Kreativzentrum
  1. SicherheitschefStartseite
  2. Cloud-Sicherheit

AliCloud Zero Trust Practices: Identitäts- und Netzwerk-Mikroisolierung in Produktionsnetzwerken

xbear - - Cloud-Sicherheit, Sicherer Betrieb - 18862 Ansichten 
Überblick:

Seit der Forrester-Analyst John Kindwig im Jahr 2010 den Begriff "Zero Trust" geprägt hat, ist Zero Trust mit dem Aufkommen der digitalen Wirtschaft und der Telearbeit vom Konzept zur Realität geworden. Der Kerngedanke dieser neuen Generation von Netzwerkarchitekturen ist, dass alle AssetsWürdeDie Netzwerkverbindung zwischen allen Anlagen muss über dieauthentifizierenAutorisierung.

Es sollte klar sein, dass es sich bei Zero Trust nicht um ein bestimmtes Sicherheitsprodukt handelt, sondern eher um ein Sicherheitsmanagementkonzept oder einen Ansatz, der eine Kombination aus Zugangskontrolle, Identitätsmanagement, kontextbezogenen Daten usw. zur Authentifizierung von Netzanfragen verwendet. Jedes spezifische technische Mittel, mit dem "never trust, always verify" erreicht werden kann, kann als Zero-Trust-Ansatz betrachtet werden.

Aliyun, der Cloud-Anbieter mit dem größten Anteil in China, hat eine vielfältige interne Geschäftsstruktur, einen komplexen Zugriffsverkehr und häufige Identitätsänderungen, die große Herausforderungen für die Sicherheit mit sich bringen. Nach jahrelanger Forschung hat das Cloud-Sicherheitsteam Zero Trust und Cloud Native kombiniert und eine Reihe von Programmen entwickelt und umgesetzt, die Identität und Mikroisolierung kombinieren und das Isolierungsproblem im Produktionsnetzwerk großer Unternehmen lösen.

Den Zero Trust Kernel verstehen: 5 Annahmen

Die Definition von Zero Trust basiert im Allgemeinen auf den folgenden fünf Annahmen:

  • Das Netz befindet sich ständig in einer gefährlichen Umgebung.
  • Externe oder interne Bedrohungen sind im Netz immer präsent
  • Der Standort des Netzes reicht nicht aus, um die Vertrauenswürdigkeit des Netzes zu bestimmen
  • Alle Geräte, Benutzer und der Netzwerkverkehr sollten authentifiziert und autorisiert sein.
  • Sicherheitsrichtlinien müssen dynamisch sein und auf der Grundlage möglichst vieler Datenquellen berechnet werden.

Es muss besonders betont werden, dass der Standort des Netzes nicht ausreicht, um den Grad der Vertrauenswürdigkeit des Netzes zu bestimmen. Dies liegt daran, dass es aus der Sicht der Sicherheitspraxis ein häufiges Missverständnis bei der Verwaltung von Unternehmensintranets gibt:"Das Intranet ist sicher (Büro- und Produktionsnetze), die Sicherheit ist in Ordnung, wenn man sich an der Grenze einmischt". Unter dem Gesichtspunkt von Sicherheitsvorfällen wird ein zweckgebundenes Eindringen jedoch mit Sicherheit zu einem weiteren horizontalen Eindringen in das Intranet führen. Wenn das Intranet ungehindert zugänglich ist und es keine Sicherheitsvorkehrungen gibt, wird dies mit Sicherheit zu ernsthaften Sicherheitsproblemen führen.

Zero-Trust-Praktiken für Büronetzwerke: BeyondCorp & Istio

In der Praxis der Zero-Trust-Security ist die inzwischen weithin bekannteProgramm "Null VertrauenDas Hauptaugenmerk liegt auf Büronetzwerken, um Sicherheitsfragen in Büronetzwerken zu lösen. Das häufig erwähnte Google BeyondCorp beispielsweise ermöglicht es den Nutzern, von praktisch jedem Standort aus sicher zu arbeiten, ohne dass sie für den sicheren Zugriff auf Systeme im Büronetz herkömmliche VPNs verwenden müssen, indem die Zugriffskontrollen vom Netzwerkrand auf den jeweiligen Nutzer verlagert werden (basierend auf der Identität des Nutzers, dem Gerät, und nicht auf dem Standort des Geräts).

AliCloud Zero Trust Practices: Identitäts- und Netzwerk-Mikroisolierung in Produktionsnetzwerken

In der Branche gibt es relativ wenige ausgereifte Lösungen für vertrauensfreie Lösungen zwischen Diensten innerhalb eines Produktionsnetzes. Die einzige Lösung, die öffentlich verfügbar, groß angelegt und ausgereift zu sein scheint, ist Google BeyondProd.

