微隔離可減少網絡攻擊面

何靜

各種規模的公司快速采用云服務，可以帶來許多商業利益，尤其是提高靈活性和降低IT基礎架構成本。但是，隨著IT環境在性質上變得更加異構和地理分布，許多組織看到他們的安全攻擊面呈指數級增長。如系統強化，主動漏洞管理，強大的訪問控制和網絡分段等長期安全實踐繼續在安全團隊的減少攻擊面的過程中發揮重要作用。但是，由于多種原因，這些措施在混合云環境中已不再足夠。

首先，盡管這些實踐仍然具有相關性，但它們對于云計算采用和容器引入的新應用程序部署模型等重大攻擊面增長沒有什么作用。此外，很難在混合云基礎架構中一致地實施這些實踐，因為它們通常與特定的內部部署或云環境相關聯。最后，隨著應用程序部署模型變得更加分散和動態，它使組織面臨更大的未經批準的橫向移動風險。隨著東/西流量的增長，僅基于網絡的分段太過粗糙，無法阻止攻擊者利用開放端口和服務來擴展其攻擊足跡并找到可利用的漏洞。

這些現實正在引導許多安全管理人員和行業專家將微隔離作為戰略重點。實施包含可視化功能和流程級策略控制的整體微隔離方法是在云轉換IT基礎架構時減少攻擊面的最有效方法。

可視化攻擊面

安全團隊可以采取的減少攻擊面的最有益的步驟之一是深入了解其應用程序基礎架構的功能以及它如何隨著時間的推移而發展。通過詳細了解攻擊面，安全團隊可以更有效地實施新控件以減小其大小。

使用微隔離解決方案可視化環境使安全團隊更容易識別任何妥協指標并評估其當前的潛在暴露狀態。此過程應包括可視化各個應用程序、系統、網絡和流程，以明確定義預期行為，并確定可應用其他控制以減少攻擊面的區域。

微隔離減少攻擊面

隨著越來越多的應用程序工作負載轉移到公共云和混合云架構，現有攻擊面減少工作經常出現問題的一個領域是橫向移動檢測和預防。更多分布式應用程序架構增加了許多數據中心和云環境中"東/西"流量的數量。雖然大部分流量都是合法的，但能夠在這些環境中廣泛通信的可信資產是攻擊者的有吸引力的目標。隨著傳統的網絡邊界概念變得不那么重要，它們也更容易被訪問。

當資產遭到入侵時，攻擊者經常采取的第一步是調查和分析受損資產周圍的環境，尋找更高價值的目標，并嘗試將橫向移動與合法的應用程序和網絡活動相結合。

微隔離解決方案可以幫助安全團隊創建精細策略，從而幫助抵御此類攻擊，這些措施和其他類似措施減緩或阻止了攻擊者橫向移動的努力。當有效實施時，微隔離在整個基礎架構中更廣泛地應用最小特權原則，即使它從數據中心擴展到一個或多個云平臺。

通過對應用程序和流程進行深入治理來防止橫向移動，即使在IT基礎架構不斷發展和多樣化的情況下，也可以減少可用的攻擊面。

超越網絡攻擊面

流程級控制允許安全團隊真正使其安全策略與特定的應用程序邏輯和法規要求保持一致，而不是僅僅通過基礎架構鏡頭查看它們。

這種應用意識是微隔離減少攻擊面的關鍵因素。將非常具體的流程級流列入白名單的細微策略在減少攻擊面方面更有效，聰明的攻擊者可以通過利用具有可信IP地址的系統或在允許的端口中混合攻擊來規避。

多操作系統，多環境方法的重要性

隨著向混合云環境的過渡加速，企業很容易忽視這種變化在多大程度上放大了攻擊面的大小。新的物理環境，平臺和應用程序部署方法創建了許多潛在風險的新領域。

除了提供更精細的控制之外，微隔離為尋求減少攻擊面的企業提供的另一個好處是，它實現了跨越多個操作系統和部署環境的統一安全模型。當策略側重于特定流程和流而非基礎架構組件時，它們可以應用于本地和云托管資源的任何組合，甚至在特定工作負載在數據中心與一個或多個云平臺之間移動時保持一致。與依賴于特定環境或平臺的點安全產品相比，這是一個主要優勢，因為即使環境變得更大和更異構，它也可以最小化攻擊面。

在選擇微隔離平臺時，重要的是驗證解決方案可以在整個基礎架構中無縫工作，而無需任何特定于環境或平臺的依賴關系。這包括驗證Windows和Linux之間的控制級別是否一致，并且不依賴于內置操作系統防火墻，這些防火墻不具備必要的靈活性。

雖然向云或混合云IT基礎架構的轉型確實有可能引入新的安全風險，但是管理良好的微隔離方法是高度精細的，與底層基礎設施隔離，隨著更多基礎設施的多樣性和復雜性的引入，應用程序感知實際上可以減少攻擊面。