了解软件应用面临的主要风险、应用安全工具的所有主要类别,以及保护应用程序的最佳实践。
什么是微隔离?
微隔离最初是设计用来控制网络段内的服务器到服务器流量的。现在,它已经被扩展到了段到段的流量,规范了服务器、应用和主机如何相互通信。
微隔离策略和权限通常是基于资源身份的,使每个资源独立于主机基础设施。因此,微隔离是一种根据数据中心内部单个工作负载特性创建智能工作负载分组的理想方式。
作为零信任网络访问(ZTNA)解决方案的基本组成部分,微隔离提供了更强大、更可靠的网络安全。基于微隔离的安全性也更容易管理。无需编写数百条基于地址的规则,只需使用一些基于身份的策略就可以保护段。
微隔离网络的工作原理
微隔离解决方案可以在不重新架构的情况下对网络进行细分,让安全团队能够在网络内隔离工作负载以限制横向移动。
微隔离解决方案的类型
微隔离控制可能是基于代理的、基于网络的或原生云的。基于代理的解决方案使用软件代理通过在主机中安装防火墙或根据工作负载的属性和标识来实施隔离。基于网络的控制使用物理网络基础设施来强制执行细分策略。基于云的控制使用云提供商的能力,如内置防火墙。
微隔离安全性
微隔离通过提供细粒度、可见性和动态适应性,保护公共云和私有云中的网络。细粒度允许网络管理员为特定应用制定单独的策略,限制关键资源之间的流量。可见性应覆盖基于云和本地网络的所有流量。监测流量的有效方法是将其与关于工作负载的上下文相结合。
微隔离还可以保护动态环境,如快速缩放并使用临时 IP 地址的基于容器的架构。这些环境不支持基于地址的工作负载管理,需要基于属性或标识的安全策略。微隔离策略可以自动适应应用和基础架构的变化,无需手动干预。
微隔离使用案例
微隔离可以让管理员为各个子网设置自定义安全策略。通过将安全漏洞或攻击的影响限制在已受损的具体子网上,从而减少整个网络的脆弱性。
另一个重要的使用案例是确保可视性。微隔离提供了对网络更详细、更细粒度的视图,让管理员能够更好地控制设备和应用之间的数据流。您也可以使用微隔离来识别和优先处理关键流量,例如需要额外保护以符合行业标准和法规的敏感数据。
微隔离是高级安全概念(如零信任网络)的关键组成部分。它可以帮助您实施控制,在访问网络设备之前验证每个用户的身份。
微隔离的种类
根据用于细分子网的资源,有多种实现微隔离的方法。
应用分割
随着云计算网络的增长和应用发布周期的加速,许多安全团队开始采用应用分割。
这种类型的分割通常是在应用内分割和将应用集群与其他网络基础设施隔离的组合。这些方法以不同的方式提高安全性。
但是,传统的应用分割方法主要使用第 4 层控制,在更动态的环境和应用部署过程中可能会效率低下且难以管理。
容器分割
划分子容器涉及分割子容器之间的通信,并将流量限制为授权连接。通常,容器分割在服务级别应用,因为像 Kubernetes 这样的编排工具通常会根据服务的概念创建容器。
在大多数情况下,从同一图像或服务创建的不同容器不需要不同的网络分割策略。
用户分割
用户分割涉及根据共同特征将单个用户分类到不同的组(段)。您可以根据产品版本、语言偏好、地理位置或用户角色对用户进行分类。
精心规划的用户分割可以让产品团队研究不同段之间用户行为的差异,并针对每个段个性化体验。
网络分割VS微隔离
主要区别在于它们的范围以及它们的工作方式。
在网络分割中,网络管理员在托管关键应用的交换机上创建单独的VLAN。与这些应用通信的设备位于不同的VLAN或子网中。
VLAN之间的通信需要通过其第3层网关路由设备,在子网之间的防火墙充当VLAN之间的网关,允许或拒绝子网之间的访问。网络分割有助于限制跨VLAN访问,但不能限制给定VLAN内的跨服务器访问。应用程序服务器都在同一个子网上。
微隔离使管理员可以限制南北向和东西向流量。这对于实现零信任安全策略特别有用,如果发生违规,则防止攻击者在每个网络段内横向移动。
零信任和微隔离
零信任安全模型旨在通过采取非信任的安全方法来应对现代混合云环境的复杂性。Forrester Research 的 John Kindervag 在认识到传统安全模型错误地认为企业网络内的每个人都值得信赖时首次提出了这个概念。
相比之下,零信任模型将信任视为弱点,认识到恶意威胁可能来自外部或内部。黑客和恶意内部人员一旦进入您的网络就可以自由导航并访问敏感数据。零信任要求严格验证所有设备和身份,无论用户在网络内外的位置如何。
