Практика Alibaba Cloud Zero Trust: микроизоляция идентичности и сети в производственных сетях

Обзор:

С тех пор как аналитик Forrester Джон Киндвиг предложил термин «Нулевое доверие» в 2010 году, с развитием цифровой экономики и удаленной работы, Zero Trust постепенно перешел от концепции к реализации. Основная идея концепции сетевой архитектуры нового поколения заключается в том, что все активыличностьСетевое соединение между всеми активами должно проходить черезаутентификацияАвторизация.

Должно быть ясно, что нулевое доверие — это не конкретный продукт безопасности, а концепция управления безопасностью или метод управления безопасностью, который использует комбинацию контроля доступа, управления идентификацией, фоновых данных и т. д. для проверки сетевых запросов. Любые конкретные технические средства, позволяющие добиться принципа «никогда не доверяй, проверяй везде», можно рассматривать как принятие нулевого доверия.

Alibaba Cloud, крупнейший поставщик облачных услуг в Китае, имеет разнообразную внутреннюю бизнес-структуру, сложный трафик доступа и частую смену идентификационных данных, что создает серьезные проблемы с безопасностью. После многих лет исследований команда облачной безопасности объединила нулевое доверие и облачные возможности, внедрила и внедрила решение, которое сочетает в себе идентификацию и микроизоляцию для решения проблемы изоляции в производственной сети крупных предприятий.

Понимание ядра нулевого доверия: 5 предположений

Определение нулевого доверия обычно основывается на следующих пяти предположениях:

  • Интернет постоянно находится в опасной среде
  • В сети всегда присутствуют внешние или внутренние угрозы.
  • Местоположение сети недостаточно для определения надежности сети.
  • Все устройства, пользователи и сетевой трафик должны быть аутентифицированы и авторизованы.
  • Политики безопасности должны быть динамичными и рассчитываться на основе как можно большего числа источников данных.

Важно подчеркнуть, что местоположения сети недостаточно для определения надежности сети. Потому что с точки зрения практики обеспечения безопасности в управлении интрасетью предприятия существуют распространенные недопонимания: "Внутренняя сеть безопасна (офисная сеть и производственная сеть), а безопасность можно повысить на границе.". Но с точки зрения инцидентов безопасности, целенаправленные вторжения определенно повлекут за собой дальнейшее боковое проникновение в интрасеть. Если интрасеть беспрепятственна и отсутствуют меры защиты, это определенно приведет к серьезным проблемам с безопасностью.

Практика нулевого доверия в офисной сети: BeyondCorp и Istio

В практической деятельности по обеспечению безопасности с нулевым доверием широко известныПрограмма "Нулевое довериеОсновное внимание уделяется офисным сетям для решения проблем безопасности в них. Например, часто упоминаемый Google BeyondCorp позволяет пользователям безопасно работать практически из любого места, не прибегая к традиционным VPN для безопасного доступа к системам в офисной сети, перенося контроль доступа с периметра сети на конкретного пользователя (на основе идентификации пользователя, устройства, а не местоположения устройства).

Практика Alibaba Cloud Zero Trust: микроизоляция идентичности и сети в производственных сетях

Для решений с нулевым доверием между службами в производственной сети в отрасли существует относительно немного зрелых решений. Кажется, что Google BeyondProd — единственный, кто является открытым, масштабным и зрелым.

В рамках архитектуры k8s с открытым исходным кодом Istio пытается ввести нулевое доверие в производственную сеть через сервисную сетку. Основная идея состоит в том, чтобы использовать архитектуру k8s для развертывания боковой панели сервисной сетки на каждом поде в производственной сети.Поскольку сервисная сетка естественным образом берет на себя RPC-связь между подами, к ней можно добавить аутентификацию доступа к сети, журналы аутентификации и безопасности.Запись. Но на практике мы также обнаружили, что у родного Istio есть некоторые проблемы:

  • Функции безопасности самого Istio не проверялись в производственной среде и находятся только на стадии Demo.

2. Istio реализует аутентификацию личности между рабочими нагрузками (одноранговую аутентификацию) путем инкапсуляции протокола RPC в mtls. Дополнительные вычислительные затраты и накладные расходы, связанные с задержкой, связанные с mtls, относительно велики, что многим предприятиям трудно принять.

3. Istio принимает на себя только RCP-трафик, а механизм аутентификации не-RPC-трафика является неполным.

Ссылаясь на отраслевую практику и объединяя три основные концепции Forrester «модели нулевого доверия», команда Alibaba Cloud шаг за шагом реализовала нулевое доверие в корпоративной интрасети:

  • Проверяйте и регистрируйте весь сетевой трафик
  • Проверьте и проверьте все источники
  • Ограничивайте и строго соблюдайте меры контроля доступа
Сетевая микроизоляция на основе нулевого доверия

Передача данных между севером и югом в производственной сети может быть изолирована через WAF и брандмауэр. Для связи между рабочими нагрузками, то есть трафика восток-запад, не хватает эффективныхинформационная безопасностьИзоляция означает, что основные возможности микроизоляции естественным образом сосредоточены на изоляции и контроле трафика с востока на запад.

