产品经理看RSA:新的软件定义边界“新”在哪儿?
作者: 日期:2017年02月21日 阅:8,512

一年一度的的安全圈盛事RSA大会已经拉上帷幕,本届RSA2017中,云安全作为老生常谈的话题,又被提升到了新的高度。安博通产品经理注意到,不同于前几届的趋势呼吁与概念创新,云安全已经成为安全领域的普遍共识和主流方案。除了不断的涌现出众多新兴云安全厂商之外,传统安全厂商也将云安全作为言必称的话题,意图在这块新蛋糕上巩固自己的老地位。

RSA2017第一天,保留节目CSA Summit(云安全联盟论坛)便吸引了大量的关注者,在主题演讲环节,各大安全厂商就大家关心的问题发表了各自新的建议,值得关注的是在今年论坛上,CSA提出了全新的SDP-New Software Defined Perimeter(软件定义边界)概念。而在后面几天的展会上,各厂商也都纷纷展示和发布自己的New SDP解决方案,其中既包括老牌CheckPoint、Cisco、HP (Aruba)、SOPHOS、Juniper等NGFW(下一代防火墙)与NAC(网络准入控制)厂商,也有Cryptzone、Vidder等创新厂家。New SDP将云计算环境中IaaS层面的安全问题做了系统的架构和总结,值得笔者带着大家一同探索和分享。

rsa2017-csa-summit%e7%8e%b0%e5%9c%ba-600

RSA2017 CSA Summit现场

云安全概念分类

在了解New SDP之前,我们有必要对当前纷杂的“云安全”概念领域与技术范畴做一个分类与梳理,便于大家理解。首先从大的层面讲,我们还需要分清楚“云安全”与“安全云”的区别。

简单讲“安全云”,笔者认为用英文“Security as a Cloud”翻译更为贴切。它是集中构建一整套安全能力和安全管理的资源池,让用户在接入公有云SaaS业务之前,先在这朵“替身云”里“隐藏”和“躲避”,从而解决身份、访问、加密、应用、数据、内容等层面的安全问题,这个领域典型的方案有CASB、云WAF、云DDoS等应用,代表厂家有BlueCoat、Skyhigh、Zscaler、Incapsula等,笔者在之前的文章中已经有过介绍,详见文末“回顾阅读”。

安博通产品经理则倾向于将“云安全”翻译为“Security of a Cloud”,它才是我们近几年所普遍关注的云计算环境本身的安全体系。众所周知,在这个体系中需要解决远程用户访问云的安全隐患和数据中心内虚拟机服务器之间的安全问题,也就是我们通常所说的“南-北”问题和“东-西”问题。而SDP正是解决前者问题的技术路线之一,安博通在国内致力推广的解决方案主要也用于解决这类问题。后者问题目前解决方案也有很多,包括Micro-Segmentation(微格离)、EDR(终端检测与响应)、Flow Visibility(流可视)等方案,其中比较明星的自适应安全实践者illumio、青藤云等厂商,笔者会在后面做专题研究与分享。

New SDP架构是什么?

云安全技术在发展初期,对于IaaS边界的安全防范似乎主要就是在网络出口布置一个硬件防火墙,而对于远程用户访问,最有效的办法也只是VPN接入。但是后期出现了各种各样的问题,云的租户不满足共用防火墙,希望得到更个性化的服务,传统防火墙和VPN更无法满足租户动态迁移、业务快速部署,策略随需生成、策略及时收回、策略路径可视等要求。于是,软件定义的边界SDP方案诞生,现阶段主要用于灵活管理租户出入的网络流量(南北流量)安全与用户身份安全。

%e5%9b%be%e7%89%87-2-800

典型IaaS环境如上图所示,众位读者应该非常熟悉。然而当我们从云用户的角度,而不是云服务提供商的角度去理解IaaS安全的时候,有必要再阐述一遍我们惯常的解决手段。上图表示的云环境中示意了两个独立的私有云资源(虚拟机群组),这两个私有云资源分别有不同的用户组和访问权限。按照我们常规的部署方式,在两个资源前面,我们分别部署了防火墙设备(实体的或虚拟的皆可),并启用了路由策略、网关策略、访问控制策略等规则,以保证两块资源分别的安全与合规。然而,如此部署的这些年,我们是不是一直在面临某些新问题呢?

