主機的零信任安全實踐
零信任安全(Zero Trust)是以身份為中心進行訪問控制的安全概念,其核心觀點是不自動信任何訪問者或裝置,任何訪問都應該進行認證、授權或者訪問控制,以避免內網滲透等安全風險。零信任代表未來安全架構的發展方向,在本文中,筆者主要從主機領域分析零信任框架的落地與實踐。
思考:如果沒有零信任,我們將面臨怎樣的安全威脅?
場景1:東西向移動
以近期被肆虐的勒索病毒為例,我們在回溯了多起勒索病毒事件的入侵軌跡後發現,黑客均是先攻擊業務系統中安全防禦能力較弱的主機,再利用業務系統中主機間的“信任”關係,東西向移動至核心系統,滲透成功後鎖定核心業務、竊取資料或者勒索使用者,也就說在“預設內網安全”的架構下,無論核心業務系統的安全防禦能力多強,只要業務系統中還存在安全薄弱點,都一樣可能遭受黑客入侵。
解決主機間東西向移動的零信任架構是微隔離技術,微隔離從2016年開始連續三年入選Gartner 10大安全技術,其本質是基於主機agent的分散式防火牆技術,目標是解決進入雲端計算時代後安全邊界模糊導致的防火牆策略丟失,以應對雲端計算時代的東西向流量防護。
雲鎖將微隔離技術衍生為二個模組:流視覺化、微隔離(東西向流量防護、南北向流量防護),以實現業務系統主機間的零信任安全框架。
流視覺化
流視覺化的功能分為兩部分:1,業務資產視覺化;2,業務資產間訪問關係視覺化。
下圖中圖示代表安裝agent的主機資產,主機間的線代表訪問關係,線的顏色代表訪問綠色-合規流量;紅色-違規流量(被攔截);灰色-未設定規則流量;黃色-監控模式流量。
微隔離
微隔離採用白名單機制,可以細粒度控制主機、主機應用間的訪問關係。分為兩個部分:
1.東西向流量防護
可以基於角色、標籤定義主機、主機應用間的細粒度訪問控制策略。比如在一個安全域內允許A類主機(如web伺服器)去訪問B類主機(如資料庫),其他型別的主機去訪問B類主機將被禁止;或者A類主機的web應用可以去訪問B類主機的資料庫應用,A類主機的其他應用訪問B類主機的資料庫應用將被禁止。
2. 南北向流量防護
主要解決主機非法外連問題,可以定義主機允許訪問的特定IP、IP段、域名,不在規則外的訪問將被禁止。
在流視覺化和微隔離的訪問控制下,實現了主機間訪問關係的零信任,內網主機再也無法成為黑客東西向橫向移動的“跳板”。
場景2:應用漏洞利用
微隔離解決了主機與主機間的零信任問題,而主機內部應用間的零信任模型如何建立?應用漏洞利用是黑客常用的攻擊手段,在主機內部應用之間的預設“信任”的前提下,利用存在漏洞的應用發起一系列攻擊,最終獲得伺服器許可權。
應對應用漏洞攻擊的零信任架構,1,在核心層剝離應用過高許可權;2,對在易受攻擊應用中注入rasp應用執行時自我防護技術。
ASVE虛擬化安全域是雲鎖在核心層的應用許可權控制技術,可以將web服務、資料庫服務等高許可權應用隔離在受限環境,實現主機內部應用“零信任”,可以有效抵禦提權等利用應用漏洞的黑客攻擊,如限制WEB伺服器程序許可權,禁止執行cmd.exe等;限制資料庫程序許可權,禁止建立可執行檔案等。
Rasp應用執行時自我防護
Rasp(Runtime Application Self Protection)技術不再單純關注應用漏洞本身,而是將監控與防護移至命令執行、指令碼解析等攻擊發起點,實現對應用系統的流量、上下文、行為的持續監控。
Rasp技術的核心思想是預設應用是不可被信任的,應用自身需要具備對抗黑客攻擊的能力,解決了應用補丁的滯後性問題,縮短attack free攻擊時間差,降低了0day漏洞的安全威脅。
結束語:
主機是資訊保安的最後一道防線,主機安全也必將成為零信任安全框架落地的重要構成。