Практика Alibaba Cloud Zero Trust: микроизоляция идентичности и сети в производственных сетях

Обзор:

С тех пор как аналитик Forrester Джон Киндвиг предложил термин «Нулевое доверие» в 2010 году, с развитием цифровой экономики и удаленной работы, Zero Trust постепенно перешел от концепции к реализации. Основная идея концепции сетевой архитектуры нового поколения заключается в том, что все активыличностьСетевое соединение между всеми активами должно проходить черезаутентификацияАвторизация.

Должно быть ясно, что нулевое доверие — это не конкретный продукт безопасности, а концепция управления безопасностью или метод управления безопасностью, который использует комбинацию контроля доступа, управления идентификацией, фоновых данных и т. д. для проверки сетевых запросов. Любые конкретные технические средства, позволяющие добиться принципа «никогда не доверяй, проверяй везде», можно рассматривать как принятие нулевого доверия.

Alibaba Cloud, крупнейший поставщик облачных услуг в Китае, имеет разнообразную внутреннюю бизнес-структуру, сложный трафик доступа и частую смену идентификационных данных, что создает серьезные проблемы с безопасностью. После многих лет исследований команда облачной безопасности объединила нулевое доверие и облачные возможности, внедрила и внедрила решение, которое сочетает в себе идентификацию и микроизоляцию для решения проблемы изоляции в производственной сети крупных предприятий.

Понимание ядра нулевого доверия: 5 предположений

Определение нулевого доверия обычно основывается на следующих пяти предположениях:

• Интернет постоянно находится в опасной среде
• В сети всегда присутствуют внешние или внутренние угрозы.
• Местоположение сети недостаточно для определения надежности сети.
• Все устройства, пользователи и сетевой трафик должны быть аутентифицированы и авторизованы.
• Политики безопасности должны быть динамичными и рассчитываться на основе как можно большего числа источников данных.

Важно подчеркнуть, что местоположения сети недостаточно для определения надежности сети. Потому что с точки зрения практики обеспечения безопасности в управлении интрасетью предприятия существуют распространенные недопонимания: "Внутренняя сеть безопасна (офисная сеть и производственная сеть), а безопасность можно повысить на границе.". Но с точки зрения инцидентов безопасности, целенаправленные вторжения определенно повлекут за собой дальнейшее боковое проникновение в интрасеть. Если интрасеть беспрепятственна и отсутствуют меры защиты, это определенно приведет к серьезным проблемам с безопасностью.

Практика нулевого доверия в офисной сети: BeyondCorp и Istio

В практической деятельности по обеспечению безопасности с нулевым доверием широко известныПрограмма "Нулевое довериеОсновное внимание уделяется офисным сетям для решения проблем безопасности в них. Например, часто упоминаемый Google BeyondCorp позволяет пользователям безопасно работать практически из любого места, не прибегая к традиционным VPN для безопасного доступа к системам в офисной сети, перенося контроль доступа с периметра сети на конкретного пользователя (на основе идентификации пользователя, устройства, а не местоположения устройства).

Для решений с нулевым доверием между службами в производственной сети в отрасли существует относительно немного зрелых решений. Кажется, что Google BeyondProd — единственный, кто является открытым, масштабным и зрелым.

В рамках архитектуры k8s с открытым исходным кодом Istio пытается ввести нулевое доверие в производственную сеть через сервисную сетку. Основная идея состоит в том, чтобы использовать архитектуру k8s для развертывания боковой панели сервисной сетки на каждом поде в производственной сети.Поскольку сервисная сетка естественным образом берет на себя RPC-связь между подами, к ней можно добавить аутентификацию доступа к сети, журналы аутентификации и безопасности.Запись. Но на практике мы также обнаружили, что у родного Istio есть некоторые проблемы:

• Функции безопасности самого Istio не проверялись в производственной среде и находятся только на стадии Demo.

2. Istio реализует аутентификацию личности между рабочими нагрузками (одноранговую аутентификацию) путем инкапсуляции протокола RPC в mtls. Дополнительные вычислительные затраты и накладные расходы, связанные с задержкой, связанные с mtls, относительно велики, что многим предприятиям трудно принять.

3. Istio принимает на себя только RCP-трафик, а механизм аутентификации не-RPC-трафика является неполным.

Ссылаясь на отраслевую практику и объединяя три основные концепции Forrester «модели нулевого доверия», команда Alibaba Cloud шаг за шагом реализовала нулевое доверие в корпоративной интрасети:

• Проверяйте и регистрируйте весь сетевой трафик
• Проверьте и проверьте все источники
• Ограничивайте и строго соблюдайте меры контроля доступа

Сетевая микроизоляция на основе нулевого доверия

Передача данных между севером и югом в производственной сети может быть изолирована через WAF и брандмауэр. Для связи между рабочими нагрузками, то есть трафика восток-запад, не хватает эффективныхинформационная безопасностьИзоляция означает, что основные возможности микроизоляции естественным образом сосредоточены на изоляции и контроле трафика с востока на запад.