不变的永远是变化

云环境中,计算资源是高度动态的,服务在不停的创建和收回。手工管理和跟踪访问控制策略几乎是不可能的。同时用户也是高度动态的,同一个用户可能在同时拥有不同的角色,来交叉访问和操作不同的资源和服务。

位置只是人的新属性

不同身份的用户,就算坐在同一张桌子上,近在眼前的他们也许在访问的是完全不同的服务资源。而同一块资源的访问者,又很可能来自天南海北,这些远在天边的访问者们又需要相同的安全策略。

IP地址的难题

正是因为上述两个原因,IP地址的管理将是重大的难题。IP地址和用户身份再也不可能一一对应,传统的基于IP的访问控制将在这个环境中完全失效。访问控制策略将会随着身份、服务、时间等要素的叠加,产生级数形态的增加和变化。

最终,摆在我们面前的就是如下两个问号:

1. 远程用户如何接入?

在我们传统观念中,远程接入最成熟的手段无他,只有VPN(包括点对点VPN和移动接入VPN)。当前的VPN技术足够成熟,可以同时解决远程接入、数据加密、身份认证、高可靠性等需求,但是要解决上述的问题,VPN存在两大软肋:首先,VPN的控制方式太过于静态和粗粒度,一旦VPN隧道建立,所有隧道内的用户都可以无限制的访问服务器资源,根本没有解决用户分类、资源隔离、用户分级、动态调整等需求。其次,当前的VPN技术只是针对远程用户,而针对本地用户又不适用。按照刚才“位置只是属性”的概念,本地和远程用户其实应该统一管理和控制,策略与权限不应该割裂和区分对待。

2. 复杂的访问策略如何可视化管控?

当如上的情况发生,动态的用户访问动态的资源,访问控制策略的条数将以级数方式产生,笔者曾经有过计算(如下图),传统网络中4个访问节点之间的访问控制关系有12种可能,尚且可以用人工方式管理,而在云计算环境中N个动态节点加之服务(S)和时间(T)的变化,可能产生成千万上亿条访问策略,这个规模的安全策略,必须要借助自动化方式进行可视化的管理和变更。

%e5%9b%be%e7%89%87-3-600

来,让New SDP架构大显身手

新SDP架构创新之处,在于用细粒度的访问控制手段与可视化的策略管理能力,来保护云用户接云环境时面临的上述问题。

%e5%9b%be%e7%89%87-4-800

新SDP架构核心采用预授权、预认证、预调度、可视化等几项技术。如上图所示,SDP的大脑是SDP Controller(SDP控制器),在业务驱动的前提下,它在访问者和资源之间建立动态和细粒度的“业务访问隧道”,不同于传统VPN隧道,SDP的隧道是按照业务需求来生成的,也就是说这是一种单包和单业务的访问控制,SDP控制器建立的访问规则只对被授权的用户和服务开放,密钥和策略也是动态和仅供单次使用的。通过这种类似“白名单”的访问控制形式,网络中未被授权的陌生访问在TCP链接建立阶段就是完全被屏蔽和拒绝的,这种“临时并单一”的访问控制方式,将私有云资源对非法用户完全屏蔽,这样便大大防止了门外“野蛮陌生人”对云的暴力攻击(如DDoS流量攻击)、精准打击(如APT高级持续威胁)、漏洞利用(如心脏出血漏洞)等,通过构建“暗黑网络”来减小网络的被攻击面。

New SDP的另一项创新在于业务安全策略的管理与可视化。SDP建立了一整套基于用户和业务的访问控制列表,而不是传统的IP地址。在网络中严格定义了用户、用户组、服务、IAM标签、角色等属性,实现了为真实业务服务的策略体系。同时配合策略可视化和流量行为可视化的手段,对这些海量动态的“业务策略”进行自动化管理和运维。

CSA的SDP专题研究小组认为,New SDP给用户带来的好处在于:

  • 安全策略管理完全自动化
  • 提升云安全运维的效率
  • 持续和精准的安全合规
  • 降低对传统方案的投资
  • 催生安全产品的变革与发展

同时,本次大会上CSA提出 SDP的发展趋势和方向为:

