何靜

各種規(guī)模的公司快速采用云服務(wù)，可以帶來許多商業(yè)利益，尤其是提高靈活性和降低IT基礎(chǔ)架構(gòu)成本。但是，隨著IT環(huán)境在性質(zhì)上變得更加異構(gòu)和地理分布，許多組織看到他們的安全攻擊面呈指數(shù)級(jí)增長(zhǎng)。如系統(tǒng)強(qiáng)化，主動(dòng)漏洞管理，強(qiáng)大的訪問控制和網(wǎng)絡(luò)分段等長(zhǎng)期安全實(shí)踐繼續(xù)在安全團(tuán)隊(duì)的減少攻擊面的過程中發(fā)揮重要作用。但是，由于多種原因，這些措施在混合云環(huán)境中已不再足夠。

首先，盡管這些實(shí)踐仍然具有相關(guān)性，但它們對(duì)于云計(jì)算采用和容器引入的新應(yīng)用程序部署模型等重大攻擊面增長(zhǎng)沒有什么作用。此外，很難在混合云基礎(chǔ)架構(gòu)中一致地實(shí)施這些實(shí)踐，因?yàn)樗鼈兺ǔＥc特定的內(nèi)部部署或云環(huán)境相關(guān)聯(lián)。最后，隨著應(yīng)用程序部署模型變得更加分散和動(dòng)態(tài)，它使組織面臨更大的未經(jīng)批準(zhǔn)的橫向移動(dòng)風(fēng)險(xiǎn)。隨著東/西流量的增長(zhǎng)，僅基于網(wǎng)絡(luò)的分段太過粗糙，無法阻止攻擊者利用開放端口和服務(wù)來擴(kuò)展其攻擊足跡并找到可利用的漏洞。

這些現(xiàn)實(shí)正在引導(dǎo)許多安全管理人員和行業(yè)專家將微隔離作為戰(zhàn)略重點(diǎn)。實(shí)施包含可視化功能和流程級(jí)策略控制的整體微隔離方法是在云轉(zhuǎn)換IT基礎(chǔ)架構(gòu)時(shí)減少攻擊面的最有效方法。

可視化攻擊面

安全團(tuán)隊(duì)可以采取的減少攻擊面的最有益的步驟之一是深入了解其應(yīng)用程序基礎(chǔ)架構(gòu)的功能以及它如何隨著時(shí)間的推移而發(fā)展。通過詳細(xì)了解攻擊面，安全團(tuán)隊(duì)可以更有效地實(shí)施新控件以減小其大小。

使用微隔離解決方案可視化環(huán)境使安全團(tuán)隊(duì)更容易識(shí)別任何妥協(xié)指標(biāo)并評(píng)估其當(dāng)前的潛在暴露狀態(tài)。此過程應(yīng)包括可視化各個(gè)應(yīng)用程序、系統(tǒng)、網(wǎng)絡(luò)和流程，以明確定義預(yù)期行為，并確定可應(yīng)用其他控制以減少攻擊面的區(qū)域。

微隔離減少攻擊面

隨著越來越多的應(yīng)用程序工作負(fù)載轉(zhuǎn)移到公共云和混合云架構(gòu)，現(xiàn)有攻擊面減少工作經(jīng)常出現(xiàn)問題的一個(gè)領(lǐng)域是橫向移動(dòng)檢測(cè)和預(yù)防。更多分布式應(yīng)用程序架構(gòu)增加了許多數(shù)據(jù)中心和云環(huán)境中"東/西"流量的數(shù)量。雖然大部分流量都是合法的，但能夠在這些環(huán)境中廣泛通信的可信資產(chǎn)是攻擊者的有吸引力的目標(biāo)。隨著傳統(tǒng)的網(wǎng)絡(luò)邊界概念變得不那么重要，它們也更容易被訪問。

