0x1 本周话题TOP2
话题1:有个群友问了个问题:是否有公司的安全要求中,有要求互联网流量不允许穿透DMZ,这个点我和我们开发、架构讨论了很久,能落地的只是流量做一下有效性过滤,如果复杂攻击还是可以穿透DMZ的。威胁:从流量侧分析中,看到的是内网(DMZ)到内网(服务器区)的有攻击行为,攻击分析增加了不少复杂度,而且安全的边界需要延申到内部。所以我一直把握不准,这个DMZ的如何控制穿透要求,这里会有不少应用的接口直接对外暴露的,导致接口攻击流量穿透DMZ。各家银行是怎么规范DMZ区流量,避免DMZ区被穿透的(比如流量不在DMZ区终结,直接转发到后台?)
A1:这种情况我也遇到很多次,确实挺难约束得,也是要求业务做过滤,不能纯转发,不过效果不理想。
A2:这个是目前的痛点问题,需要业务系统从架构上进行调整,不仅仅是网络架构的问题,业务系统首先要重构。即使流量不穿透DMZ,像log4j这种对日志等辅助系统进行攻击的方式还是能直接打到后台。
A3:dmz的功能设计就是以静态资源为主,交易请求向后台web services转发吧。其实也算是历史问题。早期核心业务都是通过柜面等内网专线访问。后面建设了互联网渠道类系统,比如手机银行之类。但是最多也是给APP应用规划专门后台区,所谓的DMZ大多都没有数据落地,代理转发居多。这样做对业务快速上线改动最小,看起来也满足了网络所谓的互联网隔离的要求。
A4:需要SDL在安全评审的时候,就要求开发按照DMZ终结的架构来设计应用架构。如果安全能够影响企业标准开发框架改造,那是最好的。除了历史遗留问题以外,很多是开发故意做的,规避安全措施。
A5:同样面临这种问题,DMZ区部署的nginx是直接将互联网流量就引入了,曾经要求过互联网流量只能到DMZ服务器,落地后由app向内部服务器发起业务请求,但要求没法落地,开发以不便改造为由拒绝了。
A6:说得没错,理想:把第一层处理逻辑都放DMZ。现实:APP已经搭好了,那就在DMZ放个前置机满足你们的安全要求吧且不论DMZ是否就足够,APP是否就可信任,大部分组织还是防边界的ROI高,这时候采取理想还是现实其实看的是安全压力大还是业务压力大。
对于开发来说,增加了不小成本,肯定会抗拒这个事情。他们希望的就是尽快上线满足业务需求,所以需要把安全加到开发生命周期中DevSecOps。
Q:想请教下,怎么确认什么是第一层处理逻辑呢?
A7:web比较典型,web容器才是处理逻辑,ng不是,或者看那些漏洞在哪里生效。
A8:先对业务数据流做个威胁建模,假定是C端-负载-web-app-db,然后每一层有自己面临的威胁,其中web面临的最多,不但有用户输入的,也有框架的。然后对应的措施,大部分情况是,边界一堆检测和防护,里面没有。那么负载和web就要放在这些检测覆盖的区域,也就是dmz app对出访做限制,但是如果每一层之间都有检测,认证和防护,那是把负载还是是web放dmz还重要吗?那就未必了。但是这种成本比防dmz高得多。
A9:现在加密流量越来越多,web层越来越弱化,其实这个点涉及很多相关的问题,网络划分安全域和功能域,如果架构上没有实质的业务数据拆分,很可能落地的只是流量转发,没有业务上的隔离。
A10:同感,传统的安全域划分,确实遇到新业务形态和技术方式的挑战,是不是都要走向零信任和微隔离。
话题2:大家最近有在研究零信任么?ZTNA、 SASE 、SDP、SDWAN这几个名词,大家来讨论下是什么关系呢:我理解ZTNA 、SASE都是一种框架理念,SDP、SDWAN算是具体的技术?零信任的落地也会用到这些技术呢?
A1:SDWAN,Software Defined Wide Area Network,即软件定义广域网。是广域网组网技术一种。
SASE(Secure Access Service Edge,安全访问服务边缘)会用到SD-WAN技术,SASE更相当于安全访问边界,类似VPN。
A2:这个sase厂商的技术。sase进阶版零信任+all in one,支持云环境的零信任。
Q:ZTNA 目前主要的技术实现方式或者说组件有哪些,SDP 算是其中一种么?其实就是想做一些概念澄清,大家讨论下,哪些算是一种框架理念,哪些算是技术名词?
A3:SASE和零信任,我觉得分语境,一种是garterner和Forrester提出的概念和一些技术框架;另一种是一些乙方的产品定义或包装!我理解SDP是零信任架构里面的一个核心技术。
Q:SDP是ZTNA的一种实现, SASE实现中需要用到SDWAN。那ZTNA 和SASE 这两者本身有没有交叉呢?
