准备好清醒的统计数据了吗?每天丢失超过600万个数据记录。1
网络攻击的数量和复杂性,以及媒体上成功的利用造成的广泛损失,使其成为IT领导力的首要任务。没有企业因违反安全性而成为头条新闻。
看看围绕着许多最近的公共违规行为的细节,有一些常见的主题。
最普遍的是,攻击并不直接在数据存储库上。在大多数帐户中,攻击者发现了一个小弱点,这是一个单一的未捕获服务器或远程IT服务。这种弱点使攻击者能够在目标环境内建立运营基础,并确定了第一个挑战:组织多年来一直在使用网络细分和防火墙。这些技术在宏观水平上非常有效,但是一旦攻击者在这些周围内,这些保障措施就会变得无效。
需要一种现代方法
外围防御措施无效的原因是,这种方法几乎没有能力限制应用程序或虚拟机之间的警察网络流量(VM)。因此,一旦攻击者在周边内,他们就可以建立一个操作基础并寻找其他目标(具有更高价值的目标)。这种攻击传播方法通常被描述为横向运动。
数据经济渲染了当今的网络,基于外围的安全性,无用。随着企业在复杂的业务生态系统中获利的信息和见解,公司周边的想法变得古朴,甚至危险。
Forrester 2
显而易见的想法是:我们如何限制DC中的恶意横向运动?一种方法是继续使越来越小的外周围使用更多的虚拟网络(VLAN)或其他硬件防火墙。这种方法的问题是成本和复杂性的结合。这样的实现需要具有相当复杂的配置的更多或更大的安全设备。该方法将提供“更好”的安全性,但是成本可能会禁止大多数组织考虑该选项。
微分类和零信任模型
一段时间以来,安全专家已经考虑使用微分类或称为零信任模型的理念。微分量实质上是将安全周围降低到单个VM。零信任添加了仅允许应用程序和用户之间需要的流量的策略。IT运营商拥有了相当长的一段时间来实施微分量的基础技术。大多数服务器操作系统都使用内置的本地防火墙发货,这些防火墙可用于阻止多年的流量。
这使我提出了下一个问题:有一个已知的安全模型,并且该技术已经存在多年了,但是为什么大多数大型企业没有实施微分类或采用零信托安全模型?
答案非常简单 - 在两个主要领域的复杂性:政策管理和政策创建。我将从管理开始。任何试图使用Microsoft Group策略或Linux中管理Iptables的工具管理Windows防火墙的人都会告诉您,这是一项艰巨的任务。在这里的成功要求将规则始终如一地推动并保证申请。添加OS版本或配置的功能的变化使此任务变得更加复杂。
静态与动态
虚拟化的扩散与软件定义的网络的增加相结合,提供了减少这种负担所需的工具。网络安全策略通常基于网络端点和标识符定义。诸如硬件地址(MAC),网络地址(IP)或VLAN ID之类的详细信息与应用程序协议信息结合使用,以描述网络流量以将策略应用于。以这种方式编写的策略面临的挑战是,随着应用程序变得更加分布(本地 +云 + saaS)或更动态(易于缩放或缩放),静态标识符是不可取的。
虚拟化可以帮助解决这场静态上定义的安全冲突,而愿意允许更多自动化作为应用程序管理的一部分。该管理程序了解所有虚拟端点标识元素。它知道VM具有多少个接口 - 与Mac和IP以及虚拟网络连接一起。基于这一点,只有消除对手动枚举的需求并允许更具动态的安全策略,从而从管理程序中获取该信息,并且在发生更改的情况下可以自动适应该信息。因此,可以简化策略,以了解有关端点的基本详细信息(例如,在应用程序中使用了哪个VM)和动态的应用程序协议详细信息(例如,用于基于SSL的Web流量的TCP端口443)。
可见性和理解是关键
政策的更大问题是知道应用程序的沟通方式。在较旧的安全模型中,防火墙管理员将使用称为黑名单的模型。在此模型中,已知的“坏事”受网络限制。此列表将根据安全漏洞报告或一般IT最佳实践进行策划和更新。在零信任模型中,这个概念被逆转,通常称为“白名单”。该策略应仅允许所需的网络流量,这是问题的根源 - 大多数运营商对“良好”流量的列表没有牢固的了解。尽管更安全,但由于不当阻止必要的沟通,这种方法会影响应用程序操作的风险要高得多。
随着本土,第三方和SaaS应用程序之间的复杂互动,了解每个组件如何交流是一项相当大的工作,必须经常观看更新。同样,这是一个虚拟化和SDN允许创建软件能够发现构成应用程序的VM和服务的领域。
现代方法必须为操作员提供发现和可视化应用程序及其各自的交通模式所需的工具。有了这个细节,管理员和运营商为理解“良好”流量并创建基于白名单的政策具有坚实的基础。
将它们捆绑在一起
攻击正在上升,传统的数据中心安全方法不再足以防止或限制数据泄露的影响。Nutanix流是以应用程序为中心的网络安全的现代方法。我们的AHV虚拟化解决方案的本质部分是从深度可视化和独特的策略模型开始的,该模型消除了应用程序级别策略的挫败感和风险,并将其与无处不在的执法结合在一起。
阅读有关如何采用以申请为中心的方法可以改善您的安全姿势的更多信息,并帮助您的公司在我们的新电子书中的数据泄露 -以申请为中心的安全性。
1https://cpl.thalesgroup.com/
2 Forrester,通过零信托安全性,未来的数字业务,2018年3月28日,https://www.forrester.com/report/futureproof-your-digital-business-with-zero-trust-security/Res137483