search

版权所有 © 2019 深圳市安盟信息科技有限公司 All Rights Reserved

手机官网二维码

分享给好友

联系我们

0755-86375372

深圳市南山区科研路9号比克科技大厦24楼2401-I单元

微信公众号

社交平台

>
>
>
微隔离入门(2)

微隔离入门(2)

微隔离从彻底映射数据流和架构开始

 

说起成功微隔离部署中的最大拦路虎,安全专家首推可见性问题。分隔粒度越细,IT 部门越需要了解数据流,需要理解系统、应用和服务之间到底是怎样相互沟通的。

 

Entrust Datacard 董事兼首席信息安全架构师 Jarrod Stenberg 表示,你不仅需要知道有哪些数据流流经你的路由网关,还需要具体追溯到单个主机,无论是实体主机还是虚拟主机。你必须拥有可供获取此信息的基础设施和工具,否则你的部署实现很可能失败。

 

这就是为什么任何成功的微隔离都需要从彻底的发现和映射过程开始的原因。Stenberg 解释道,作为该过程的一部分,公司企业应挖掘或编制自身应用的完备文档,文档可以支持未来所有微隔离决策,确保应用按既定方式运转。

 

NCC Group 安全咨询总监 Damon Small 表示,这种细致程度可能需要与供应商紧密合作,或者执行详细分析,确定哪里应该部署微隔离,以及如何在不引发生产中断的情况下部署。

 

使用威胁建模来定义用例

 

一旦公司建立起机制获取数据流可见性,这种理解就会开始带来风险评估和威胁建模。然后评估和建模再反过来帮助公司确定微隔离的位置和粒度。

 

vArmour 产品及策略高级副总裁 Keith Stewart 称:“有了这种理解,你就会开始认清自身环境中的风险,或者说你的‘爆炸半径’。攻击者侵入网络后能深入到哪里?用户数据库之类关键资产在不在该爆炸半径内呢?只要你能标出高风险区域,你就可以开始布置微隔离控制,解决这些风险。

 

思科 Duo Security 全球咨询 CISO Dave Lewis 表示,在没制定出详细的行动计划前,不要着手布置微隔离。因为微隔离以细粒度访问控制实现,要求大量的尽职调查与对细节的关注。

 

“必须十分重视微隔离前的恰当规划。要知道自己到底需要分隔什么。

 

WatchGuard Technologies 高级安全分析师 Marc Laliberte 表示,需要注意的一点是,微隔离可以多种不同技术方法实现,复杂程度也各不相同。

 

“一开始的计划应包含界定威胁模型,确定适合自己的微隔离形式。安全投资应基于公司及其应用面临的风险,还有成功攻击可能导致的破坏。

 

以业务需求进行平衡控制

 

威胁建模过程中,推进微隔离的策略师在设计微隔离时需时刻考虑到商业利益。

 

SAP NS2 CISO Ted Wagner 称表示,全面铺开的时候,分隔方案既要符合安全需求,也要提供必要的访问权,让应用和过程能无缝衔接,平滑工作。方案不能孤立设计或实现,得经过很多利益相关方的审查。

 

微隔离的成功需要安全部门与来自业务和 IT 的利益相关者协作,从一开始就深入了解所有这些流动中的应用和业务过程是怎么协同工作的。

 

Palo Alto Networks 全球系统工程高级副总裁 Scott Stevens 表示,有必要组建一支由企业主、网络架构师、IT 安全人员和应用架构师组成的多样化团队来实现该过程。

 

打造一支全方位团队还有助企业预先设立期望值,避开可能腰斩项目的那类政治问题。

 

思科的 Lewis 称,实现微隔离的主要障碍存在于和业务部门之间的沟通。以前就常在出问题时听人抱怨 “这肯定是防火墙弄的”。现在,微隔离成了内部业务部门刻薄批评的对象。