Im Rahmen der Open-Source-Architektur k8s versucht Istio, durch Service Mesh Zero Trust in das Produktionsnetzwerk einzuführen. Die Kernidee besteht darin, mit Hilfe der k8s-Architektur Service-Mesh-Sidecars für jeden Pod im Produktionsnetzwerk zu implementieren. Da Service-Mesh natürlich die RPC-Kommunikation zwischen Pods übernimmt, kann es die Authentifizierung, Authentifizierung und Sicherheitsprotokollierung des Netzwerkzugriffs verbessern. In der Praxis haben wir jedoch auch festgestellt, dass es einige Probleme mit nativem Istio gibt:

  • Die Sicherheitsfunktionen von Istio wurden noch nicht in einer Produktionsumgebung verifiziert und befinden sich lediglich im Demo-Stadium.

2, Istio für Workloads (Peer-Authentifizierung) Authentifizierung wird durch Kapselung des RPC-Protokolls in mtls erreicht. mtls bringt zusätzliche Rechenkosten und Latenz-Overheads sind relativ groß, viele Unternehmen sind schwer zu akzeptieren.

3, Istio übernimmt nur den RCP-Verkehr, der Authentifizierungsmechanismus für Nicht-RPC-Verkehr ist nicht perfekt

Durch die Bezugnahme auf Branchenpraktiken und die Kombination der drei grundlegenden Konzepte des Zero-Trust-Modells von Forrester hat das Aliyun-Team Zero Trust im Unternehmensintranet schrittweise umgesetzt:

  • Überprüfung und Protokollierung des gesamten Netzwerkverkehrs
  • Überprüfen und kontrollieren Sie alle Quellen
  • Zugangskontrolle einschränken und streng durchsetzen
Auf Nullvertrauen basierende Netzwerk-Mikroisolierung

Die Nord-Süd-Daten im Produktionsnetzwerk können durch WAF und Firewall vom Netzwerk isoliert werden. Und für die Kommunikation zwischen den Arbeitslasten, also den Ost-West-Verkehr, fehlt es an effektivenNetzwerksicherheitDaher konzentriert sich die Kernfunktion der Mikrotrennung natürlich auf die Kontrolle der Trennung von Ost- und Westverkehr.

In einem typischen Produktionsnetzwerk eines Unternehmens werden oft nur Geräte zur Grenzverteidigung, wie WAF und Firewalls, eingesetzt. Wenn ein Angreifer die Grenzverteidigung (WAF, Firewall) durchbricht oder ein Mitarbeiter mit schlechten Absichten eine Verbindung zum Produktionsnetzwerk herstellt, hat er oder sie direkten Zugriff auf alle Arbeitslasten im Intranet. Die Anfälligkeit des Intranets wird dem Angreifer direkt offenbart, und es gibt keine wirksamen Mittel zur Isolierung, um den Radius der Explosion zu kontrollieren. Zweitens ist es für Unternehmen, insbesondere für Internet-Unternehmen, aufgrund der rasanten Geschäftsentwicklung schwierig, die traditionellen Isolationsmittel entsprechend der Sicherheitsdomäne VPC effektiv an die raschen Veränderungen im Geschäftsleben anzupassen, was zu einer ineffektiven Isolation führt. Mit der allmählichen Verbreitung der Cloud-Native-Technologie wird k8s allmählich in großem Maßstab eingesetzt. In Cloud-Native-Umgebungen ist die Arbeitslast der Anwendungsinstanzen migrierend und sogar kurzlebig, und Tausende oder sogar Zehntausende von Pods können an einem Tag erstellt und zerstört werden. Das traditionelle Mittel der Isolierung über IP führt zu häufigen Richtlinienänderungen und nahezu unverwaltbaren Richtlinien.

Wir setzen also darauf, dass durch die Kombination von Cloud-Native-Technologie mitNetzwerk-MikroisolierungAufteilung des Produktionsnetzes des Unternehmens in elastische und variable N-Netze, um der elastischen Isolierung bei schnellen geschäftlichen Veränderungen gerecht zu werden, die Angriffsfläche nach einem Eindringen zu verringern und den Explosionsradius zu kontrollieren.

In der Praxis setzt AliCloud keinerlei Vertrauen in dieIdentitätsbasierte Zugangskontrolle kombiniert mit Netz-MikrosegregationDie Verwendung von Identitäten für die Mikrosegregation von Netzen verringert die Angriffsfläche nach einem Eindringen, um das Sicherheitsniveau des Produktionsnetzes eines Unternehmens zu erhöhen.

