如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周

admin 2022年5月30日01:16:39安全闲碎评论19 views4252字阅读14分10秒阅读模式

如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周


如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周


0x1 本周话题TOP2

 

话题1:有个群友问了个问题:是否有公司的安全要求中,有要求互联网流量不允许穿透DMZ,这个点我和我们开发、架构讨论了很久,能落地的只是流量做一下有效性过滤,如果复杂攻击还是可以穿透DMZ的。威胁:从流量侧分析中,看到的是内网(DMZ)到内网(服务器区)的有攻击行为,攻击分析增加了不少复杂度,而且安全的边界需要延申到内部。所以我一直把握不准,这个DMZ的如何控制穿透要求,这里会有不少应用的接口直接对外暴露的,导致接口攻击流量穿透DMZ。各家银行是怎么规范DMZ区流量,避免DMZ区被穿透的(比如流量不在DMZ区终结,直接转发到后台?)


A1:这种情况我也遇到很多次,确实挺难约束得,也是要求业务做过滤,不能纯转发,不过效果不理想


A2:这个是目前的痛点问题,需要业务系统从架构上进行调整,不仅仅是网络架构的问题,业务系统首先要重构即使流量不穿透DMZ,像log4j这种对日志等辅助系统进行攻击的方式还是能直接打到后台。


A3:dmz的功能设计就是以静态资源为主,交易请求向后台web services转发吧。其实也算是历史问题。早期核心业务都是通过柜面等内网专线访问。后面建设了互联网渠道类系统,比如手机银行之类。但是最多也是给APP应用规划专门后台区,所谓的DMZ大多都没有数据落地,代理转发居多。这样做对业务快速上线改动最小,看起来也满足了网络所谓的互联网隔离的要求。


A4:要SDL在安全评审的时候,就要求开发按照DMZ终结的架构来设计应用架构如果安全能够影响企业标准开发框架改造,那是最好的。除了历史遗留问题以外,很多是开发故意做的,规避安全措施。


A5:同样面临这种问题,DMZ区部署的nginx是直接将互联网流量就引入了,曾经要求过互联网流量只能到DMZ服务器,落地后由app向内部服务器发起业务请求,但要求没法落地,开发以不便改造为由拒绝了。


A6:说得没错,理想:把第一层处理逻辑都放DMZ。现实:APP已经搭好了,那就在DMZ放个前置机满足你们的安全要求吧且不论DMZ是否就足够,APP是否就可信任,大部分组织还是防边界的ROI高,这时候采取理想还是现实其实看的是安全压力大还是业务压力大


对于开发来说,增加了不小成本,肯定会抗拒这个事情。他们希望的就是尽快上线满足业务需求,所以需要把安全加到开发生命周期中DevSecOps。


Q:想请教下,怎么确认什么是第一层处理逻辑呢?


A7:web比较典型,web容器才是处理逻辑,ng不是,或者看那些漏洞在哪里生效。


A8:先对业务数据流做个威胁建模,假定是C端-负载-web-app-db,然后每一层有自己面临的威胁,其中web面临的最多,不但有用户输入的,也有框架的。然后对应的措施,大部分情况是,边界一堆检测和防护,里面没有。那么负载和web就要放在这些检测覆盖的区域,也就是dmz app对出访做限制,但是如果每一层之间都有检测,认证和防护,那是把负载还是是webdmz还重要吗?那就未必了。但是这种成本比防dmz高得多。


A9:现在加密流量越来越多,web层越来越弱化,其实这个点涉及很多相关的问题,网络划分安全域和功能域,如果架构上没有实质的业务数据拆分,很可能落地的只是流量转发,没有业务上的隔离


A10:同感,传统的安全域划分,确实遇到新业务形态和技术方式的挑战,是不是都要走向零信任和微隔离。


话题2:大家最近有在研究零信任么?ZTNA、 SASE 、SDP、SDWAN这几个名词,大家来讨论下是什么关系呢:我理解ZTNA 、SASE都是一种框架理念,SDP、SDWAN算是具体的技术?零信任的落地也会用到这些技术呢?


如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周


A1:SDWAN,Software Defined Wide Area Network,即软件定义广域网。是广域网组网技术一种。


SASE(Secure Access Service Edge,安全访问服务边缘会用到SD-WAN技术,SASE更相当于安全访问边界,类似VPN。


如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周


A2:这个sase厂商的技术。sase进阶版零信任+all in one,支持云环境的零信任。


Q:ZTNA 目前主要的技术实现方式或者说组件有哪些,SDP 算是其中一种么?其实就是想做一些概念澄清,大家讨论下,哪些算是一种框架理念,哪些算是技术名词?


如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周


A3:SASE和零信任,我觉得分语境,一种是garterner和Forrester提出的概念和一些技术框架;另一种是一些乙方的产品定义或包装!我理解SDP是零信任架构里面的一个核心技术。


如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周


Q:SDP是ZTNA的一种实现, SASE实现中需要用到SDWAN。那ZTNA 和SASE 这两者本身有没有交叉呢?