В общекорпоративных производственных сетях часто развертываются только устройства пограничной защиты, такие как Waf и межсетевые экраны. Во-первых, если злоумышленник прорвется через защиту периметра (WAF, брандмауэр) или если злонамеренный сотрудник подключится к производственной сети, он сможет напрямую получить доступ ко всем рабочим нагрузкам в интрасети. Уязвимость интрасети будет открыта непосредственно злоумышленникам, а эффективного метода изоляции для контроля радиуса взрыва не существует. Во-вторых, из-за быстрого развития бизнеса, особенно интернет-компаний, традиционные методы изоляции, основанные на доменах безопасности и VPC, не могут эффективно адаптироваться к быстрым изменениям в бизнесе, что приводит к невозможности эффективной изоляции. Наконец, с постепенной популяризацией облачных технологий, k8s начали применяться в больших масштабах. В облачной среде рабочая нагрузка экземпляров приложений является переносимой и даже существует в течение короткого периода времени. Тысячи или даже десятки тысяч подов могут быть созданы и уничтожены за день. Традиционный метод изоляции посредством интеллектуальной собственности приведет к частым изменениям политики, что сделает ее практически невозможной.

Поэтому мы рассчитываем на то, что сочетание облачных технологий ссетевая микроизоляцияРазделите производственную сеть предприятия на эластичные и переменные N-сети, чтобы соответствовать эластичной изоляции быстрых изменений в бизнесе, а также уменьшить площадь атаки после вторжения и контролировать радиус взрыва.

На практике Alibaba Cloud будет использовать нулевое доверие.Сочетание контроля доступа на основе идентификации с сетевой микроизоляцией, используйте идентификацию для микроизоляции сети, уменьшайте поверхность атаки после вторжения и повышайте уровень защиты производственной сети предприятия.

В то же время, опираясь на идею Istio Sidecar, сетевая микроизоляция, основанная на нулевом доверии, будет встроена в Pod каждой рабочей нагрузки, что принесет несколько преимуществ на архитектурном уровне:

1. Развертывание с учетом бизнес-задач и управление сетью с учетом детализации удостоверений приложений.
2. Возможности безопасности могут быть автоматически развернуты по мере эластичного расширения и сокращения бизнеса.
3. Возможности безопасности отделены от бизнес-кода и не вмешиваются в работу бизнес-систем.

На этапе коммуникации рабочей нагрузки мы также создаем возможности двухуровневой аутентификации и аутентификации:

1. На уровне связи L3/4 добавляются дополнительные идентификаторы приложений для обеспечения аутентификации и аутентификации на уровне соединения.
2. На уровне связи L7 добавляются идентификаторы приложений для обеспечения аутентификации и аутентификации на уровне запроса.
3. Если управление доступом на уровне запроса не требуется на уровне L7, производительность сети может быть практически без потерь, если включены только аутентификация и аутентификация уровня L3/4 и поддерживаются различные протоколы прикладного уровня.

На уровне эксплуатации безопасности Alibaba Cloud проводит поэтапное развертывание и построение:

1. Во-первых, определите приложения, граничащие с Интернетом, и основные бизнес-приложения в качестве приоритетных объектов защиты.
2. За счет развертывания микроизоляционных контейнеров безопасности собираются полные данные о трафике между востоком и западом во внутренней сети.
3. Исходные данные трафика восток-запад преобразуют отношения доступа между IP-адресами в отношения доступа между идентификаторами приложений через идентификатор приложения + информацию библиотеки активов и устанавливают базовый уровень доступа между приложениями в течение периода наблюдения.
4. На уровне выполнения политики безопасности приоритет отдается обязательной аутентификации и аутентификации сервисов высокого риска (SSH, SMB, LDAP, Kerberos и т. д.) и ключевых сервисов (интерфейсов конфиденциальных данных и т. д.) для повышения уровня изоляции безопасности ключевые системы.
5. Наконец, был проведен постоянный оперативный мониторинг. С одной стороны, чтобы предотвратить ущерб бизнесу, вызванный ошибочным перехватом, с другой стороны, отслеживая служебный трафик высокого риска во внутренней сети, мы можем обнаружить возможное боковое вторжение или события заражения червями.

прогноз на будущее

После непрерывных исследований мы обнаружили, что сочетание облачных технологий может привести к созданию новых инновационных методов в области безопасности. В последнее время различные компании, занимающиеся безопасностью, задумывались о проблемах безопасности облачной архитектуры и о том, как защитить собственные облачные системы. Фактически, службы безопасности могут использовать преимущества собственной облачной архитектуры для создания новых решений безопасности. Например, возможности WAF и брандмауэра можно перенести в дополнительный модуль и быстро и гибко развернуть вместе с бизнесом. Если сайдкар безопасности помимо возможностей аутентификации имеет возможности WAF и брандмауэра, то уровень безопасности внутренней сети может быть равен уровню безопасности границы, и каждая рабочая нагрузка может быть защищена в максимальной степени.

Alibaba Cloud продолжит исследования на пути к обеспечению собственной облачной безопасности.