6王海峰-基于微隔離的數據中心零信任實踐（15頁）.pdf

《6王海峰-基于微隔離的數據中心零信任實踐（15頁）.pdf》由會員分享，可在線閱讀，更多相關《6王海峰-基于微隔離的數據中心零信任實踐（15頁）.pdf（15頁珍藏版）》請在三個皮匠報告上搜索。

1、基于微隔離的數據中心零信任實踐北京薔薇靈動科技有限公司王海峰 高級產品專家妖魔變幻，唐僧總是輕信、越界畫地為牢，靜態屏障跟不上變化人性本惡，絕不輕信永遠驗證，統一分析兩則小故事零信任究竟改變了什么？邊界訪控零信任訪控訪控模式黑名單為主白名單作用位置域間邊界（靜態）訪問兩端（動態）管控對象基礎設施（IP/Port）業務訪問（業務角色、安全狀態）決策模式分散決策軟件定義主責部門安全團隊安全、業務與運維協同零信任的三大結構性要求微隔離是構建數據中心零信任的基石網絡中有什么？他們能干什么？外邊的流量如何進來？微隔離（微隔離（Micro-Segmentation）里邊的流量如何控制？標識與訪問控制管理（

2、IAM）軟件定義邊界（SDP）微隔離：一個已經成為主流的新技術來源：Hype Cycle for Network Security,2021微隔離（Micro-Segmentation，亦稱為微分段、軟件定義分段、基于身份的分段或邏輯分段），其用于提供主機（包括容器）間安全訪問控制（區別于過去的安全域間的安全訪問控制）,并對東西向流量進行可視化管理；從安全能力疊加演進的視角來看，微隔離屬于“架構安全”的范疇，其運用早于零信任理念興起；隨著微隔離被納入零信任體系框架，Gartner近年來對其的技術命名更新為“Identity-Based Segmentation”，即“基于身份的分段”。TORV

3、MVMVMTORVMVMVMTORVMVMVMTORVMVMVMFWFW互聯網難點一：東西流量不可見難點二：靜態策略不適應難點三：人工運維不可行微隔離的三項基本要求面向業務而非面向網絡以業務角色標定資產身份以業務邏輯制定安全策略以業務視角實現統一納管自動化配置而非人工配置自動化學習業務連接關系自適應工作負載屬性變化從分散決策走向軟件定義安全策略集約計算、分布執行跨域易構混合環境下統一納管基于API 廣泛協同、自動編排微隔離需具備的基本技術特征以業務角色標定非人實體的身份（ID）一組策略，四層實體，三次動態映射基于標簽實現安全策略與基礎設施解耦ID 1ID 2ID 3ID 4ID5Scope 1

4、Scope 2Policy 1Policy 2以可視化呈現分組、工作負載間的業務連接生成全網工作負載端口臺賬、協助摸清家底基于業務連接，向導式生成白名單訪控策略監測訪問頻度，發現網內幽靈主機監測異常訪問，洞察攻擊橫向側移基于身份實現業務關系可視和分析以身份為依據進行自適應策略計算自適應策略計算自適應策略計算上海災備中心上海災備中心電商電商Web上海災備中心上海災備中心電商電商Web北京主中心北京主中心電商電商DB北京主中心北京主中心電商電商DB192.168.100.10192.168.100.2010.10.20.1010.10.20.20策略定義策略定義上海災備中心|電商|Web 北京主中

5、心|電商|DB192.168.100.10 10.10.20.10192.168.100.10 10.10.20.20192.168.100.20 10.10.20.10192.168.100.20 10.10.20.20192.168.100.10 10.10.20.10192.168.100.10 10.10.20.20192.168.100.20 10.10.20.10192.168.100.20 10.10.20.20192.168.100.10 10.10.20.10192.168.100.20 10.10.20.10192.168.100.10 10.10.20.20192.168

6、.100.20 10.10.20.20以身份為依據進行自適應策略計算自適應策略計算自適應策略計算上海災備中心上海災備中心電商電商Web上海災備中心上海災備中心電商電商Web北京主中心北京主中心電商電商DB北京主中心北京主中心電商電商DB192.168.100.10192.168.100.2010.10.20.1010.10.20.20策略定義策略定義上海災備中心|電商|Web 北京主中心|電商|DB192.168.100.10 10.10.20.10192.168.100.10 10.10.20.20192.168.100.20 10.10.20.10192.168.100.20 10.10.

