作者丨息象科技 夏天
出品丨北京一等一技术咨询有限公司
独家授权,未经许可不得转载
等保2.0标准中对访问控制做了详细要求,下面表格中列出了等保2.0对访问控制的要求,黑色加粗字体表示是针对上一安全级别增强的要求。
|
保护级别 |
防护分类 |
访问控制技术要求 |
|
一级 |
安全区域边界 |
本项要求包括: a) 应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。 |
|
安全计算环境 |
本项要求包括: a) 应对登录的用户分配账户和权限; b) 应重命名或删除默认账户,修改默认账户的默认口令; c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在。 |
|
|
二级 |
安全区域边界 |
本项要求包括: a) 应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。 |
|
安全计算环境 |
本项要求包括: a) 应对登录的用户分配账户和权限; b) 应重命名或删除默认账户,修改默认账户的默认口令; c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在; d) 应授予管理用户所需的最小权限,实现管理用户的权限分离。 |
|
|
三级 |
安全区域边界 |
本项要求包括: a) 应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力; e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 |
|
安全计算环境 |
本项要求包括: a) 应对登录的用户分配账户和权限; b) 应重命名或删除默认账户,修改默认账户的默认口令; c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在; d) 应授予管理用户所需的最小权限,实现管理用户的权限分离; e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级; g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。 |
|
|
四级 |
安全区域边界 |
本项要求包括: a) 应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力; e)应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换。 |
|
安全计算环境 |
本项要求包括: a) 应对登录的用户分配账户和权限; b) 应重命名或删除默认账户,修改默认账户的默认口令; c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在; d) 应授予管理用户所需的最小权限,实现管理用户的权限分离; e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级; g)应对主体、客体设置安全标记,并依据安全标记和强制访问控制规则确定主体对客体的访问。 |
等保2.0中主要在安全区域边界和安全计算环境中提到访问控制要求。安全区域边界主要指在网络边界进行访问控制,通过应用ACL、会话状态、应用协议、应用内容、通信协议转换和通信协议隔离等方式达到访问控制要求。安全计算环境主要指在主机终端进行访问控制,通过强化用户账户和权限的授权管理、授权主体配置访问控制策略、应用强制访问控制规则等方式达到访问控制要求。
在等保3级中,安全区域边界要求实现基于应用协议和应用内容的访问控制,安全计算环境要求实现重要主客体的安全标记和访问控制。在等保4级中,安全区域边界要求通过通信协议转换或通信协议隔离等方式进行数据交换,安全计算环境要求实现主客体安全标记和强制访问控制。
鉴于强制访问控制技术网上已经有很详细的论述,本文重点讲解基于网络的访问控制技术。
1、基于ACL规则的访问控制技术
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器、三层交换机和包过滤防火墙等,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
包过滤防火墙是用一个软件查看所流经的数据包的包头,由此决定整个包的命运。包过滤防火墙根据事先定义的ACL规则对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤防火墙不检测会话状态和数据包内容。
2、基于状态检测的访问控制技术
状态检测防火墙采用了“状态检测”机制来进行包过滤。“状态检测”机制以流量为单位来对报文进行检测和转发,即对一条流量的第一个报文,进行包过滤规则检查,并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根据这个“状态”来判断是转发还是丢弃,而不会再次检查报文的数据内容。这个“状态”就是我们平常所述的会话表项。这种机制迅速提升了防火墙产品的检测速率和转发效率,已经成为目前主流的包过滤机制。
查询和创建会话的流程
基于状态检测的访问控制技术由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。
3、基于应用协议和应用内容的访问控制技术
