近年来,随着云计算、人工智能、物联网、5G等新技术新起,企业数字化转型使业务暴露范围急剧增加,伴随着黑色产业链向专业化、规模化、智能化方向快速发展,各行各业面临着更多未知的信息安全风险。目前,国内多数用户处于“泛主机”场景,即传统主机环境+内部私有云环境+公有云环境+容器环境(根据业务情况)。笔者将这样的场景称为工作负载(在这种场景下用来承载计算的工作节点,包括了传统服务器主机系统、虚拟机、私有云计算节点、公有云主机、Docker容器节点以及微服务等),在这种场景中,衍生出的安全运营需求升级、所有权和控制权的变化,也引发了一系列的安全风险,比如说:
网络攻击
随着不断研究和发展新的信息安全机制和工程实践,网络攻击手段不断变种,更加智能化,攻击目标直指互联网基础协议和操作系统层次。对工作负载的控制到内核级入侵,蠕虫、后门、rootkits、DoS、sniffe等攻击手法不断升级翻新,泛主机安全的防范能力不断面临着新的挑战。
数据泄露
网络窃听,黑客入侵,软件发送,电磁辐射等手段专门针对工作负载中的数据进行的窃取、篡改、假冒、抵赖等破坏行为,对网络和用户自身都带来巨大威胁。盗取企业数据,其中特别是一些个人财务信息、健康信息、商业机密、知识产权等数据,将会对企业造成不小的损失,不怀好意的黑客甚至会删除攻击对象的数据或劫持数据。
自身脆弱性
由于使用的人多,应用多,存储的数据多,各种安全隐患就会接踵而来,这些系统漏洞、配置缺陷、不安全的接口等安全隐患很容易被黑客利用进行工作负载的攻击。针对工作负载的漏洞利用攻击愈来愈多,不少漏洞遭纰漏,其中包括埋藏在系统中多年未被发现的漏洞,影响面非常广泛。
安全管理与维护
工作负载安全防护的意识淡薄造成在管理与维护上存在不少问题。工作负载组件资产数量庞大且没有进行管理维护、应用系统配置存在风险漏洞缺未被重视、安全防护手段没有与时俱进、安全人员管理不到位等都可能导致主机被入侵或者数据泄露。
安全计算环境
随着政策要求,对于安全计算环境的要求也越来越多。除了网络身份可信,防止网络通信设备假冒,可信芯片有唯一芯片号、公私钥对,可参与通信过程身份认证及加密等方面外,在工作负载及其计算环境中,安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。
容器安全风险
随着越来越多的客户使用容器的技术,带来了很多的便利。但是随之而来就是也产生了新的安全风险,比如说侵入某个容器的黑客可以通过横向移动到其他容器或Docker主机,从而导致整个宿主机被影响,拿到所有容器的权限及宿主机的权限。因此,容器技术被广泛接受和使用的同时,容器以及容器运行环境的安全成为了需要研究和解决的问题。比如说安全在容器环境中包含什么内容,如何安全地访问容器以及如何确保容器内部软件不会带来安全问题等等。
总之,计算机和网络运转的核心是数据,数据的归属则是工作负载,如果没有工作负载安全,那么也就无所谓信息安全。而目前的病毒及攻击威胁都是以获取或者破坏数据为目的,工作负载是抗击这些威胁的最后一道防线。因此,越来越多的用户开始对工作负载安全的建设有所思考,因为不管是网络攻击也好,传统的外设传播的攻击也好,只要在工作负载上构筑一道强大的防线就可以达到以一抵十的效果。
工作负载安全解决方案
安全狗通过多年的主机层面安全技术积累,以及前瞻性的研究,从最小攻击面及最小特权方面考虑,从工作负载角度的入手,以耦合式的设计方式,以每个系统为单位,考虑其每个单元本身的非可信的假设。来设置主动监测、内部安全策略、多层机制,从而在主机层面构建纵深防御的体系,形成多层的防护,提出了工作负载安全解决方案。