7、20.20192.168.100.10 10.10.20.10192.168.100.10 10.10.20.20192.168.100.20 10.10.20.10192.168.100.20 10.10.20.20192.168.100.10 10.10.20.10192.168.100.20 10.10.20.10192.168.100.10 10.10.20.20192.168.100.20 10.10.20.20192.168.100.30192.168.100.30 10.10.20.10192.168.100.30 10.10.20.20192.168.100.30 10.10.

8、20.10192.168.100.20 10.10.20.10192.168.100.30 10.10.20.20192.168.100.10 10.10.20.20192.168.100.30 10.10.20.10192.168.100.30 10.10.20.20192.168.100.20 10.10.20.10192.168.100.20 10.10.20.20對于100個工作負載的環境，即使是采用最簡單的分段策略（即環境隔離），攻擊者橫向移動并實現目標的難度也增至3倍；如果采用業務隔離微分段策略，難度增至4.5倍；當用例2擴展到1000個工作負載時，攻擊者的難度增至22倍；使用微分

9、段將迫使攻擊者改變技術，從而提升攻擊者成本，并使防守方在數據失陷前獲得更多的檢測機會。微隔離的實效價值評估跳板主機WebDBProcessingWebDBProcessingWebDBProcessing.生產環境電商系統物流系統結算系統WebDBProcessingWebDBProcessingWebDBProcessing.開發環境電商系統物流系統結算系統對 照：全網互通用例1：環境隔離用例2：環境隔離+業務隔離用例3：環境隔離+業務隔離+應用隔離Bishop Fox基于MITRE ATT&CK暴露端口數奪寶時間阻斷連接數對 照2930.50用例12191.516,902用例21732.2

10、564,033用例31304.7518,1772微隔離的應用場景業務梳理分析 資產：工作負載及端口臺賬 業務：多業務間互訪關系 連接：工作負載間連接關系云內安全加固 跨域異構混合環境下的統一管理 收縮暴露面，阻斷內部橫向側移 東西向異常流量實時監測實戰攻防演練 備戰：梳理資產、摸清家底 臨戰：精細訪控、嚴防暴露 交戰：監測異常、及時處置等級保護合規 虛機與虛機間流量的控制 虛機與宿主機間流量控制 安全策略應隨虛機動態漂移微隔離實施“五步法”定義：確定管理對象，完成安裝 明確要開展微隔離防護管理的對象，以及防護級別，完成安裝分析：業務梳理 確定資產信息，確定業務組劃分，角色劃分設計：構建東西向業

11、務流基線 基于訪問關系，與業務部門確定業務流準確性防護：按需分段 配置微隔離安全策略，并建立與業務部門的溝通機制（三種策略配置方式）運維：持續的策略管理 要持續對流量和日志信息進行監控，做持續的策略優化，業務變化修改策略建設狀態測試狀態防護狀態策略固化前不阻斷業務互訪先邊緣后核心先新業務后老業務先小業務后大業務先組間后組內先分析后阻斷小結零信任消除了對基礎設施（IP、安全域）的“隱式信任”，對連接兩端的主客體進行持續的身份校驗和環境感知，建立了一種新的信任模式，實現了基于業務角色、業務邏輯的動態、最小特權訪問控制；零信任并非一個產品或幾個產品的組合，而是一個技術框架、一種安全理念，廣義零信任圍繞“7支柱”構建核心能力，狹義零信任通常指IAM、SDP及MSG三大結構性要求；微隔離通過精細化分段、細粒度訪控，實現了內網暴露面的大幅縮減，可有效防御攻擊行為在內部的橫向側移。同時，微隔離是構建數據中心“服務間互訪”場景下零信任的核心手段；零信任并非一蹴而就達成，其本身有成熟度過度階段。在數據中心落地零信任，同樣可遵循循序漸進、逐步收緊的分步實施原則，避免對業務造成過大沖擊。