序工作負載轉(zhuǎn)移到公共云和混合云架構(gòu)，現(xiàn)有攻擊面減少工作經(jīng)常出現(xiàn)問題的一個領(lǐng)域是橫向移動檢測和預(yù)防。更多分布式應(yīng)用程序架構(gòu)增加了許多數(shù)據(jù)中心和云環(huán)境中"東/西"流量的數(shù)量。雖然大部分流量都是合法的，但能夠在這些環(huán)境中廣泛通信的可信資產(chǎn)是攻擊者的有吸引力的目標。隨著傳統(tǒng)的網(wǎng)絡(luò)邊界概念變得不那么重要，它們也更容易被訪問。

當資產(chǎn)遭到入侵時，攻擊者經(jīng)常采取的第一步是調(diào)查和分析受損資產(chǎn)周圍的環(huán)境，尋找更高價值的目標，并嘗試將橫向移動與合法的應(yīng)用程序和網(wǎng)絡(luò)活動相結(jié)合。

微隔離解決方案可以幫助安全團隊創(chuàng)建精細策略，從而幫助抵御此類攻擊，這些措施和其他類似措施減緩或阻止了攻擊者橫向移動的努力。當有效實施時，微隔離在整個基礎(chǔ)架構(gòu)中更廣泛地應(yīng)用最小特權(quán)原則，即使它從數(shù)據(jù)中心擴展到一個或多個云平臺。

通過對應(yīng)用程序和流程進行深入治理來防止橫向移動，即使在IT基礎(chǔ)架構(gòu)不斷發(fā)展和多樣化的情況下，也可以減少可用的攻擊面。

超越網(wǎng)絡(luò)攻擊面

流程級控制允許安全團隊真正使其安全策略與特定的應(yīng)用程序邏輯和法規(guī)要求保持一致，而不是僅僅通過基礎(chǔ)架構(gòu)鏡頭查看它們。

這種應(yīng)用意識是微隔離減少攻擊面的關(guān)鍵因素。將非常具體的流程級流列入白名單的細微策略在減少攻擊面方面更有效，聰明的攻擊者可以通過利用具有可信IP地址的系統(tǒng)或在允許的端口中混合攻擊來規(guī)避。

多操作系統(tǒng)，多環(huán)境方法的重要性

隨著向混合云環(huán)境的過渡加速，企業(yè)很容易忽視這種變化在多大程度上放大了攻擊面的大小。新的物理環(huán)境，平臺和應(yīng)用程序部署方法創(chuàng)建了許多潛在風(fēng)險的新領(lǐng)域。

除了提供更精細的控制之外，微隔離為尋求減少攻擊面的企業(yè)提供的另一個好處是，它實現(xiàn)了跨越多個操作系統(tǒng)和部署環(huán)境的統(tǒng)一安全模型。當策略側(cè)重于特定流程和流而非基礎(chǔ)架構(gòu)組件時，它們可以應(yīng)用于本地和云托管資源的任何組合，甚至在特定工作負載在數(shù)據(jù)中心與一個或多個云平臺之間移動時保持一致。與依賴于特定環(huán)境或平臺的點安全產(chǎn)品相比，這是一個主要優(yōu)勢，因為即使環(huán)境變得更大和更異構(gòu)，它也可以最小化攻擊面。

在選擇微隔離平臺時，重要的是驗證解決方案可以在整個基礎(chǔ)架構(gòu)中無縫工作，而無需任何特定于環(huán)境或平臺的依賴關(guān)系。這包括驗證Windows和Linux之間的控制級別是否一致，并且不依賴于內(nèi)置操作系統(tǒng)防火墻，這些防火墻不具備必要的靈活性。

雖然向云或混合云IT基礎(chǔ)架構(gòu)的轉(zhuǎn)型確實有可能引入新的安全風(fēng)險，但是管理良好的微隔離方法是高度精細的，與底層基礎(chǔ)設(shè)施隔離，隨著更多基礎(chǔ)設(shè)施的多樣性和復(fù)雜性的引入，應(yīng)用程序感知實際上可以減少攻擊面。