等保2.0时代,网络安全要从边界转向内网
没有网络安全,就没有企业安全和国家安全,这也是近年来,我国网络安全法、等保2.0规章制度等一系列网络安全措施出台的根本原因。
随着网络安全等级保护2.0标准的发布,业界也掀起了一轮学习等保2.0的热潮,作为国内知名网络安全厂商,蔷薇灵动通过研究发现,在很多技术理念上,等级保护2.0都有了巨大的变化,比如“源地址”访问控制问题。当我们把防御的视线从边界转向内网,很多安全思路都会发生变化,等保2.0时代,我们可以有更有效的对抗手段来应对可能的安全威胁。
等保2.0时代企业要控源
等保2.0时代,控源的必要性
面对等保2.0,我们必须得控源,因为当我们做面向互联网边界安全的时候,我们很难对源进行控制,因为你完全不知道谁会访问你,你只能对内部的服务进行访问控制。为了应对这个挑战,业界发展出了威胁情报技术,于是我们可以在边界上加一些黑名单,这样会对边界安全有所帮助,但它最终也无法回答究竟谁是好人,所以在互联网边界,白名单是不可行的。
但是,在行业性专网或者纯粹的内网,情况是不一样的。无论是访问者还是服务者都是已知的,都是可以被管理的。面对等保2.0,我们完全可以有更有效的管理手段,也就是基于源地址的白名单访问控制。如果我们能预先知道访问我的都是谁,那么我就不用再考虑谁是坏人的问题(因为你对坏人的描述只要是基于规则的,就是可以绕过的),我可以只对我明确认识的人开放服务,在内部环境中有无数种办法对一个终端的身份进行验证,相较于黑名单绕过而言,白名单欺骗无疑要难的多。
等保2.0时代企业要控源
等保2.0时代,除了可以对源地址进行限定外,更重要的是,在一个完全可控的网络内,我们不仅可以在近服务侧的位置进行访问控制,我们还可以在整个网络的所有可能位置对访问进行控制,尤其是可以做到“近源防护”。比如说一台主机要进行超越其业务需求的445端口访问,那么除了在开放相关服务的服务器前进行阻拦,我们还可以在其接入处的隔离设备上直接对其进行阻拦,因为这台机器的业务需求是已知的,它的业务路径也是已知的,我们可以在全路径上对其进行访问控制。
所以,在可控的网络内(专网/内网)对源进行白名单访问控制,显然是更有效的防护手段。遗憾的是,我们看到了太多的真实案例中,用户在内网仍然延续了互联网边界的安全策略,只对被保护对象进行基于目的地址的访问控制,某种意义上说,这就是一种自废武功的防御策略,我们本来可以打造出一个天罗地网,而实际上只是建构了几个孤立的碉堡。这不利于企业应对等保2.0。
等保2.0在安全防御理念更先进
不得不说等保2.0确实是这个时代我国网络安全工作的智慧结晶,展现出了很高的理论和技术水平。等保2.0之前的等级保护1.0(GB/T22239-2008)中,在“网络安全”的“访问控制章节“中,并未明确指出要对源地址做访问控制。而在等级保护2.0(GB/T22239-2019)中,在“安全区域边界”的“访问控制”章节中则明确强调:“要对源地址,目的地址,源端口,目的端口和协议等进行检查,以允许/拒绝数据包进出”(8.1.3.2c)。同时还指出:“默认情况下除允许通信外受控接口拒绝所有通信”(8.1.3.2a)。等保2.0明明白白的指出在网络内部应该进行白名单访问控制。当然,针对8.1.3.2a可能会产生一个漏洞,那就是——什么才算允许通信呢?管理员是否可以允许所有通信呢?关于这一漏洞,等保2.0用另一条要求予以回答:“应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化”(8.1.3.2b)。这同样是一条在等保2.0里新加入的规则,因为在黑名单机制下,这条要求基本没什么意义。阻断规则多一些,并不会对安全造成影响,最多就是会拖慢网络速度,因此,过去的策略优化主要是从效率的角度进行的,而不是从安全的角度进行的。但是在等保2.0制度下,在白名单模式下,策略集的最小化就有了非常重要的意义。因为此时的策略都是关于对已知访问源和已知服务的“允许“规则,那么这个策略集一定是越小越好,应该将最少的服务开放给最少的人,这样才是最安全的做法。