當(dāng)資產(chǎn)遭到入侵時(shí)，攻擊者經(jīng)常采取的第一步是調(diào)查和分析受損資產(chǎn)周圍的環(huán)境，尋找更高價(jià)值的目標(biāo)，并嘗試將橫向移動(dòng)與合法的應(yīng)用程序和網(wǎng)絡(luò)活動(dòng)相結(jié)合。

微隔離解決方案可以幫助安全團(tuán)隊(duì)創(chuàng)建精細(xì)策略，從而幫助抵御此類攻擊，這些措施和其他類似措施減緩或阻止了攻擊者橫向移動(dòng)的努力。當(dāng)有效實(shí)施時(shí)，微隔離在整個(gè)基礎(chǔ)架構(gòu)中更廣泛地應(yīng)用最小特權(quán)原則，即使它從數(shù)據(jù)中心擴(kuò)展到一個(gè)或多個(gè)云平臺(tái)。

通過對(duì)應(yīng)用程序和流程進(jìn)行深入治理來防止橫向移動(dòng)，即使在IT基礎(chǔ)架構(gòu)不斷發(fā)展和多樣化的情況下，也可以減少可用的攻擊面。

超越網(wǎng)絡(luò)攻擊面

流程級(jí)控制允許安全團(tuán)隊(duì)真正使其安全策略與特定的應(yīng)用程序邏輯和法規(guī)要求保持一致，而不是僅僅通過基礎(chǔ)架構(gòu)鏡頭查看它們。

這種應(yīng)用意識(shí)是微隔離減少攻擊面的關(guān)鍵因素。將非常具體的流程級(jí)流列入白名單的細(xì)微策略在減少攻擊面方面更有效，聰明的攻擊者可以通過利用具有可信IP地址的系統(tǒng)或在允許的端口中混合攻擊來規(guī)避。

多操作系統(tǒng)，多環(huán)境方法的重要性

隨著向混合云環(huán)境的過渡加速，企業(yè)很容易忽視這種變化在多大程度上放大了攻擊面的大小。新的物理環(huán)境，平臺(tái)和應(yīng)用程序部署方法創(chuàng)建了許多潛在風(fēng)險(xiǎn)的新領(lǐng)域。

除了提供更精細(xì)的控制之外，微隔離為尋求減少攻擊面的企業(yè)提供的另一個(gè)好處是，它實(shí)現(xiàn)了跨越多個(gè)操作系統(tǒng)和部署環(huán)境的統(tǒng)一安全模型。當(dāng)策略側(cè)重于特定流程和流而非基礎(chǔ)架構(gòu)組件時(shí)，它們可以應(yīng)用于本地和云托管資源的任何組合，甚至在特定工作負(fù)載在數(shù)據(jù)中心與一個(gè)或多個(gè)云平臺(tái)之間移動(dòng)時(shí)保持一致。與依賴于特定環(huán)境或平臺(tái)的點(diǎn)安全產(chǎn)品相比，這是一個(gè)主要優(yōu)勢(shì)，因?yàn)榧词弓h(huán)境變得更大和更異構(gòu)，它也可以最小化攻擊面。

在選擇微隔離平臺(tái)時(shí)，重要的是驗(yàn)證解決方案可以在整個(gè)基礎(chǔ)架構(gòu)中無縫工作，而無需任何特定于環(huán)境或平臺(tái)的依賴關(guān)系。這包括驗(yàn)證Windows和Linux之間的控制級(jí)別是否一致，并且不依賴于內(nèi)置操作系統(tǒng)防火墻，這些防火墻不具備必要的靈活性。

雖然向云或混合云IT基礎(chǔ)架構(gòu)的轉(zhuǎn)型確實(shí)有可能引入新的安全風(fēng)險(xiǎn)，但是管理良好的微隔離方法是高度精細(xì)的，與底層基礎(chǔ)設(shè)施隔離，隨著更多基礎(chǔ)設(shè)施的多樣性和復(fù)雜性的引入，應(yīng)用程序感知實(shí)際上可以減少攻擊面。