各种规模的公司快速采用云服务,可以带来许多商业利益,尤其是提高灵活性和降低IT基础架构成本。但是,随着IT环境在性质上变得更加异构和地理分布,许多组织看到他们的安全攻击面呈指数级增长。随着越来越多的企业采用一体化架构风格的应用程序部署方法和更广泛的基础架构自动化,IT基础架构变更速度加快,这一挑战更加复杂。
如系统强化,主动漏洞管理,强大的访问控制和网络分段等长期安全实践继续在安全团队的减少攻击面的过程中发挥重要作用。但是,由于多种原因,这些措施在混合云环境中已不再足够。
首先,尽管这些实践仍然具有相关性,但它们对于云计算采用和容器引入的新应用程序部署模型等重大攻击面增长没有什么作用。此外,很难在混合云基础架构中一致地实施这些实践,因为它们通常与特定的内部部署或云环境相关联。最后,随着应用程序部署模型变得更加分散和动态,它使组织面临更大的未经批准的横向移动风险。随着东/西流量的增长,仅基于网络的分段太过粗糙,无法阻止攻击者利用开放端口和服务来扩展其攻击足迹并找到可利用的漏洞。
这些现实正在引导许多安全管理人员和行业专家将微隔离作为战略重点。实施包含可视化功能和流程级策略控制的整体微隔离方法是在云转换IT基础架构时减少攻击面的最有效方法。此外,由于微隔离是在工作负载级别而不是在基础架构级别执行的,因此可以在整个混合云基础架构中一致地实施,并随着环境变化或工作负载重新定位而无缝适应。
可视化攻击面
安全团队可以采取的减少攻击面的最有益的步骤之一是深入了解其应用程序基础架构的功能以及它如何随着时间的推移而发展。通过详细了解攻击面,安全团队可以更有效地实施新控件以减小其大小。
使用微隔离解决方案可视化环境使安全团队更容易识别任何妥协指标并评估其当前的潜在暴露状态。此过程应包括可视化各个应用程序(及其依赖项),系统,网络和流程,以明确定义预期行为,并确定可应用其他控制以减少攻击面的区域。
微隔离减少攻击面
随着越来越多的应用程序工作负载转移到公共云和混合云架构,现有攻击面减少工作经常出现问题的一个领域是横向移动检测和预防。更多分布式应用程序架构增加了许多数据中心和云环境中“东/西”流量的数量。虽然大部分流量都是合法的,但能够在这些环境中广泛通信的可信资产是攻击者的有吸引力的目标。随着传统的网络边界概念变得不那么重要,它们也更容易被访问。
当资产遭到入侵时,攻击者经常采取的第一步是调查和分析受损资产周围的环境,寻找更高价值的目标,并尝试将横向移动与合法的应用程序和网络活动相结合。
微隔离解决方案可以帮助安全团队创建精细策略,从而帮助抵御此类攻击:
- 相互细分应用程序;
- 在应用程序中细分层;
- 围绕具有特定合规性或法规要求的资产创建明确的安全边界;
- 在整个基础架构中实施一般的企业安全策略和最佳实践。
这些措施和其他类似措施减缓或阻止了攻击者横向移动的努力。当有效实施时,微隔离在整个基础架构中更广泛地应用最小特权原则,即使它从数据中心扩展到一个或多个云平台。
通过对应用程序和流程进行深入治理来防止横向移动,即使在IT基础架构不断发展和多样化的情况下,也可以减少可用的攻击面。
超越网络攻击面
流程级控制允许安全团队真正使其安全策略与特定的应用程序逻辑和法规要求保持一致,而不是仅仅通过基础架构镜头查看它们。
这种应用意识是微隔离减少攻击面的关键因素。将非常具体的流程级流列入白名单的细微策略在减少攻击面方面更有效,聪明的攻击者可以通过利用具有可信IP地址的系统或在允许的端口中混合攻击来规避。
多操作系统,多环境方法的重要性
随着向混合云环境的过渡加速,企业很容易忽视这种变化在多大程度上放大了攻击面的大小。新的物理环境,平台和应用程序部署方法创建了许多潜在风险的新领域。
除了提供更精细的控制之外,微隔离为寻求减少攻击面的企业提供的另一个好处是,它实现了跨越多个操作系统和部署环境的统一安全模型。当策略侧重于特定流程和流而非基础架构组件时,它们可以应用于本地和云托管资源的任何组合,甚至在特定工作负载在数据中心与一个或多个云平台之间移动时保持一致。与依赖于特定环境或平台的点安全产品相比,这是一个主要优势,因为即使环境变得更大和更异构,它也可以最小化攻击面。
在选择微隔离平台时,重要的是验证解决方案可以在整个基础架构中无缝工作,而无需任何特定于环境或平台的依赖关系。这包括验证Windows和Linux之间的控制级别是否一致,并且不依赖于内置操作系统防火墙,这些防火墙不具备必要的灵活性。
虽然向云或混合云IT基础架构的转型确实有可能引入新的安全风险,但是管理良好的微隔离方法是高度精细的,与底层基础设施隔离,随着更多基础设施的多样性和复杂性的引入,应用程序感知实际上可以减少攻击面。