等保2.0时代微隔离五步法
所以,我们说等保2.0在安全防御理念上取得了长足的进步。而另一方面,等保2.0也对网络安全的管理工作提出了远超过去的要求。在过去,如果在系统的关键节点处部署了防火墙,然后针对一些已知威胁配置了一些黑名单策略(不用太多,因为谁也不能穷举全部的威胁),那么基本就符合了等级保护的要求。但是在等保2.0时代则明确对访问策略做了白名单化要求。这意味着什么呢?意味着管理员必须对内网业务完全掌握,必须对全部资产完全掌握,必须对每一个终端设备的业务访问需求完全掌握,对业务之间的关系要完全掌握,并且还要保证,在这个网络发生任何风吹草动(业务调整,上下线,终端增减等等)时,能及时准确的做出策略重构。
面对等保2.0,围剿才是控源的最高境界
等保2.0时代,控源需要更高的技术手段,那就是微隔离,微隔离技术的基本逻辑就是点到点访问控制,因此在微隔离掌握话语权的内网体系里,它能够做出不可思议的神操作——围剿。
以下技术讨论以蔷薇灵动的微隔离技术实现为前提。
想要处理等保2.0的控源问题,就要了解微隔离,微隔离的控制点在每一台工作负载(物理机,虚拟机,容器)上,而它的具体控制能力分为两类——“出站”和“入站“。所谓“出站”,就是控制一个工作负载能够对外发起的通信,所谓“入站”,就是控制一个工作负载能够接受的访问请求。如果要说“近源”控制的话,最近的控制点显然就是访问发起点自身的主机防火墙了。微隔离可以在主机防火墙上配置出站策略,以严格规范其能够访问的服务。
很多情况下,即使一台主机已经被感染了,但是这个恶意代码未必有能力或者有意愿去修改主机防火墙的配置(比如怕触发日志记录和告警以及主机安全软件的反击,毕竟主防火墙是关键的系统设施),这个时候他就没有能力去做一些非法外联比如cc通信,内网扫描,以及数据回传之类的操作,这很不利于等保2.0的控源。
当然,还有一些恶意代码能够提权,或者不怕触发相应的监控,那么此时主机防火墙的“出站“控制能力基本就失去作用了,但是别着急,真正的神操作现在才开始上演。让你轻松面对等保2.0。
当一台工作负载已经被控制之后,他势必会利用此台机器对内网进行进一步的攻击,而此时他会发现,他已经陷入了人民战争的汪洋大海。因为微隔离的策略是双向配置的,我们在业务学习的时候基于一个业务生成的策略是双向配置的,不仅配置了出站策略,还配置了入站策略。也就是说,每一个对外开放服务的工作负载都严格地按照白名单向有限的访问源进行开放,这跟等级保护2.0的要求一致。此时,这个受控主机,一旦尝试进行超过其业务需求网络访问时,他会发现其他工作负载都会拒绝他的访问,不但拒绝,这些工作负载还会把它的这种不正当访问请求记录下来发送给管理员。
等保2.0时代的网络安全的理念已经与过去有了很大的不同,那就是“敌已在内,敌将在内”。在这种想定下,我们除了防御攻击者的渗透外,还要防范其内部的平移,尽量将攻击者控制在一个尽可能小的范围内。或者换言之,面对等保2.0,我们应该尽可能降低每一个内网资产的暴露面,尽可能提高其平移的攻击成本,并尽可能记录下内部网络行为中的各种蛛丝马迹,这就是我们所谓的“围剿”。
当下,面对更加严格的技术和管理要求,为更好地实施等保2.0,建议相关企业引入微隔离技术。