In Anlehnung an Istio Sidecar ist die Idee der Zero-Trust-basierten Netzwerk-Mikroisolierung in den Pods der einzelnen Workloads verankert, was auf architektonischer Ebene mehrere Vorteile mit sich bringt:

  1. Bereitstellung mit Unternehmens-Workloads, granulares Netzwerkmanagement mit Anwendungsidentität
  2. Sicherheitsfunktionen können automatisch bereitgestellt werden, wenn das Unternehmen elastisch auf- und absteigt.
  3. Vom Geschäftscode entkoppelte Sicherheitsfunktionen, die nicht in die Geschäftssysteme eingreifen

In der Phase der Workload-Kommunikation führen wir auch den Aufbau von zwei Schichten von Authentifizierungs- und Authentifizierungsfähigkeiten durch:

  1. Fügen Sie auf der L3/4-Kommunikationsebene die Anwendungsidentität hinzu, um die Authentifizierung auf der Verbindungsebene zu gewährleisten, Authentifizierung
  2. Auf der L7-Kommunikationsebene wird die Anwendungsidentität angehängt, um die Authentifizierung und Authentifizierung auf der Anforderungsebene sicherzustellen
  3. Wenn die L7-Ebene ohne Antragsebene Zugangskontrolle, im Falle von nur offenen L3/4-Schicht-Authentifizierung, Authentifizierung kann mit fast keinen Verlust von Netzwerk-Performance erreicht werden, und unterstützt eine Vielzahl von Protokollen der Anwendungsschicht.
AliCloud Zero Trust Practices: Identitäts- und Netzwerk-Mikroisolierung in Produktionsnetzwerken

Auf der Ebene der Sicherheitsoperationen führt Aliyun einen schrittweisen Einsatz und Aufbau durch:

  1. Identifizieren Sie zunächst Internet-Grenzanwendungen und Kerngeschäftsanwendungen als vorrangige Schutzobjekte
  2. Durch den Einsatz von mikroisolierten Sicherheitscontainern wurden fundierte Daten über den Ost-West-Verkehr im Intranet gesammelt.
  3. Rohe Ost-West-Verkehrsdaten konvertieren Zugriffsbeziehungen zwischen IPs in Zugriffsbeziehungen zwischen Anwendungsidentitäten durch Anwendungsidentität + Asset-Bibliothek-Informationen und erstellen eine Basislinie des Zugriffs zwischen Anwendungen durch Beobachtung im Laufe der Zeit
  4. Auf der Ebene der Durchsetzung der Sicherheitsrichtlinien haben Dienste mit hohem Risiko (SSH, SMB, LDAP, Kerberos usw.) und kritische Dienste (Schnittstellen für sensible Daten usw.) Vorrang, um eine obligatorische Authentifizierung und Authentisierung durchzuführen und die Sicherheitsisolierung des Schlüsselsystems zu verbessern.
  5. Schließlich wurde eine kontinuierliche Betriebsüberwachung durchgeführt. Zum einen, um geschäftlichen Schaden durch fehlerhaftes Abfangen zu verhindern, und zum anderen, um durch die Überwachung des Datenverkehrs von risikoreichen Diensten im Intranet mögliche horizontale Eindringversuche oder Wurmbefall zu erkennen.

 

AliCloud Zero Trust Practices: Identitäts- und Netzwerk-Mikroisolierung in Produktionsnetzwerken 
Zukunftsaussichten

Nach kontinuierlichen Untersuchungen haben wir festgestellt, dass durch die Kombination von Cloud-Native-Technologien neue innovative Verfahren im Bereich der Sicherheit entwickelt werden können. In der letzten Zeit haben verschiedene Sicherheitsunternehmen über die Sicherheit der Cloud-nativen Architektur nachgedacht und darüber, wie man Cloud-native Systeme schützen kann. Tatsächlich kann die Sicherheit die Vorteile der Cloud-Native-Architektur nutzen, um neue Sicherheitslösungen zu entwickeln. So können beispielsweise WAF- und Firewall-Funktionen im Sidecar versenkt werden, um eine schnelle und elastische Bereitstellung für das Unternehmen zu ermöglichen. Wenn die Sicherheit Sidecar hat Authentifizierung und Forensik-Funktionen zusätzlich zu WAF, Firewall-Funktionen, so dass das Intranet Sicherheitsniveau und die Grenze Sicherheitsniveau, den maximalen Schutz der einzelnen Arbeitsbelastung.

Auf dem Weg zur Cloud-nativen Sicherheit wird AliCloud weiter forschen.

Originalartikel von xbear, bei Vervielfältigung bitte angeben: https://cncso.com/de/aliyun-identity-and-network-micro-segregation.html

Wie (567)
190 0

Über den Autor.

xbear

xbearregelmäßiger Benutzer

6 Beiträge
0 Kommentare
0 Anhänger
Alibaba Cloud Sicherheitsexperte, verantwortlich für die Alibaba Cloud Netzwerksicherheit, war verantwortlich für die Teilnahme am Aufbau der Datensicherheit der Alibaba Gruppe, dem Aufbau von Bedrohungsinformationen und anderen Arbeiten.
Vorherige Freitag, 18. November 2021, 16:17 Uhr.
Weiter Montag, 24. November 2021 um 16:13 Uhr.

Empfohlen