这里请容许笔者再占用一点篇幅,就方案采用技术路线(云工作负载安全平台)作一个小小的阐释。
云工作负载保护平台(Cloud Workload Protection Platforms,简称为CWPP),是Gartner在2017年发布的11大顶级安全技术中排名第一。CWPP服务商应具备支持多类型工作负载载体;兼顾不同位置和形态的工作负载及其全生命周期的安全风险管控和高可视化;基于“零信任”理念,以管控、监测取代原有以防病毒为中心的安全策略;借助分析和机器学习等技术手段不断提升服务能力等多种核心能力。
Gartner对CWPP解决方案的功能定义如下图所示:
通过使用单个管理控制台和单一方式表达安全策略来保护这些工作负载,而不用考虑工作负载运行的位置。可以跨物理机、公有云、私有云、混合云等多种数据中心环境,提供配置和漏洞利用,通过资产采集,关联到具体配置进行排查、缺陷管理等;网络分割和流量可视化,即微隔离功能;完整性监控和管理,即文件、账号、进程等,进程需监控行为和变化;应用程序控制/白名单,包括基于统计的进程白名单、基于情报的进程黑名单、基于学习的进程白名单;增强及验证基础运维能力,要求不能单纯依靠服务器账号、密码来验证管理员,而需要引入账号密码外的第二套验证机制;日志管理和监测能力,要求当安全事件发生后,能够回溯攻击、快速定位风险点。过程部署方式灵活、防护层面更加丰富,能力分为基础支撑、核心能力、扩展能力三大类,能有效安全加固服务器、抵御黑客攻击和恶意代码。
整个方案由四件套四角模型钻石模式组成:
横向的云网和云隙从安全运维角度设计 ,解决了数据中心上的漏洞发现和修复、业务访问控制的问题。
纵向的云眼和云甲从安全防护、安全检测的角度出发,解决了主机及容器整体安全闭环的能力。
方案通过前台和中台进行有效落地。
前台主要提供各类场景应用的套件,来解决各类的问题,随着环境的变化,还可以衍生出更多的安全能力。
中台主要考虑到管理层面,比如说用户管理、主机管理、Agent管理、报表管理等等几个方面,从而帮助用户能有效的进行管理及维护。
在工作负载安全解决方案中,通过泛主机场景维度进行有效落地,主要从下面四个关注点进行设计:
关注1、动态安全监测及防护
工作负载威胁也成为了越来越多的用户所面临的最大的安全风险,比如说挖坑木马、勒索病毒,这也是近几年来众多用户最为头疼的问题。通过设计工作负载中的主机EDR监测和防护,为用户提供了实时的监测能力,能够快速的发现主机层面的安全问题,动态的进行安全防护,从而降低了主机层面的安全风险。
关注2、漏洞补丁管理运营
漏洞补丁管理一直是各个安全和运维人员的关注的问题之一,如何有效快速的修复漏洞,也是每个用户最为关注的问题,通过设计工作负载中的新一代补丁管理平台,从Windows、Linux、中间件、数据库等多个方面,为用户提供有效的漏洞补丁管理的能力,并能够对接各类重要的运维平台,从而做到漏洞补丁管理运营。
关注3、自适应精细化安全控制
这几年来,越来越多的用户改变自身的传统的架构,随之而来的架构的变化也带来一些新的安全风险。最大的风险来自于东西向流量的风险,以往很多公司一直依赖防火墙、虚拟本地网和访问控制列表做网络隔离,但是管理方面以及实际效果不够理想。通过设计工作负载中的自适应微隔离系统,为用户精细化的识别了流量情况,进行准确的画像,并通过统一的平台,进行了网络隔离安全控制,从而做到了自适应的精细化安全控制。
关注4、新环境容器防护