虽然零信任是一种安全模型,但微隔离是帮助实现这一策略的最佳实践。微隔离在每个工作负载周围创建一个安全的小型周边,消除了恶意行为者可以自由活动的信任区域。
零信任基于最小特权原则控制用户访问,只授予个人用户完成工作的必要访问权限。微隔离通过实施细粒度验证来实现这一点。
微隔离、“政策即代码”和 DevOps
云原生环境已经改变了组织开发和部署应用程序的方式。许多企业采用了 DevOps 和敏捷实践,如自动化、CI/CD 管道和基础设施即代码(IaC)。然而,传统的安全技术无法充分保护云原生应用程序。
微隔离在云端面临的挑战
微隔离通过提供额外的隔离和阻止横向移动来降低网络风险,但分割云原生环境可能具有挑战性。典型的 SOC 使用集中式安全管理模型,由单一团队处理所有网络安全策略。
例如,中央团队必须更新所有策略,并批准或拒绝每个访问请求。这种方法容易造成瓶颈,易出错。
将 DevOps 模型应用于微隔离
您可以使用运行应用程序相同的方式来管理微隔离。DevOps 团队负责使用“政策即代码”,并根据业务部门、帐户或环境来实施粗略策略。安全部门允许应用所有者管理细粒度策略和控件。
这种分散化有助于安全部门跟上 DevOps 的步伐。
微隔离安全最佳实践
混合云数据中心、虚拟化和 SaaS/IaaS 解决方案的普及使得IT 基础设施变得复杂而难以保护。因此,微隔离正在成为动态云环境中的一种关键安全技术。这项技术的价值范围从应用分割到区域隔离和服务限速。
选择正确的微隔离方法
当选择微隔离方法时,一个关键考虑因素是您的环境是以应用为中心还是以网络为中心。以网络为中心的方法使用瓶颈来管理网络流量。它还可以整合第三方策略执行解决方案。
以应用为中心的方法使用工作负荷内的软件代理。这种方法的优点包括更大的可见性、更多的扩展机会以及完全不受基础设施影响的解决方案。未来防弊需要选择正确的方法,涵盖从遗留系统、虚拟化基础设施、物理服务器到公共云环境和容器的所有内容。
从小胜利开始
以应用为中心的模式提供无与伦比的可见性,防止您陷入微隔离最常见的陷阱:过度分割。此最佳实践涉及小胜利,专注于最明显和简单的业务需求以立即提供价值。
一个小胜利可能涉及隔离开发和生产环境。另一个示例是保护特定敏感应用或数据以符合规定。
识别互补的安全控制
此最佳实践超越微隔离,结合其他可以增强整体安全态势的附加控制。例如,您可能选择一个将微隔离与检测和响应能力结合在一起的安全套件。
如果没有这些解决方案,您可能会努力让不同的第三方解决方案无缝运行,增加了安全漏洞的可能性。在同一个解决方案中集成多个控件有助于减轻管理负担。
使用 Aqua Security 加固云原生应用
Aqua 替换了过时的基于签名的方法,使用不可变性、微服务和可移植性的云原生原则中的现代控件。通过使用动态威胁分析、机器学习的行为白名单、完整性和纳秒级分割,Aqua 可在整个生命周期内提供现代化的应用程序安全保障。
Aqua 的全生命周期安全方法涵盖了所有云和平台,与企业的现有基础设施和云原生生态系统集成。
1-构建阶段的安全
提前发现工件中的安全问题,缩短修复时间,加速开发。将安全“左移”到 CI/CD 管道中,在应用部署前获得完整的安全态势可见性并减小应用攻击面。
2-基础设施安全
实施堆栈合规性,实时查看并控制安全态势。监控、检测并在公有云服务和 Kubernetes 集群中自动修复配置问题。符合 CIS 标准、PCI-DSS、HIPAA、GDPR 等规定。
3-工作负载安全
使用零信任模型在运行时保护应用程序,使用细粒度控件准确检测并停止攻击。在任何云、编排器和操作系统上统一虚拟机、容器和无服务器上的安全。利用微服务概念强制实施不可变性和微隔离。
主要功能:
1-漏洞扫描:扫描 CI 管道和注册表、容器镜像、VM 映像和函数 查找已知漏洞、恶意软件、嵌入式秘密、OSS 许可证、配置和权限问题,并基于潜在影响进行优先排序。
2-动态威胁分析:使用安全沙箱检测并缓解容器镜像中的隐藏恶意软件和供应链攻击。
3- 云安全姿态管理(CSPM):持续审计云账户和服务的安全风险,并自动修复配置错误。
4- 容器安全:使用扫描结果为图像部署设置策略,防止使用未获批准的图像。使用 Aqua vShield 减轻已知漏洞,防止无需修改代码的攻击。通过防止与原始图像的偏离来强制实施容器不可变性。
原文链接:https://www.aquasec.com/cloud-native-academy/application-security/microsegmentation/