集成化:随着传统安全厂商越来越重视云安全,各大传统安全厂商正在将其在传统领域的优势复制到云安全领域来。除了IPS、AV、QOS,HA,VPN等盒子上耳熟能详的传统基础功能,DPI、URL过滤、UEBA等、IAM等广义的安全的功能也都将集成到到云环境中。全品类、全功能、高度集成正在成为CheckPoint、Palo Alto Networks、FortiNet等传统安全大厂在SDP方案中的竞争亮点。vFW,vDPI、vWAF、vDLP等产品互相配合。由集中SDP控制器统一调度,配合SDN动态修改安全策略,快速迁移,自动部署已经成为优秀产品所必须的功能。

可视化:可视化已经成为安全方面最让人关注的价值点之一。云内的流量中有什么行为和隐患?各个节点上的动态安全策略是否符合规定?云内有那些未知的安全威胁和漏洞?这些是用户最关心的问题,也是安全厂商必须提供给用户的内容。而这也是SDP需要关注的重要方向。同时CSA还建议将服务器与用户进程之间的东西向流量的检测与响应,未来也应该集成到SDP大框架中。

值得一提的是,本届RSA2017大会上,来自中国的安博通公司也向用户首次展示了基于策略可视和虚拟调度的私有云安全解决方案,符合New SDP的各项技术要求:

%e5%ae%89%e5%8d%9a%e9%80%9a%e5%9f%ba%e4%ba%8e%e7%ad%96%e7%95%a5%e5%8f%af%e8%a7%86%e5%92%8c%e8%99%9a%e6%8b%9f%e8%b0%83%e5%ba%a6%e7%9a%84%e7%a7%81%e6%9c%89%e4%ba%91%e5%ae%89%e5%85%a8%e8%a7%a3%e5%86%b3

安博通基于策略可视和虚拟调度的私有云安全解决方案

安博通推出的云安全解决方案面向国内云等保的合规要求,充分考虑到云内资源的动态和变化之特点,采用自适应的SDP Controller作为核心策略和虚拟流量调度工具,同时支持业务隧道的创建与动态回收,流量监控与分析、业务策略分析与可视化、身份认证与安全服务门户等功能,吸引了与会各界的眼球。

回顾阅读:什么是CASB?

CASB可译为云访问安全代理。CASB的提出者Gartner是这样定义的:“云访问安全代理(CASB)是位于云服务使用者和云服务提供者之间的本地或基于云的安全策略执行点,以在访问基于云的资源时组合和插入企业安全策略。 CASB合并多种类型的安全策略实施。 示例安全策略包括认证,单点登录,授权,凭证映射,设备分析,加密,标记化,日志记录,警报,恶意软件检测/预防等。”

%e5%9b%be%e7%89%876-400

CABS主要解决的问题是,随着企业用户使用SaaS服务越来越多,加之BYOD越来越流行,大多数IT运维人员并不清楚企业内使用了什么云服务,使用了多少的云服务,何时何地谁使用了云服务,就形成灰色的“IT阴影”(shadow IT)。CABS作为部署在云服务使用者和提供商之间的“经纪人”,能够使用反向代理、转发代理、API模式,结合安全分析和UEBA(用户与实体行为分析)、DLP(数据泄密防护)和DCAP(数据转接客户访问协议)以及数据加密和身份认证等技术,帮助企业在云上资源被连接访问的过程中加以监控和防护。

CASB提供围绕四个功能的功能:

  • 可视性——CASB通过云服务的库,能够识别,以及统一查看企业的云服务使用情况以及从任何设备或位置访问数据的用户。
  • 合规性——CASB识别云使用和特定云服务的风险,判断是否符合企业的管理要求。
  • 数据安全——CASB可以设置安全策略,以便根据对敏感数据或特权升级的访问的数据分类,发现和用户活动监控来防止不必要的活动。同时DLP和加密技术也能够防止数据泄密。
  • 威胁防护——CASB通过访问控制,分析用户日常行为,恶意软件标识。帮助企业去发现威胁、防御威胁并具有恢复生产的能力。

CASB的主要厂家有赛门铁克(Blue Coat)、Skyhigh、Palo Alto Networks、CipherCloud、思科(CloudLock)。众多的CASB厂商在发展路线上已经有一些区别,一部分厂商关注的是SaaS层的安全防护,以及针对数据内容的处理,另一部分厂商则是关注基于IaaS、PaaS层的架构层安全。

%e5%9b%be%e7%89%87-7-800

作者:安博通

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章