介绍
本文件旨在通过应用网络分割和隔离策略,协助负责组织网络架构和设计的员工提高其网络的安全态势。
网络分割和隔离是一个组织可以实施的有效策略,以限制网络入侵的影响。如果实施得当,这些策略会使对手很难定位和获取组织最敏感的信息;并增加及时发现对手活动的可能性。
历史上,网络分割和隔离是通过一个组织的internet(或组织间)网关上的外围防火墙来实现的;或者是围绕一个非军事区的一对防火墙来实现的,该非军事区在完全受信任和不受信任的区域之间提供一个隔离的环境。然而,简单地将整个网络分区为“受信任的”并将其视为“平坦的”(即整个网络作为单个网段)会创建一个环境,该环境只需要一次网络入侵,对手就可以获得广泛的访问。平坦的网络还允许对手在主机和服务之间进行旋转,而障碍最小,检测的机会有限。
随着敌方tradecraft直接使用spear网络钓鱼和社会工程等技术瞄准内部网络,以及移动和远程工作的日益使用,这些常见的平面网络架构无法保护组织免受当代网络威胁。因此,组织必须对网络进行细分,将敏感信息、主机和服务与用户访问外部资源的环境隔离开来,特别是网络、电子邮件和其他互联网服务。
什么是网络分割和隔离?
网络分割涉及到将网络分割成更小的网络;而网络分割涉及到开发和实施用于控制特定主机和服务之间通信的规则集。
在实施网络分割和隔离时,目标是限制对敏感信息、主机和服务的访问级别,同时确保一个组织能够继续有效运作。网络分割和隔离措施要想行之有效,就必须周密规划,有力执行,严密监控,不能绕开。
使用许多技术和技术可以实现网络分割和隔离,包括:
- 在具有不同安全要求(安全域)的网络之间实施非军事化区域和网关,使用不同层的技术,例如:
- 路由器或第3层交换机,用于将大型网络划分为单独的较小网络,以使用访问控制列表等措施限制流量
- 虚拟网络和路由协议,包括虚拟局域网和虚拟路由和转发以分段网络
- 虚拟机、容器和虚拟功能,用于隔离不同信任或威胁级别的活动(例如访问internet或电子邮件,或执行特权管理任务)
- 虚拟主机、虚拟交换、云租赁和托管安全组,以隔离和分段应用程序、数据和其他服务
- 基于主机的安全和防火墙软件,用于在主机级别过滤网络流量
- 过滤网络流量的网络防火墙和网络间的安全设备
- 网络访问控制用于控制可以访问网络的设备
- 应用程序和服务防火墙和代理(或服务代理),仅允许不同网络中的应用程序和服务之间的批准通信
- 用户和服务身份验证和授权,包括多因素身份验证和基于策略的访问控制,以强制最小权限
- 用于增强网络间数据流方向性的数据二极管和单向传输设备
- 内容过滤技术包括递归分解、验证、验证和消毒,以全面确保网络和应用程序流量。
- 使用Internet协议安全性(IPsec)实现服务器和域隔离。
- 使用磁盘和卷加密以及逻辑单元号屏蔽等技术实现基于存储的分段和筛选。
- 对于极其敏感的网络连接,实施跨域解决方案或澳大利亚信号局澳大利亚网络安全中心(ACSC)推荐的其他技术。
要取得成功,这些技术和技术的实现必须由基于实现组织业务和安全需求的网络架构驱动。至关重要的是,网络、系统和安全架构师与业务分析师和客户合作,以确保采用准确和考虑周全的策略。
为什么网络分割和隔离很重要?
