《2019年新型微隔离技术在云内横向攻击防护中的应用.pdf》由会员分享,可在线阅读,更多相关《2019年新型微隔离技术在云内横向攻击防护中的应用.pdf(18页珍藏版)》请在三个皮匠报告上搜索。
1、新型微隔离技术在云内横向攻击防护中的应用目录云时代的新挑战解决东西向安全的关键要素什么是进程级微隔离技术进程级微隔离技术的应用目录IT IT云化带来的运维挑战边边界界瓦瓦解解边边界界消消失失InternetUntrust ZoneTrust ZoneRestrict ZoneWebSQLAuth传统IT架构Internet单一云架构ERPHRDBPublic CloudPrivate CloudData Center多云架构1.结构复杂公有云、私有云、物理机、容器混杂部署安全管理与网络管理进一步分离安全管理变得碎片化2.流量模型改变东西向流量大,甚至可能是南北向流量的20倍以上很多东西向流量是
2、在虚拟网络中实现交换,不可见南北向流量是线性增长,东西向流量是指数增长3.变化快业务交付和业务变更加速,由传统的以月计算,加速为以天计算,甚至一天几变虚拟机、容器频繁进行规模伸缩和位置迁移4.成本更敏感计算成本、部署成本、运维成本均变得更有弹性安全需要持续性投入和运维云内多样的安全诉求东西向流量管控结构复杂多样合规性需求弹性可扩展变化快东西向流量大,甚至可能是南北向流量的20倍以上很多东西向流量是在虚拟网络中实现交换,不可见南北向流量是线性增长,东西向流量是指数增长业务交付过程快虚机、容器频繁开启、销毁、迁移计算成本变得弹性部署成本变得弹性安全需要持续性投入信息安全技术网络安全等级保护基本要求
3、等保2.0信息安全技术云计算服务安全指南中华人民共和国网络安全法公有云、私有云、物理机、容器网络管理和安全管理分离安全管理变得碎片化目录云时代的新挑战解决东西向安全的关键要素什么是进程级微隔离技术进程级微隔离技术的应用目录案例某企业数据泄露事件(1)(2)(3)(4)(5)(6)1,利用弱口令,VPN连入内网2,渗透Web服务器,上传木马3,横向渗透,攻克中转服务器4,横向渗透,攻克DB服务器5,打包数据库文件,拖库6,进一步攻陷办公电脑,上传木马攻击过程还原:案例启示:当传统的边界的安全防护被突破,内网将缺少纵深防御能力,攻击者很容易在内网进行东西向横向渗透。云环境下,资源更是高度集中虚拟化
4、,一旦穿透进去,东西向资产将完全暴露。通过案例看云内东西向安全痛点业务不可见威胁无感知管控无抓手业务不可见 边界防火墙鞭长莫及 虚机或容器间流量无法管控 工作负载数量庞大,五元组策略无法运维 无法实现快速响应 工作负载漂移是常态 业务迁移,弹性扩容总在路上“看不见”东西向流量 因为摸不到流量,所以无力检测 业务系统关联复杂,始终动态变化 传统网络检测需要引流,加剧流量复杂,覆盖不全,实可操性差可视化技术资产可视化,动态标签化流量可视化,进程可视化威胁可视化基于行为模型、流量模型的检测技术业务关系建模正常行为模型,流量模型自学习异常网络行为识别进程级微隔离技术基于进程级的微隔离闭环,将攻击面缩到
5、最小策略计算引擎,自动生成微隔离策略感知策略对业务影响支撑关键要素的核心技术目录云时代的新挑战解决东西向安全的关键要素什么是进程级微隔离技术进程级微隔离技术的应用目录网络派主机派VS网络检测 VS.主机检测典型产品NGFW/NIPSSandbox/Honeypot技术特征网络代理模式网络流量行为分析主机代理模式文件静态分析进程运行时行为分析优势分析速度快对主机系统无影响信息更完整、精确度高主机管控能力强劣势精确度差易误报对加密流量难以处理消耗资源高终端适配难DL/AI来救场?关联关系 VS.因果关系机器学习得到的结果更多地是一种“关联关系”攻击判定所需要的是“因果关系”问题:关联关系可以替代因
6、果关系吗?再多可能性的堆叠一定能推导出必然性?进程级微隔离技术0101控制层面0303分析层面0202数据层面进程白名单进程级网络访问控制进程级行为管控轻量级主机数据采集进程级网络数据采集关联网络数据与主机进程上下文信息,打通网络数据与主机数据的边界基于确定性威胁情报,沿着打通的数据,以确定性方式找到安全问题及攻击链条为什么进程级微隔离才是最有效管控?传统管控方式进程微隔离管控技术 基于标签化管理,维护若干标签 基于业务进程的精准控制 基于适应策略动态调整场景 基于白名单也不可信的前提,白名单基础上查行为 结合进程上下文的网络行为分析让检测过程更精确且高效 基于进程隔离有效管控,兼顾安全与业务
7、(兼具微创与开放式手术能力)基于IP分组/网络分段管理,维护成千上万的地址簿 基于静态端口的控制,服务端口发生变化策略即告失效 基于静态策略,调整困难 基于IP白名单可信的前提,白名单若被攻陷,整体失控 基于暴力封堵,杀敌一千,自损八百(只有开放式手术能力)检测分析是过程管控是最终目的目录云时代的新挑战解决东西向安全的关键要素什么是进程级微隔离技术进程级微隔离技术的应用目录举例ABSSHC&C地址(分析起点)B分析过程:/usr/bin/wgetC&C-恶意IP/tmp/xxx.tmp-可疑文件/bin/bash/usr/sbin/sshdA -攻击源A分析过程:/tmp/hssB-恶意程序/
8、sbin/crond-系统挂马云溪科技产品形态工作负载端探针收集服务器网络连接信息,上报管控中心,并接受管控中心计算得到的本地防火墙策略并下发本地操作系统。管控中心(Smart Center)负责接收工作负载探针上报的网络信息并根据管理员配置的策略实时计算并下发每一台被管理的工作负载上的本地策略。管控中心可以是服务器,也可以是一个SaaS服务。手机管控应用管控中心发现安全威胁,可以在本地管理界面告警,也可以通过手机管控应用实时告警。管理员可以通过手机应用查看告警并做出响应。智能情报中心依托安全专家,使用大数据及人工智能技术,将安全威胁情报、网络安全态势、网络流量模型推送到管控中心,使得管控中心可以根据安全情报进行流量智能分析和策略智能下发。云溪科技产品架构工作负载Agent文件上传信息进程信息网络连接信息登录信息其他信息数据层行为模型,流量模型检测技术数据聚合流式处理结构化处理数据分类存储流量检测引擎标签计算引擎策略计算引擎行为检测引擎关联引擎工作负载端探针数据处理与存储分析引擎业务层业务可视化场景化威胁视图标签化微隔离策略管控策略影响视图工作负载Agent工作负载AgentTHANKS