自运营“君哥的体历”公众号以来,发文数量不多,原因主要是自己水平能力和经历精力有限,导致产出有限。仅发的几篇文章,有朋友也十分善意的提醒我篇幅太长,可以分几次推送,借用热点事件保持活跃度,维系公众号粉丝数量。听后我也多有解释,但原因终归还是“我比较懒”。懒之余还有一点私心:当初建立和维护“君哥的体历”公众号的想法就是记录和分享个人对工作生活的一些体验和经历,自己总结提高的同时,希望自己的体历能给有需要的人一些帮助,所以不愿意靠热点刷存在感,打扰朋友们。不求高产,但求真、善、美。
言归正传。做企业安全的同仁可能和我一样,有个很大的痛点,某类安全控制措施对防御某些安全威胁特别有效,可受限于企业内部网络或系统环境,不具备部署或大规模部署的条件,最后不得不放弃。本文提出一种虚拟安全控制的思路和实现,抱砖引玉,供大家参考,共同商榷。
金融企业内部安全域及安全子域之间通常会采用防火墙隔离进行访问控制,防范低级别安全防护区域的威胁侧漏至高级别安全域。典型的是交易网和办公网、互联网的隔离,这是一种最粗线条的安全域划分。像银行的总行交易网安全域可以进一步划分为外联区、互联网接入区、办公网接入区、存储备份区、加密区、核心主机区、ECC、管理区等,由于业务大集中了,分行交易网会少一些区域。办公网可以划分为办公终端区、办公应用服务器区、基础服务器区、无线接入区、外包人员接入区等,甚至在办公终端区还会区分一些重点目标,如行长、副行长、部门总经理等。在这么多安全域之间部署防火墙进行访问控制显然不是最佳实践,一是由于网络限制很难插入防火墙,二是不经济,设备和管理维护成本比较高。但显然不做隔离也是不合适的。解决方案自然是在交换机上做ACL(访问控制列表)进行隔离控制。这样做又带来了一些问题,比如ACL颗粒度问题,像防火墙规则那样精确到源IP、目的IP、目的端口和开放时间,那交换机和路由器的性能要严重下降,甚至下降到不可使用的地步。那就只能放开,不能太细,比如源和目的IP,只能是一大段一大段的IP段(子网),这样性能下降有限,但安全控制力度也有限。
2012年我们遇到了这个问题,以及其他一些更大的痛点,经内部头脑风暴,我们在年底的集思会上提出了一个idea想缓解这些痛点,代号“尼弥西斯计划”。计划的核心是建立一套自动化加人工的安全检测、分析、响应处理和反制的体系,包括技术实现、配套的运维流程和合适的人员。这就是后来逐步实现、迭代改进提升的安全运营体系,从历次的内外部攻防对抗中显示了其价值。扯远了,作为尼弥西斯计划的一小部分,为了解决企业内部安全域访问控制要求部署物理防火墙比较困难的问题,采用安全域之间宽松ACL+网络流量检测,分析异常的方式。把安全域之间的双向流量镜像下来,分析网络访问对关系,寻找异常访问。
物理防火墙的规则大致如下:
虚拟防火墙规则大致如下:
那问题来了,如何分析虚拟防火墙的日志从而发现异常呢?聚类分析,形成Profile进行检测。聚类分析能够从样本数据出发,自动进行分类,聚类是观察式学习。聚类与分类的不同在于,聚类所要求划分的类是未知的。通过聚类分析形成类,再通过自学习形成Profile(类似于linux下的/etc/profile,/etc/profile中保存着针对所有用户的环境变量一开机就会读出这个文件),然后原始日志按照黑名单->白名单->Profile进行过滤,过滤后剩下的就是未知流量,再进行人工分析。
落实到系统实现上,具体如下:
在五个主要安全域之间部署后的实际情况如下:
虚拟防火墙及异常流量分析的优点:一是缓解无法部署访问控制设备带来的安全风险;二是由于流量镜像的安全防护属于网络层,主机层及之上的应用层、用户层都存在被攻击者篡改和控制的风险,理论上主机层和应用层日志的可信度要大大低于网络层。基于网络层的安全检测的安全性要高于主机层和应用层。
上述异常流量和异常访问检测的商业化产品,思科有产品已经实现,具体没用过,不知实际效果如何,据说是几十亿美金的蛋糕,国内有些安全公司也在争取实现商业化,前景应该不错,期待。
除了虚拟防火墙的实现以外,越来越多的安全控制可以使用安全检测的思路来实现,传统安全思路重心是黑名单来进行安全控制,对于灰度行为没有关注,而黑名单的缺陷越来越满足不了安全需求,使用虚拟安全控制如安全检测的方式将会成为主流。比如越来越多的企业开始在服务器上部署安全agent来实现安全需求落地,思路也是安全检测为主,尽可能少甚至不做任何安全控制措施,只是单纯的行为检测,将行为记录下来传输到云平台进行集中分析。不降低业务系统可用性前提下,尽可能的让安全防护措施得到推广落实。
-----------鸡汤分界线---------------
这世上的出路从来都不止一条
每个人都有两个自我
一个尽力在别人眼中做到完美
另一个却只想听从自己内心最真实的呼唤
太多人活得小心翼翼
满足周围的期待,在意旁人的眼光
精疲力尽之后还是满足不了那些人
真实的日子只与自己有关
每个人各自生活的本质,只存在于我们内心深切的渴望
摆脱框架感和界限感,拒绝外在的束缚和捆绑
三月将至,深圳已成花海,安全圈的朋友们,除了漏洞和创业,还有花和远方,出去踏青赏花吧。
附注:
-
聂君,信息安全从业人员,十余年金融行业信息安全从业经历,默默无闻。好读书,不求甚解。性格开朗,爱好足球。
-
本订阅号文章是个人对工作生活的一些体验和经历分享,站在不同角度和立场解读会有偏差,见仁见智,不求正确统一,但求真、善、美。
长按识别二维码,和我交流。
本文始发于微信公众号(君哥的体历):一种虚拟安全控制的思路和实现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论