一旦对手破坏了网络,通常是通过社会工程手段,通过合法用户控制下的主机的破坏,他们将试图在网络中移动,以定位和访问敏感信息、主机和服务。为了最大限度地减少这种网络入侵的影响,敌方应尽可能难以找到和访问此类信息,在网络周围移动而不被发现,并从网络中删除信息。
敌方可尝试使用其掌握的工具和技术,直接从受损主机连接到更敏感的主机。例如,如果一个敌方最初已经破坏了一个工作站,他们可能会试图创建到服务器的远程连接、映射网络资源或使用合法的网络管理工具来访问敏感信息或在该服务器上执行恶意代码。当对手以组织的身份验证服务器为目标时,这种情况尤其常见。合理规划和实施网络分割和隔离是防止此类活动发生的关键安全措施。示例缓解措施包括明确禁止远程桌面连接或从用户工作站使用通用网络管理工具(因为大多数用户不需要此类功能)、配置服务器以限制文件共享,以及限制服务器通过远程连接进行通信的能力。
网络分割和隔离也有助于安全人员履行其职责。实施这些措施的组织应考虑候选技术的审计和警报功能,因为这些功能可能对识别网络入侵和确保及时的事件响应活动至关重要。一个成熟的分段和隔离环境也将使组织能够更好地将其审计和警报策略集中在由批准的网络访问方法通知的攻击向量的优先子集上。此外,它还可以提供一种在网络入侵后及时隔离受损主机或网络的方法。
如何实现网络分割和隔离?
无论选择何种网络分割和隔离技术,最佳实践实施都有五个共同主题:
- 不仅仅在网络层应用技术。在可能的情况下,应在实际可管理的最低级别对每个主机和网络进行分段和隔离。在大多数情况下,这适用于从数据链路层到应用层(包括应用层);但是,在特别敏感的环境中,物理隔离可能是适当的。应以互补的方式部署基于主机和全网络的措施,并对其进行集中监测。仅仅实现防火墙或安全设备作为唯一的安全措施是不够的。
- 使用最少特权和需要知道的原则。如果一个主机、服务或网络不需要与另一个主机、服务或网络通信,则不应允许这样做。如果一个主机、服务或网络只需要在特定端口或协议上与另一个主机、服务或网络进行对话,而不需要其他任何东西,则应仅限于此。在网络中采用这些原则将补充用户权限的最小化,并显著提高环境的总体安全态势。
- 根据主机和网络对业务操作的敏感度或关键程度将它们分开。这可能包括根据特定主机或网络的不同安全分类、安全域或可用性/完整性要求使用不同的硬件或平台。特别是,分离管理网络,并考虑物理隔离敏感环境的带外管理网络。
- 识别、认证并授权所有实体访问所有其他实体。所有用户、主机和服务对所有其他用户、主机和服务的访问权限应仅限于执行其指定职责或功能所需的用户、主机和服务。应尽可能禁用绕过或降低标识、身份验证和授权服务强度的所有传统或本地服务,并密切监测其使用情况。
- 实现已批准的网络流量列表,而不是未批准的网络流量列表。只允许访问已知的良好网络流量(即已识别、验证和授权的流量),而不阻止访问已知的不良网络流量(如阻止特定地址或服务)。这不仅将导致一个优越的安全政策,它还将大大提高一个组织的能力,以检测和评估潜在的网络入侵。
在实现网络分割和隔离时,应考虑以下类型的流量过滤技术。如上所述,如果使用专门允许业务而不是专门阻塞业务的方法来实现,则这些过滤技术将显著地更加有效:
- 网络流量的逻辑访问限制,例如:
- 基于Internet协议和路由信息限制哪些主机能够与其他主机通信的网络层筛选
- 基于状态的筛选,根据主机的预期功能或当前操作状态限制哪些主机能够与其他主机通信
- 端口和/或协议级筛选,用于限制每个主机可用于与其他主机通信的服务的数量和类型。
- 基于强身份验证限制对主机、服务和网络的访问的身份验证筛选,通常使用公钥密码(如基于证书的IPsec)实现。
- 应用程序过滤,用于过滤应用程序层主机和网络之间通信的内容,通常使用电子邮件和web内容过滤、入侵预防系统以及web应用程序或XML防火墙来实现。
- 对于特别敏感的环境,也可以在网络之间实现物理隔离。如果物理隔离网络之间需要有限的交互,则可能需要以下一个或多个:
- 定制或定制的安全设备
- 高保证产品,或
- 跨域解决方案。
与任何安全策略一样,当组织的网络发生重大变化时,必须对网络分割和隔离实施进行调整。此外,环境变化,如新的业务职能和不断演变的网络威胁,将需要审查一个组织的安全态势和网络架构,以确保应用适当的缓解策略。