通过容器,能够有效的提高开发人员和运营人员的效率,但是新技术的采用,也引入新的安全风险。通过设计工作负载中的容器安全系统,对容器全生命周期进行安全管控,为用户从容器非生产环境和生产环境两个维度考虑,采用了细粒度的访问控制角色(RBAC)和策略,以管理特定Kubernetes部署和节点对kubectl命令的访问,并基于K8S自带的网络策略做防火墙,对容器之间进行微隔离,从而做到容器全自动的安全检测、预警与防护 。
方案的的优势
1、最小单位安全设计,最全面安全能力体现
基于CWPP的技术理念,从工作负载层面入手,以最小的单位,实现补丁管理、微隔离、主机EDR监测和防护、容器安全等最全的安全能力,构建了有效的工作负载层面的安全防护体系
2、部署方式灵活,适应各类不同IT基础架构
技术上采用Agent技术来进行安全能力的实现,因此不依赖于IT基础架构,能够适应各类的环境,比如说传统数据中心、私有云、公有云、混合云。
3、安全信息全面收集,真正实现主机安全运营
通过各个维度的安全建设的考虑,收集到各类的安全信息,并通过统一的安全管理平台进行关联起来,进行有效的安全分析及问题的发现,真正意义上做到主机的安全运营。
通过安全狗的工作负载安全的解决方案,为用户搭建了有效的工作负载的防护体系,形成了纵深的防御体系,从而帮助用户解决了现阶段面临的问题,以及未来可能会面临的问题,有效作为网络安全的能力的基石,从而构建真正有效的网络安全的体系。
小彩蛋:攻防对抗下,工作负载的价值
信息安全从某种程度上就是攻击方(黑客)与防守方(企业)之间的博弈,作为防守方必须站在攻击者的角度思考,掌握攻击者的攻击思路、使用的攻击手段,才能在与攻击者的博弈过程中占得先机。在近年兴起的红蓝对抗演练中,工作负载安全保护平台起着相当大的作用。
1、把控暴露的攻击面,提升综合运营监测能力
2019年大型攻防演练中,大量蓝方企业单位,由于对内部资产不明晰,缺乏对资产的管理和基线检查,产生无法从操作系统、开放的服务、安装的软件多维度实现资产和人员的对应,密码和凭证管理不善,危急补丁升级或覆盖率管理手段不足等问题。
通过工作负载安全方案,一是维护者能很清晰地梳理自身主机资产,针对暴露在外的资产进行重点防护;二是实现针对全网漏洞的统一运营管理,三是通过精细化识别流量情况,进行准确的画像,并以统一的平台进行网络隔离安全控制。
2、提升纵深防护与检测能力,铸就安全最后一道围墙
在2019年进行的大型攻方演练中,内部主机权限是攻击方主要的得分点。内网主机在“裸奔”前提下,大约有50%以上的内部主机权限获取来自于内网暴力破解,30%左右来自于高危系统漏洞,剩下的来自于第三方组件漏洞、自身的业务系统漏洞以及新曝出的0day漏洞。
通过工作负载方案,能快速发现了大量的漏洞、弱口令和配置缺陷,在防守前和防守中都可及时进行安全整改加固从而避免被攻击利用。同时,构建用户自己的补丁仓库,用于修补可能导致安全薄弱、破坏关键系统数据或导致系统不可用的漏洞。在整个过程中,记录和发现关键目录、账户的变化情况,监测日志可第一时间发现异常情况,帮助防守单位第一时间发现WEB目录文件的新增行为,结合人工判断第一时间发现攻击者上传的隐蔽后门。
3、分析定位网络攻击行为,提升应急响应与溯源分析能力
在2019年进行的大型攻方演练中,精准的失陷分析与事件溯源是每个机构梦寐以求的能力。工作负载安全解决方案通过“攻击链”分析模型,结合威胁情报,利用大数据分析技术检测分析出病毒木马、账号提权、敏感行为等类型的深层次入侵事件,绘制可视化的服务器入侵轨迹;抽丝剥茧,快速看清“问题”,帮助防守安全团队进行安全事故处置、应急响应。实现多数失陷类型的自适应检测、识别与告警,对回连的WebShell、敏感命令、隐蔽的回连隧道、可疑进程行为进行监控、告警和拦截,利用微隔离技术做到安全策略的集中可视化管理。