A4:这个云安全联盟的老师讲的挺好!感兴趣的话可以看一下视频回放。【云安全的新技术、新趋势、新研究】视频回放链接:
https://www.goupsec.com/videos/attained/5751.html
A5:可以有也可以没有,SASE简单来说就是NaaS+SecaaS。
A6:这个问题,我个人理解这个是两大咨询机构对抗提出的不一样的 “兵法”。还有现在RBI这个技术,RBI 与 ZTNA 等技术集成在SASE 架构下,将防护来自 Web 浏览器或电子邮件访问的恶意威胁,并阻止勒索软件攻击。
我理解就像乙方卖产品一样,我说我的是这样的,他说他是这样的。只不过他们两家卖的是咨询服务而已。目标都是再解决这一个场景的安全问题
Q:ZTNA 是否特指访问控制模型,SASE是一种云安全体系?
A7:Forrester先提出来的ZTA,garterner提出来的sase想包住ZTA。SASE不是云安全体系,应该说是服务于终端访问的云服务安全提供方式。
这个是我之前整理的,也是基于网上资料和个人理解。
Q:RBI,Remote Browser Isolation,算不算零信任的一种技术?
A8:以前叫可信,可信这个可信那个,现在叫零信任。现在万物都套零信任的壳子,卖vpn的说他们是零信任vpn,搞vdi的是零信任vdi,idv的也有产品叫零信任,rbi其实算个应用发布技术,也对标上了。
A9:没错。就像去年数据安全法刚落地的时候,全说自己是数据安全产品。这东西还得是按照自己的业务场景和办公场景实践。选择适合自己基础设施的零信任技术或产品。凡是做认证授权访问控制的,都可以说自己是零信任,也可以说自己是做可信,看你怎么包装。
A10:SASE更加偏向于一个架构,零信任是一个概念或者框架
Q:CyberMesh,这个最新的词我还没来得及学习,哪位大佬科普一下?
A11:Cybersecurity mesh architecture is a composable and scalable approach to extending security controls, even to widely distributed assets。
我理解就是安全切面吧。
A12:合成防御吧,感觉比切面落后。我理解云安全最符合CyberMesh?反正看着就炒概念.
A13:感觉类似于DHS的TIC架构,从这个描述来看和云原生mesh关系也不是很紧密。这是堆栈?
A14:他能把标准化做好就谢天谢地了,还可扩展网格,目测是为拆卖全家桶铺路。现在所有的产品,syslog或者api都是一团糟,就这接口,不论是十年前的siem、soc还是soar、态势、mesh,都是虚的,自成闭环,行业没法专心发展。每个人都只支持扩展自己。什么时候可以在统一大市场的环境下统一安全产品标准。
A15:其实应该有强制性国标,安全能力应该api化。但是安全里面的GB很少,基本都是GBT,推荐标准。像有些安全产品连日志怎么记都不懂,下限太低,只能强制性国标来兜底。下限真的低,能提高下下限就好很多了,倒也不用所有人拉齐。
A16:能强制GB的也就金融行业了吧,其他行业太难了,改造成本太高了,企业估计短时间内也负担不起。这个cybermesh的概念有没有点swift的意思?
A17:安全产品销售许可证对于安全产品有明确要求(等保)。分保的保密局名录要求更细致。(分保)只不过现在产品太多元化,产品边界逐步消失。由市场导向,逐步形成了安全解决方案,也不太好要求了。
0x2 本周精粹
0x3 2022年第19周运营数据
金融业企业安全建设实践群 | 第148期
本周群里共有 117 位群友参与讨论,群发言率为 25.54 %,群发言消息数为 438 条,人均发言数为 3.75 条。
企业安全建设实践群 | 第73期
本周群里共有 47 位群友参与讨论,群发言率为 13.86 %,群发言消息数为 211 条,人均发言数为 4.49 条。
0x4 群友分享
【安全资讯】
数据监管|匈牙利就AI数据处理侵权对布达佩斯银行科处高额罚款
【安全技术】
什么是CC(Common Criteria)认证,为什么重要?
https://zhuanlan.zhihu.com/p/114746021
标准查询网站
https://m.doc88.com/p-06216174063837.html#
--------------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
安全可视化&可见性探讨,如何制定安全团队OKR,开源软件治理如何设置指标以及疫情防控下数据中心安全应急讨论 | 总第147周
采购人力服务一般何种形式?对生产系统做渗透测试遇到系统主管部门的挑战,如何发布制度约束?| 总第146周
显示IP地址与个人隐私探讨?如何排查服务器是否已经失陷?企微通过H5对接内网系统是否符合法律法规和监管要求?| 总第145周
如何进群?
如何下载群周报完整版?
请见下图:
原文始发于微信公众号(君哥的体历):如何规范DMZ区流量,避免DMZ区被穿透?对ZTNA、 SASE 、SDP、SDWAN新名词关系的讨论 | 总第147周
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论