域名預訂/競價，好“米”不錯過

從攻擊面視角理解零信任

Gartner在2022年發(fā)布的《2022年網(wǎng)絡安全重點趨勢(Top Trends in Cybersecurity 2022)》報告中，把“攻擊面擴大”作為重要的一項提出。

報告指出：為了管理一系列擴大的安全攻擊暴露面，組織機構需要關注的遠不只是針對漏洞進行補丁修復。由于一系列數(shù)字化方案的應用帶來的變化，例如新型混合網(wǎng)絡架構、公有云的加速應用、互連更緊密的供應鏈、外部可訪問數(shù)字資產(chǎn)增多及物聯(lián)網(wǎng)科技的更多應用，導致攻擊面大幅擴大。組織機構必須開始在傳統(tǒng)的“安全屋”方案之上思考新戰(zhàn)略，盡快采取行動提升安全可視化及關鍵業(yè)務的風險防范水平。

攻擊面的定義是：一個給定的計算機或網(wǎng)絡系統(tǒng)可以被惡意人員訪問和利用的漏洞的總和。 為了對攻擊面進行持續(xù)可視化呈現(xiàn)和縮減，需要做好以下幾方面工作：

業(yè)務訪問：即人訪問業(yè)務系統(tǒng)的過程管理。

漏洞管理：優(yōu)先級排序、分類與可視化處置。

資產(chǎn)安全：測繪、脆弱性管理、合規(guī)建設等。

零信任是一種架構和方法論，其關注點在于提供安全的應用訪問路徑。 從攻擊面視角出發(fā)，零信任主要針對“業(yè)務訪問”部分給出解決方案，可進一步細化為幾個重點：

權限與路徑：圍繞人和應用的訪問權限與路徑，進行可視化呈現(xiàn)、梳理與管理，消除違規(guī)和越權訪問，規(guī)劃最優(yōu)路徑。

通信安全：將通信內(nèi)容進行加密，對通信的雙方進行身份校驗，避免通信被監(jiān)聽或破壞。

內(nèi)容審計：將通信內(nèi)容進行還原、記錄和留存。

在保護數(shù)據(jù)安全方面，相比數(shù)據(jù)安全領域的脫敏、泄露防護、數(shù)據(jù)庫防護等專用技術，零信任解決方案的核心作用在“關口前移”。對于關鍵數(shù)據(jù)設置合理的訪問權限與路徑，實現(xiàn)高效率管理，從源頭提升非法接觸數(shù)據(jù)的難度和門檻，可以有效幫助數(shù)據(jù)安全整體方案進行落地。

零信任實踐的三個層次

對于零信任建設，本文將按照以下三個層次進行分析：

零信任的三個層次

1、南北向：外部遠程接入

在南北向，訪問控制的主要挑戰(zhàn)來自于傳統(tǒng)VPN技術的幾個隱患：

長期開放固定端口，導致網(wǎng)絡層暴露面持續(xù)存在，這一缺陷在攻防演練中多次被攻擊方成功利用。

長連接機制下，網(wǎng)絡質(zhì)量敏感型應用可能存在性能問題。

在多云和混合云接入環(huán)境下，權限控制不夠精細或維護成本過高。

終端安全管控能力不足。

目前主流的VPN替代方案是軟件定義邊界SDP（Software Defined Perimeter），這一方案已有較為廣泛的應用 ，其核心優(yōu)勢如下：

采用先認證再連接模式，避免固定端口暴露。

使用短連接方案，增強業(yè)務性能體驗。

基于人和業(yè)務系統(tǒng)定制全局策略并實現(xiàn)動態(tài)自適應，在多云和混合云接入場景下更為適用，且能降低維護難度。

支持全品類主機和移動終端操作系統(tǒng)、SDK及瀏覽器環(huán)境接入，采用人+端+接入環(huán)境三維校驗技術，在終端身份核驗方面更具執(zhí)行力，更適合移動應用和IoT終端接入場景。

2、東西向：內(nèi)部主機互訪

在東西向流量層面，零信任的主要解決方案是微隔離。其針對的主要安全攻擊手段是橫向擴散，也即攻擊者獲取失陷主機后作為跳板在安全域內(nèi)繼續(xù)擴大攻擊，最終威脅到核心資產(chǎn)。 微隔離可以通俗地理解為業(yè)務系統(tǒng)間防火墻，在數(shù)據(jù)中心等場景中，大二層環(huán)境和虛擬化工作負載使得這一技術更為流行。