网络分割和隔离的示例实现
分割网络以保护关键主机
在这种情况下,一个组织决定对其网络进行分段,以保护关键主机免受网络入侵。为此,他们采取了下列安全措施:
- 编制关键主机清单,记录其敏感度以及与此类主机的任何必要通信
- 计划在一个时间表中引入安全措施,该时间表可通过分配资源来实现,确保在部署前进行足够的测试
- 与关键主机的逻辑网络连接仅限于那些必需的端口和协议
- 只允许从更受信任的区域建立连接到不受信任的区域,反之亦然(对应用程序接口的必要用户访问除外)
- 批准特定的应用程序层内容,以便仅允许该内容在不同的信任区域之间流动
- 实现了多因素身份验证,此外,如果用户和服务的功能比共享同一主机或网络的其他用户或服务更敏感,则为用户和服务使用单独的凭据集
- 最大限度地减少了相同和不同信任区域中主机之间隐式信任关系的使用(实现了跨不同信任区域定义的信任关系,以便信任关系的每一方都对另一方进行身份验证和授权)
- 为与外部组织和internet的连接实施web、电子邮件和文件内容筛选,以检测和清除潜在的恶意内容
- 应用入侵防御和基于主机的防病毒技术检测和隔离识别出的恶意内容
- 实施集中的日志记录、警报、监控和审计功能,由专门的安全操作团队负责。
上面的列表并不是一套详尽的安全措施;但是,它是一个现实的概述,表明必须在所有层考虑网络分割和隔离才能有效。实现安全的网络体系结构从来没有像实现具有限制性访问控制列表的网关防火墙那样简单。
将高风险应用程序与网络隔离
在这种情况下,一个组织发现,他们的网络中大部分都包含敏感信息,分割网络或将所有这些信息分离并不划算。相反,该组织选择将高风险应用程序(即web浏览器、电子邮件客户端和内容管理系统)与网络其他部分隔离开来。在此过程中,他们实施了以下安全措施,以维持业务需求,同时降低网络入侵成功的风险:
- 需要internet访问的用户在其公司工作站上启动远程桌面应用程序以访问虚拟桌面,并使用仅用于此目的的用户帐户进行身份验证。此虚拟桌面是由托管在不同身份验证域中的不同网段中的专用服务器提供服务的。这种专用的远程桌面允许用户进行高风险的活动,例如浏览网页和阅读电子邮件,同时将单个受损应用程序的效用限制在对手身上。
- 需要访问高风险应用程序的用户启动了一个本地虚拟化应用程序,以运行一个加固的虚拟主机,该主机连接到一个不太可信的远程环境,该环境由一个分层的安全网关保护,该网关将高风险应用程序和组织的企业网络。
示例实现摘要
这两种方法的主要优点是,用户没有直接在其公司工作站上存储或处理潜在的恶意数据,也没有使用公司服务器来执行敏感和关键业务功能。每个用户的交互都是与远程桌面或应用程序进行的,如果需要的话,可以通过一个足够结构化和有限的功能将输出发送回用户,从而防止恶意代码在整个公司网络中执行或传播。
重要的是要记住,在实施安全措施时,组织将承担资源成本,以确保适当维护附加系统。与其他技术资产一样,这些安全措施应得到管理和监控,发布后应尽快应用安全修补程序。
最后,建议所有的web浏览环境都应该是非持久的、严格强化的,并接受定期的技术安全评估。因此,如果web浏览环境确实受到恶意代码的危害,则当用户完成其web浏览会话时,该感染会迅速消除。
原文:https://www.cyber.gov.au/publications/implementing-network-segmentation-and-segregation
本文:http://jiagoushi.pro/node/1042
讨论:请加入知识星球【首席架构师圈】或者小号【intelligenttimes】
最新内容
- 1 day ago
- 1 day 4 hours ago
- 1 day 5 hours ago
- 3 days 20 hours ago
- 4 days 4 hours ago
- 4 days 4 hours ago
- 4 days 5 hours ago
- 4 days 5 hours ago
- 1 week 1 day ago
- 1 week 1 day ago