应用层防火墙,也称应用防火墙,是一种防火墙,经由应用程序或服务来控制网络封包的流入、流出与系统调用,因为运作在OSI模型中的应用层而得名。它能够监控网络封包,阻挡不符合防火墙设定规则的封包进入、离开以及呼叫系统调用。这类防火墙,通常又可以分成以网络为基础的应用防火墙与以主机为基础的应用防火墙。本节重点讨论以网络为基础的应用防火墙。
基于应用协议和应用内容的访问控制技术在NGFW中的应用
基于应用协议和应用内容的访问控制技术,是目前各种应用防火墙安全防护的基础。应用协议识别当前比较流行的技术包括深度包检测技术(DPI)和深度流检测技术(DFI)。DPI技术在进行分析报文包头的基础上,结合不同的应用协议的“指纹”综合判断所属的应用。DFI是一种流量行为分析的应用识别技术。不同的应用类型体现在会话连接或数据流上的状态各有不同。DPI技术由于可以比较准确的识别出具体的应用,因此广泛的应用于各种需要准确识别应用的系统中,如运营商的用户行为分析系统等;而DFI技术由于采用流量模型方式可以识别出DPI技术无法识别的流量,如P2P加密流等,当前越来越多的在带宽控制系统中得到应用。应用内容分析,当前各类安全产品主要聚焦在文本、文件提取等技术,提取文本文件后用于敏感信息检索、APT检测等动作,根据检测结果判定是否放行。
4、基于通信协议转换或通信协议隔离的访问控制技术
通信协议转换是一种映射,就是把某一协议的收发信息序列映射为另一协议的收发信息序列。通信协议转换装置就是网关,用于构架网络连接,将一种协议转换为另一种协议。通信协议隔离应用了网络隔离技术,在两个或两个以上的计算机或网络在断开连接的基础上,实现信息交换和资源共享。采用通信协议隔离技术既可以使两个网络实现物理上的隔离,又能在安全的网络环境下进行数据交换。
在电力行业,正向隔离装置和反向隔离装置都应用了通信协议隔离的相关技术。在智能制造行业,随着万物互联和工业互联网的快速发展,通信协议转换装置应用更加普遍。
5、基于零信任架构的访问控制技术
零信任安全架构基于“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力,构筑以身份为基石的动态虚拟边界产品与解决方案。
数据中心网络的南北和东西向流量
基于零信任架构的访问控制技术可以解决南北向和东西向的安全防护问题。NIST白皮书总结了零信任的几种实现方式,SDP技术是用于实现南北向安全的(用户跟服务器间的安全),微隔离技术是用于实现东西向安全的(服务器跟服务器间的安全)。
SDP全称是Software Defined Perimeter,即软件定义边界,是由国际云安全联盟CSA于2013年提出的基于零信任理念的新一代网络安全技术架构。SDP以预认证和预授权作为它的两个基本支柱。通过在单数据包到达目标服务器之前对用户和设备进行身份验证和授权,SDP可以在网络层上执行最小权限原则,可以显著地缩小攻击面。
基于SDP的南北向安全防护
SDP架构由客户端、安全网关和控制中心三个主要组件组成。客户端和安全网关之间的连接是通过控制中心与安全控制通道的信息交互来管理的。该结构使得控制平面与数据平面保持分离,以便实现完全可扩展的安全系统。此外,SDP架构的所有组件都可以集群部署,用于扩容或提高系统稳定运行时间。
微隔离的概念最早由VMware在发布NSX产品时正式提出,而真正让它备受关注是从2016年开始连续3年被评为全球十大安全项目之一,并在2018年的 《Hype Cycle for Threat-Facing Technologies》(威胁应对技术成熟度曲线)中首次超过下一代防火墙(NGFW)。
微隔离技术的领先者illumio产品的东西向流量可视化
微隔离是在数据中心和云平台中以创建安全区域的方式,隔离工作流,并对其进行单独保护,目的是让网络安全更具粒度化。微隔离是一种能够识别和管理数据中心与云平台内部流量的隔离技术。对于微隔离,其核心是对全部东西向流量的可视化识别与访问控制。微隔离是一种典型的软件定义安全结构。它的策略是由一个统一的计算平台来计算的,而且需要根据虚拟化环境的变化,做实时的自适应策略重算。微隔离技术的核心指标就在于它能够管理的工作负载的规模。
当前比较流行的SDP和微隔离技术,均是典型的软件定义安全的技术。以上述零信任技术为核心的安全产品,正在越来越多的应用到IT和OT的各个领域,有效的提升企业南北和东西向流量的可视化识别与访问控制。零信任产品的快速应用,可以满足企业等保2.0安全测评的要求,同时提升企业安全运维自动化和智能化的水平。
3、访问控制技术对比分析
上面小节讨论的访问控制技术的对比分析如下表:
|
访问控制技术 |
优点 |
缺点 |
主要适用场景 |
|
基于ACL规则的访问控制技术 |
简单、高效 |
仅检测数据包头,不检测会话状态和数据包内容 |
等保一级 路由器、交换机、防火墙等企业边界安全 |
|
基于状态检测的访问控制技术 |
通过会话表,不需要对每个数据包进行规则检查,提升性能 |
不检测数据包的内容 |
等保二级 防火墙等企业边界安全 |
|
基于应用协议和应用内容的访问控制技术 |
访问控制的粒度提升到应用级 |
以应用访问控制为核心的NGFW,复杂度提升,防护效果一般 |
等保三级 NGFW等企业边界安全 |
|
基于通信协议转换或通信协议隔离的访问控制技术 |
网络隔离 |
生产效率低下,阻碍企业互联互通的发展 |
等保四级 网闸等网络隔离安全 |
|
基于零信任架构的访问控制技术 |
用户(设备)到应用的访问控制最小化授权 |
在安全策略自适应未解决时,部署周期较长 |
所有企业远程办公、数据中心安全、云安全、工业互联网安全等 |
本文始发于微信公众号(等级保护测评):零信任 VS 等保2.0访问控制技术
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论