微隔離產(chǎn)品一般可以做三種分類，分別是：

Hyper-V微隔離：以VM為單位進行隔離。

網(wǎng)絡微隔離：在L3/L4進行隔離(經(jīng)常借助SDN控制器)。

主機微隔離：基于主機/業(yè)務系統(tǒng)進行隔離。

其中最受歡迎的微隔離方案是主機微隔離 ，其中一個原因是這個方案相對容易部署，通過管理平臺和主機上部署Agent就可以開始部署策略。無論是Windows或Linux操作系統(tǒng)，Agent可以通過iptables等方式進行策略控制，而在管理平臺上可以將主機互訪關系與路徑進行可視化與管理，并針對訪問需求進行策略自適應計算、異常分析與下發(fā)，這種方案在云負載、虛擬負載和物理服務器上都保持一致有效，從而阻斷東西向安全威脅，縮減業(yè)務交付時間和維護成本。

3、斜向：安全域訪問控制

除了討論特別多的南北向和東西向之外，兼具二者的所謂“斜向”經(jīng)常被忽略，尤其是當網(wǎng)絡規(guī)模足夠大和安全訪問控制策略足夠復雜時，這一方向會顯得尤為重要。 在跨廣域網(wǎng)的多分支機構網(wǎng)絡中，同時有眾多遠程接入用戶，包括居家辦公員工、供應鏈及第三方合作伙伴，此時安全域的劃分與安全策略規(guī)劃將會比較復雜。試想，此時兩個主機之間的訪問可能會跨三層及安全域，也就是說在南北和東西兩個方向同時發(fā)生，而真正的訪問控制落地會在安全設備的訪問控制策略上，單純的南北向或東西向權限控制都不能獨立解決問題。

斜向對應的零信任解決方案是NSPM（Network security policy management）技術。 在NSPM的訪問控制基線管理功能中，可以基于業(yè)務需求和安全域訪問規(guī)則設置訪問控制基線，訪問控制基線信息至少包括源域、源地址、目的域、目的地址、協(xié)議、端口、動作等信息，支持黑白名單、高危端口、病毒端口的自定義，支持定期依據(jù)訪問控制基線對網(wǎng)絡訪問控制策略進行檢查，及時發(fā)現(xiàn)和清除導致非法越權訪問的違規(guī)策略。此外，NSPM的網(wǎng)絡暴露風險管理功能能夠以某一主機或主機組為對象，自動化實現(xiàn)網(wǎng)絡暴露路徑與暴露風險的分析，從網(wǎng)絡訪問關系與安全路徑的角度描述其對外的暴露情況，可以幫助用戶及時了解某些重要主機與網(wǎng)絡暴露面的大小、風險的高低，輔助用戶進行暴露面收斂與暴露路徑的安全加固。

為了系統(tǒng)性解決權限控制問題，需要將南北向、東西向和斜向解決方案進行有機結合。當前，將SDP、主機微隔離和NSPM結合的零信任解決方案并不常見，國內(nèi)的廠商安博通是供應商之一，產(chǎn)品均已適配信創(chuàng)終端環(huán)境，在金融和運營商行業(yè)已有成功案例。

信創(chuàng)終端環(huán)境落地經(jīng)驗總結

將零信任技術方案應用于信創(chuàng)環(huán)境，工作主要在于完成相關軟件在信創(chuàng)CPU(龍芯/鯤鵬/飛騰)、信創(chuàng)操作系統(tǒng)(麒麟、統(tǒng)信)及信創(chuàng)網(wǎng)卡和信創(chuàng)數(shù)據(jù)庫等環(huán)境中的適配。這一落地過程中需要克服的主要技術難點包括：

硬件無關化程度：當軟件主要在用戶態(tài)實現(xiàn)時，遷移到信創(chuàng)過程中將不會涉及到過多的驅動工作，更加順利。

解決跨平臺編譯和各語言、組件版本升降級問題。

各類國產(chǎn)化產(chǎn)品的適配和遷移工作。

克服開發(fā)工具鏈相對薄弱的現(xiàn)狀進行持續(xù)調(diào)試。

與體系架構相關的開源軟件重構和遷移。

通過幾個體系的信創(chuàng)領域產(chǎn)品推進，零信任相關產(chǎn)品已經(jīng)在信創(chuàng)終端環(huán)境下實現(xiàn)了較好的落地。從應用效果看，盡管在性能和加解密能力等方面還有優(yōu)化空間，但已可以成功應用于通用環(huán)境。

未來展望

在政策和技術雙重驅動下，零信任安全在信創(chuàng)領域已取得了不錯成果，未來將會迎來更大機遇，尤其是在金融市場的加速應用。零信任解決方案的落地過程中需要關注多個層面，持續(xù)縮減攻擊面和控制訪問權限，守好前置關，成為數(shù)字化轉型和數(shù)據(jù)安全的重要措施。

參考文獻：

《Guide to Network Security Concepts》,Gartner

《Top Trends in Cybersecurity 2022》,Gartne

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！