零信任安全(Zero Trust)是以身份为中心进行访问控制的安全概念,其核心观点是不自动信任何访问者或设备,任何访问都应该进行认证、授权或者访问控制,以避免内网渗透等安全风险。零信任代表未来安全架构的发展方向,在本文中,笔者主要从主机领域分析零信任框架的落地与实践。
思考:如果没有零信任,我们将面临怎样的安全威胁?
场景1:东西向移动
以近期被肆虐的勒索病毒为例,我们在回溯了多起勒索病毒事件的入侵轨迹后发现,黑客均是先攻击业务系统中安全防御能力较弱的主机,再利用业务系统中主机间的“信任”关系,东西向移动至核心系统,渗透成功后锁定核心业务、窃取数据或者勒索用户,也就说在“默认内网安全”的架构下,无论核心业务系统的安全防御能力多强,只要业务系统中还存在安全薄弱点,都一样可能遭受黑客入侵。
解决主机间东西向移动的零信任架构是微隔离技术,微隔离从2016年开始连续三年入选Gartner 10大安全技术,其本质是基于主机agent的分布式防火墙技术,目标是解决进入云计算时代后安全边界模糊导致的防火墙策略丢失,以应对云计算时代的东西向流量防护。
云锁将微隔离技术衍生为二个模块:流可视化、微隔离(东西向流量防护、南北向流量防护),以实现业务系统主机间的零信任安全框架。
流可视化
流可视化的功能分为两部分:1,业务资产可视化;2,业务资产间访问关系可视化。
下图中图标代表安装agent的主机资产,主机间的线代表访问关系,线的颜色代表访问绿色-合规流量;红色-违规流量(被拦截);灰色-未设置规则流量;黄色-监控模式流量。
微隔离
微隔离采用白名单机制,可以细粒度控制主机、主机应用间的访问关系。分为两个部分:
1.东西向流量防护
可以基于角色、标签定义主机、主机应用间的细粒度访问控制策略。比如在一个安全域内允许A类主机(如web服务器)去访问B类主机(如数据库),其他类型的主机去访问B类主机将被禁止;或者A类主机的web应用可以去访问B类主机的数据库应用,A类主机的其他应用访问B类主机的数据库应用将被禁止。
2. 南北向流量防护
主要解决主机非法外连问题,可以定义主机允许访问的特定IP、IP段、域名,不在规则外的访问将被禁止。
在流可视化和微隔离的访问控制下,实现了主机间访问关系的零信任,内网主机再也无法成为黑客东西向横向移动的“跳板”。
场景2:应用漏洞利用
微隔离解决了主机与主机间的零信任问题,而主机内部应用间的零信任模型如何建立?应用漏洞利用是黑客常用的攻击手段,在主机内部应用之间的默认“信任”的前提下,利用存在漏洞的应用发起一系列攻击,最终获得服务器权限。
应对应用漏洞攻击的零信任架构,1,在内核层剥离应用过高权限;2,对在易受攻击应用中注入rasp应用运行时自我防护技术。
应用权限控制
ASVE虚拟化安全域是云锁在内核层的应用权限控制技术,可以将web服务、数据库服务等高权限应用隔离在受限环境,实现主机内部应用“零信任”,可以有效抵御提权等利用应用漏洞的黑客攻击,如限制WEB服务器进程权限,禁止执行cmd.exe等;限制数据库进程权限,禁止创建可执行文件等。
Rasp应用运行时自我防护
Rasp(Runtime Application Self Protection)技术不再单纯关注应用漏洞本身,而是将监控与防护移至命令执行、脚本解析等攻击发起点,实现对应用系统的流量、上下文、行为的持续监控。
Rasp技术的核心思想是默认应用是不可被信任的,应用自身需要具备对抗黑客攻击的能力,解决了应用补丁的滞后性问题,缩短attack free攻击时间差,降低了0day漏洞的安全威胁。
结束语:
主机是信息安全的最后一道防线,主机安全也必将成为零信任安全框架落地的重要构成。