Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

像黑客一样思考:微分段的好处

0
0
黑客一样思考:微分段的好处

9小时前来源:E安全

如果我们能从过去几年媒体报道的一系列数据泄露事件中学到一二,恶意攻击者对数据中心(“驻留”(Dwell Time)黑客在这些环境中受益)的广泛活动一直是组织机构遭受破坏程度的主要因素。驻留时间越长(数周、数月、数年),访问次数越多,受害者遭受的损坏就越大。

恶意攻击者的能力不仅是获得关键资产,还会在数据中心附近自由走动而不被发现。接下来几年,预计网络安全支出将达近1000亿美元,这仍有些让人难以置信。未来几年,人们将会在网络安全上大量支出,但却无法阻止恶意攻击者自由出入网络和应用中心内部。

任何规模的组织机构可以通过一件重要的事帮助应对该挑战:更好地分割内部网络和数据中心运营。这是大多数IT和安全团队目前为止没有采取的关键步骤。即使在今天,巨额网络安全支出和注意力仍集中在外围。事实上,今年早些时候,NSA特定入侵行动办公室(Tailored Access Operations,TAO)的团队负责人Rob Joyce在Usenix Enigma安全大会上发表精彩讲话时传递了一条简单信息:对任何重要网络进行分段。

那么,为什么没有组织机构行动起来?为什么不能像黑客一样思考并采取行动应对威胁?

事实证明,基于传统网络技术(交换机、路由器、防火墙等)的微分段(Microsegmentation),虽然很有价值,但会增加数据中心运营的复杂性和风险。执行起来非常困难。许多大型组织机构使用数以百万计基于IP地址的防火墙规则,使得他们的安全政策在复杂性和脆弱性方面仅次于联邦税法。如何转化成数据中心内部?

为什么不能从黑客身上吸取教训?黑客不会突然入侵数据中心,他们往往会寻找一个漏洞,然后离开。这就意味着,具有广泛基础的分段在效果上将受限。互补方法是驱动分段接近应用程序,甚至接近物理或虚拟服务器,这类方法可以降低内部威胁和横向攻击扩散。如果工作负载/应用程序被感染,并且其它应用程序没有很好地分段,恶意黑客可以迅速扩散(Target、美国人事管理局和索尼影业遭受的攻击便以这样的方式开始)。只有分段到工作负载/应用程序才能防止/减少风险。

目前尤其突出的是,应用程序变得越来越分散、动态、异构、混合。简单而言,许多现代N-层应用程序不在一个服务器上运行一个框架。一个应用程序甚至会跨几十个数据中心。这样一来,怎么能通过防火墙保护?

内部分段方法必须适应环境的变化(自旋向上、向下、移动),并增加新计算格式的动态性,例如,linux容器只能运行几秒钟完成进程。并且,Linux容器必须在混合环境下运作。

数据中心微分段的好处在于减少恶意攻击者进行通信和移动的攻击面。通过锁定所有未授权的通信,同样可以限制大部分探测,使恶意攻击者难以在整个数据中心横向扩散。

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。


Viewing all articles
Browse latest Browse all 12749