В общекорпоративных производственных сетях часто развертываются только устройства пограничной защиты, такие как Waf и межсетевые экраны. Во-первых, если злоумышленник прорвется через защиту периметра (WAF, брандмауэр) или если злонамеренный сотрудник подключится к производственной сети, он сможет напрямую получить доступ ко всем рабочим нагрузкам в интрасети. Уязвимость интрасети будет открыта непосредственно злоумышленникам, а эффективного метода изоляции для контроля радиуса взрыва не существует. Во-вторых, из-за быстрого развития бизнеса, особенно интернет-компаний, традиционные методы изоляции, основанные на доменах безопасности и VPC, не могут эффективно адаптироваться к быстрым изменениям в бизнесе, что приводит к невозможности эффективной изоляции. Наконец, с постепенной популяризацией облачных технологий, k8s начали применяться в больших масштабах. В облачной среде рабочая нагрузка экземпляров приложений является переносимой и даже существует в течение короткого периода времени. Тысячи или даже десятки тысяч подов могут быть созданы и уничтожены за день. Традиционный метод изоляции посредством интеллектуальной собственности приведет к частым изменениям политики, что сделает ее практически невозможной.

Поэтому мы рассчитываем на то, что сочетание облачных технологий ссетевая микроизоляцияРазделите производственную сеть предприятия на эластичные и переменные N-сети, чтобы соответствовать эластичной изоляции быстрых изменений в бизнесе, а также уменьшить площадь атаки после вторжения и контролировать радиус взрыва.

На практике Alibaba Cloud будет использовать нулевое доверие.Сочетание контроля доступа на основе идентификации с сетевой микроизоляцией, используйте идентификацию для микроизоляции сети, уменьшайте поверхность атаки после вторжения и повышайте уровень защиты производственной сети предприятия.

В то же время, опираясь на идею Istio Sidecar, сетевая микроизоляция, основанная на нулевом доверии, будет встроена в Pod каждой рабочей нагрузки, что принесет несколько преимуществ на архитектурном уровне:

  1. Развертывание с учетом бизнес-задач и управление сетью с учетом детализации удостоверений приложений.
  2. Возможности безопасности могут быть автоматически развернуты по мере эластичного расширения и сокращения бизнеса.
  3. Возможности безопасности отделены от бизнес-кода и не вмешиваются в работу бизнес-систем.

На этапе коммуникации рабочей нагрузки мы также создаем возможности двухуровневой аутентификации и аутентификации:

  1. На уровне связи L3/4 добавляются дополнительные идентификаторы приложений для обеспечения аутентификации и аутентификации на уровне соединения.
  2. На уровне связи L7 добавляются идентификаторы приложений для обеспечения аутентификации и аутентификации на уровне запроса.
  3. Если управление доступом на уровне запроса не требуется на уровне L7, производительность сети может быть практически без потерь, если включены только аутентификация и аутентификация уровня L3/4 и поддерживаются различные протоколы прикладного уровня.
Практика Alibaba Cloud Zero Trust: микроизоляция идентичности и сети в производственных сетях

На уровне эксплуатации безопасности Alibaba Cloud проводит поэтапное развертывание и построение:

  1. Во-первых, определите приложения, граничащие с Интернетом, и основные бизнес-приложения в качестве приоритетных объектов защиты.
  2. За счет развертывания микроизоляционных контейнеров безопасности собираются полные данные о трафике между востоком и западом во внутренней сети.
  3. Исходные данные трафика восток-запад преобразуют отношения доступа между IP-адресами в отношения доступа между идентификаторами приложений через идентификатор приложения + информацию библиотеки активов и устанавливают базовый уровень доступа между приложениями в течение периода наблюдения.
  4. На уровне выполнения политики безопасности приоритет отдается обязательной аутентификации и аутентификации сервисов высокого риска (SSH, SMB, LDAP, Kerberos и т. д.) и ключевых сервисов (интерфейсов конфиденциальных данных и т. д.) для повышения уровня изоляции безопасности ключевые системы.
  5. Наконец, был проведен постоянный оперативный мониторинг. С одной стороны, чтобы предотвратить ущерб бизнесу, вызванный ошибочным перехватом, с другой стороны, отслеживая служебный трафик высокого риска во внутренней сети, мы можем обнаружить возможное боковое вторжение или события заражения червями.

 

Практика Alibaba Cloud Zero Trust: микроизоляция идентичности и сети в производственных сетях
прогноз на будущее

После непрерывных исследований мы обнаружили, что сочетание облачных технологий может привести к созданию новых инновационных методов в области безопасности. В последнее время различные компании, занимающиеся безопасностью, задумывались о проблемах безопасности облачной архитектуры и о том, как защитить собственные облачные системы. Фактически, службы безопасности могут использовать преимущества собственной облачной архитектуры для создания новых решений безопасности. Например, возможности WAF и брандмауэра можно перенести в дополнительный модуль и быстро и гибко развернуть вместе с бизнесом. Если сайдкар безопасности помимо возможностей аутентификации имеет возможности WAF и брандмауэра, то уровень безопасности внутренней сети может быть равен уровню безопасности границы, и каждая рабочая нагрузка может быть защищена в максимальной степени.

Alibaba Cloud продолжит исследования на пути к обеспечению собственной облачной безопасности.

Оригинальная статья xbear, при воспроизведении просьба указывать: https://cncso.com/ru/aliyun-identity-and-network-micro-segregation-html

Нравиться (567)
Предыдущий 18 ноября 2021 пп4:17
Следующий 24 ноября 2021 пп4:13

связанное предложение