現代網絡安全架構應備功能
樣式和用例不斷變化,網絡安全也必須更加全面、智能、響應快。
信息技術行業發展早期,Sun Microsystems 代表著計算界的遠見卓識。Sun 公司率先提出了 “網絡就是電腦” (The network is the computer) 的獨特理念。什么意思呢?這意味著,IT 基礎設施在松耦合架構中通過以太網線和 TCP/IP 之類聯網技術連接在一起。因此,必須要正確設計和配置網絡才可以最大化網絡可用性、性能和業務效益。
當然,從上世紀九十年代早期到現在,世界已經改變太多。如今有些網絡根植云端,有些是虛擬的,還有些依賴應用間的連接,但 IT 系統依然通過各種方式靠網絡連接在一起。
現代網絡安全
網絡的變遷自然對網絡安全也提出了與時俱進的要求。現代網絡安全必須支持以下幾點:
(1) 端到端覆蓋:檢查進/出流量的邊界安全已不再滿足需要。現代網絡安全控制必須深入所有網段,審查橫向流量、云端網絡通信,以及根本不觸及公司網絡的軟件即服務 (SaaS) 遠程網絡通信。換句話說,所有網絡流量都應納入審查覆蓋范圍。
(2) 全面加解密:企業戰略集團 (ESG) 研究指出,當今 50%~60% 的網絡流量都是加密的,且未來加密流量的比例只會越來越高。這意味著網絡安全架構必須具備在大量控制點上解密并檢查流量的能力。現代網絡安全技術還應能夠無需解密全部就可以檢測可疑流量。思科 Encrypted Traffic Analytics (ETA) 加密流量分析解決方案和 Barac.io 等公司推出的獨立解決方案均已包含此功能。
(3) 以業務為中心的分隔:所有現代網絡安全技術都應以減小攻擊界面為主要要求。這包括兩個方面的功能:
- 分隔各應用層間的橫向流量;
- 強制實現用戶/設備和網絡服務間的軟件定義邊界網絡分隔規則。此類功能也常被稱為“零信任”。
中央控制面板與分布式實施:這是 “必備” 要素。所有網絡安全控制(如物理控制、虛擬控制、基于云的控制)都必須向一個通用控制面板報告管理行為(如配置管理、策略管理、變動管理等)。中央控制面板很可能設在云端,所以 CISO 應為此變化做好對風險規避審計員和業務經理的培訓。有來自中央命令與控制的指令支持,網絡安全系統在阻止惡意流量和實施策略時應不用考慮自身位置或尺寸了。需注意的是,盡管每家網絡安全供應商都推崇自身中央管理服務,FireMon、Skybox 和 Tufin 等第三方軟件提供商在這一領域也占有一席之地。
全面監視與分析:安全界有句老話:“網絡不會說謊。”因為所有網絡攻擊的殺傷鏈都繞不過網絡通信這一環,安全分析師必須能夠訪問 OSI 技術棧所有層上的端到端網絡流量分析 (NTA)。最好的 NTA 工具應在基本流量監視基礎之上附加檢測規則、啟發式分析、腳本語言和機器學習,以便幫助分析師檢測未知威脅,將惡意行為映射進 MITRE ATT&CK 框架。CISO 必須廣撒網,因為可供選擇的強大解決方案太多了,有純初創公司 (Bricata、Corelight、DarkTrace、IronNet、Vectra Networks 等),有網絡專家(思科、ExtraHop、NETSCOUT 等),還有網絡安全供應商(Fidelis、火眼、Lastline、惠普企業等)。購者自慎!
網絡安全技術必須支持細粒度策略與規則,基于用戶位置、網絡配置或新發現的威脅/漏洞迅速做出相應改變。公司企業必須擁有無論何時何地都能啟動/關閉或修改網絡安全服務的能力。現代網絡安全控制須能適應物聯網 (IoT) 設備及協議,在標準操作系統上用的健壯策略與實施應能同樣應用到物聯網設備上。最后,網絡安全架構必須圍繞易于訪問的 API 打造,以便能夠快速集成。
Sun Microsystems 早已消逝在 IT 發展的歷史洪流中(順帶一提,這家公司目前歸屬 Oracle),但無論外在形式如何,網絡依舊是 IT 關鍵組成部分。現代網絡安全架構不僅僅保護所有網絡流量,還幫助企業減小攻擊界面,改善威脅檢測/響應,緩解網絡風險。這就很能說明問題了。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