A4:这个云安全联盟的老师讲的挺好!感兴趣的话可以看一下视频回放。【云安全的新技术、新趋势、新研究】视频回放链接:

https://www.goupsec.com/videos/attained/5751.html

A5:可以有也可以没有,SASE简单来说就是NaaS+SecaaS。


A6:这个问题,我个人理解这个是两大咨询机构对抗提出的不一样的 “兵法”。还有现在RBI这个技术,RBI 与 ZTNA 等技术集成在SASE 架构下,将防护来自 Web 浏览器或电子邮件访问的恶意威胁,并阻止勒索软件攻击。


我理解就像乙方卖产品一样,我说我的是这样的,他说他是这样的。只不过他们两家卖的是咨询服务而已。目标都是再解决这一个场景的安全问题


Q:ZTNA 是否特指访问控制模型,SASE是一种云安全体系?


A7:Forrester先提出来的ZTA,garterner提出来的sase想包住ZTA。SASE不是云安全体系,应该说是服务于终端访问的云服务安全提供方式。


如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周


如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周


如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周


如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周


这个是我之前整理的,也是基于网上资料和个人理解。


Q:RBI,Remote Browser Isolation,算不算零信任的一种技术?

A8:以前叫可信,可信这个可信那个,现在叫零信任。现在万物都套零信任的壳子,卖vpn的说他们是零信任vpn,搞vdi的是零信任vdi,idv的也有产品叫零信任,rbi其实算个应用发布技术,也对标上了。


A9:没错。就像去年数据安全法刚落地的时候,全说自己是数据安全产品。这东西还得是按照自己的业务场景和办公场景实践。选择适合自己基础设施的零信任技术或产品。凡是做认证授权访问控制的,都可以说自己是零信任,也可以说自己是做可信,看你怎么包装。


A10:SASE更加偏向于一个架构,零信任是一个概念或者框架


Q:CyberMesh,这个最新的词我还没来得及学习,哪位大佬科普一下?


如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周


如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周


A11:Cybersecurity mesh architecture is a composable and scalable approach to extending security controls, even to widely distributed assets。


我理解就是安全切面吧。


A12:合成防御吧,感觉比切面落后。我理解云安全最符合CyberMesh?反正看着就炒概念.


A13:感觉类似于DHS的TIC架构,从这个描述来看和云原生mesh关系也不是很紧密。这是堆栈?


A14:他能把标准化做好就谢天谢地了,还可扩展网格,目测是为拆卖全家桶铺路。现在所有的产品,syslog或者api都是一团糟,就这接口,不论是十年前的siem、soc还是soar、态势、mesh,都是虚的,自成闭环,行业没法专心发展。每个人都只支持扩展自己。什么时候可以在统一大市场的环境下统一安全产品标准


A15:其实应该有强制性国标,安全能力应该api化。但是安全里面的GB很少,基本都是GBT,推荐标准。像有些安全产品连日志怎么记都不懂,下限太低,只能强制性国标来兜底。下限真的低,能提高下下限就好很多了,倒也不用所有人拉齐。


A16:能强制GB的也就金融行业了吧,其他行业太难了,改造成本太高了,企业估计短时间内也负担不起。这个cybermesh的概念有没有点swift的意思?


A17:安全产品销售许可证对于安全产品有明确要求(等保)。分保的保密局名录要求更细致。(分保)只不过现在产品太多元化,产品边界逐步消失。由市场导向,逐步形成了安全解决方案,也不太好要求了。


0x2 本周精粹


金融实践群精华回顾之八-矛与盾,攻与防杂谈集锦


金融实践群精华回顾之九-如何进行有效的安全规划与汇报?


金融实践群精华回顾之十-小议数据安全场景应对之道


0x3 2022年第19周运营数据


金融业企业安全建设实践群 | 第148期

本周群里共有 117 位群友参与讨论,群发言率为 25.54 %,群发言消息数为 438 条,人均发言数为 3.75 条。


企业安全建设实践群 | 第73期

本周群里共有 47 位群友参与讨论,群发言率为 13.86 %,群发言消息数为 211 条,人均发言数为 4.49 条。 


0x4 群友分享


【安全资讯】


汇业评论 | 用户个人信息权利请求的130个高频问题


重磅!刘鹤:支持数字企业国内外上市


数据监管|匈牙利就AI数据处理侵权对布达佩斯银行科处高额罚款


【安全技术】


35类主流商用密码产品


业务数据治理体系化思考与实践


什么是CC(Common Criteria)认证,为什么重要?

https://zhuanlan.zhihu.com/p/114746021


标准查询网站

https://m.doc88.com/p-06216174063837.html#


--------------------------------------------------------------------------------


【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。


往期群周报:


安全可视化&可见性探讨,如何制定安全团队OKR,开源软件治理如何设置指标以及疫情防控下数据中心安全应急讨论 | 总第147周


采购人力服务一般何种形式?对生产系统做渗透测试遇到系统主管部门的挑战,如何发布制度约束?| 总第146周


显示IP地址与个人隐私探讨?如何排查服务器是否已经失陷?企微通过H5对接内网系统是否符合法律法规和监管要求?| 总第145周

如何进群?

如何下载群周报完整版?

请见下图:


如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周

原文始发于微信公众号(君哥的体历):如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月30日01:16:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周 http://cn-sec.com/archives/1064882.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: