从近几年的黑客攻击形势看,内网的攻击逐渐增多。然而,当前不少组织单位的安全防御思路依然仅靠层层边界防御,却忽略了内网的安全防护。当攻击者有机会拿到内网一个跳板机时,即可畅通无阻在内部网络中横向传播威胁,对业务造成爆破式影响。
以WannaCry为例,其感染内网一个终端后,在5分钟内即可将内网中相关联的终端全部感染,当IT运维人员发现时,已经造成无法挽回的巨额损失。因此,为了适应新的攻防形势,行业开始重新分析和审视内部网络隔离的重要性。
为什么需要微隔离
实现内部网络隔离的有多种,传统网络隔离方案基本都是基于网络层面进行工作:
部署物理硬件防火墙,并配置相应的策略,从网络层进行访问控制;
调用系统主机防火墙,需要单独对主机进行策略配置,从而进行访问控制;
VLAN隔离技术根据特定的策略进行区域逻辑网段分离。
但随着组织内部网络架构的演进,从传统的IT架构向虚拟化、混合云升级变迁,虚拟化极大化扩充资产数量,传统隔离方案在以灵活为核心的新IT架构下落地变得困难重重,难以适应当下的环境:
1、无法做到细粒度的隔离措施:传统网络隔离最小粒度只能做到域的隔离,意味着只能针对南北向流量进行隔离,而同一域内的东西流量无法有效隔离,从而无法有效防范威胁横向扩散,内部一旦被突破一点,感染成面,损失巨大;
2、维护不够灵活:面对众多分散的虚机控制点,以及变化的网络环境,传统隔离策略无法做到实时更新与自适应防护,反而因为安全影响了业务的灵活性,最终因为策略复杂不能真正落地;
3、访问关系不可视:业务系统之间的访问关系完全不可视,难以确定隔离的有效性,甚至外部供应商网络与内部涉密生产系统交互频繁却不自知。
也正是因为传统网络隔离的缺陷,VMware 率先提出了适应虚拟化环境的微隔离技术。随后,Gartner在2016年安全与风险管理峰会上重点强调微隔离技术使得微隔离技术逐渐在行业广受关注与认可。Gartner指出,微隔离通过细粒度的策略控制,灵活地实现业务系统内外部主机与主机的隔离,让东西向流量可视可控,以防御黑客或病毒对内网的持续性大面积的渗透和破坏。
所谓微隔离即更细粒度更灵活更可视的隔离技术。微隔离从原有的区域隔离细化到主机端口、应用等细粒度的访问隔离,包括容器隔离。同时能够集中部署隔离策略,有效减少防火墙规则数量,大幅增加策略调整的灵活度。此外,通过增加可视化能力直观呈现所有主机访问关系,从而更容易检验隔离策略是否生效。
微隔离方案对比
当越来越多的用户开始转为更为灵活的微隔离方案时,选择哪种技术路线成为了问题的关键。当前微隔离方案技术路线主要有三种:
可以看出,随着基础架构的频繁升级变化,主机代理微隔离才更适应当前多变的用户业务环境。
深信服EDR微隔离
可视可控的下一代主机隔离技术
深信服EDR微隔离下一代主机隔离技术,架构于主机防火墙之上,基于轻量有代理的模式,与虚拟主机完全解耦,全面提供主机应用角色之间的流量访问控制,通过统一灵活的安全访问策略配置,简单高效地对应用服务之间访问进行隔离,实现东西向业务流可视可控,完全满足Gartner的要求。
1、端点安全、东西向流量立体可视:直观精确的观察到每个终端的异常行为,并定位排查问题,及时动态调整控制策略,实现端点安全域东西向流量的可视化。
2、配置灵活,细粒度微隔离管控:基于安装轻代理主机Agent软件的访问控制,完全与虚拟化底层平台解耦,无论是虚拟机还是PC机,均可从业务系统、应用角色、终端设备、业务部分等不同的维度灵活进行细粒度的隔离访问控制策略,实现高效运维。
更值得期待的是,深信服EDR将上线微隔离功能进阶版本,支持访问关系自动采集梳理、快速配置策略、策略测试发布等全新功能,更轻松实现微隔离的可视可控!