準備好接受一個嚴重的統計資料結果了嗎?
──每天竟有超過600萬筆數據遺失!
網路攻擊的數量龐大且複雜,使受攻擊的企業產生大量損失,安全性成為IT團隊的首要任務,畢竟任何企業都不想因為資安問題登上明早的頭條。
我們在最近公開的資安漏洞中發現一些共通點,其中一個最普遍的情況是,攻擊並不是直接發生在數據庫當中。在大多數情形下,有心的攻擊者都能發現一個細微的資安弱點:「未修補的伺服器」或「遠端IT服務」。這種弱點使攻擊者能夠直接在目標環境中有操作空間,使我們確立了第一個挑戰:企業多年來一直在使用網路分段和防火牆,雖然這些技術在宏觀層面非常有效,但一旦攻擊者直接進入內部環境中,這些保護措施就會失效。
資訊安全需要現代方法
外圍防禦無效的原因在於,這些方法幾乎沒有能力限制或警告應用程式或虛擬機(VM)之間的異常網路流量。因此,一旦攻擊者進到內部,他們就可以建立伺服器基礎,並尋找其他更有價值的攻擊目標。而這種攻擊方法通常被描述為「橫向移動」。
「數據經濟使得現代以網路外部邊界為基礎的安全措施變得毫無用處。隨著企業在複雜的商業生態系統中藉由數據獲取訊息和洞察力,企業只注重外部安全的想法將變得非常危險。」Forrester 《Future-Proof Your Digital Business With Zero Trust Security》研究指出。
重點是,我們如何限制DC中的惡意橫向移動?一種方法是使用更多虛擬網路(VLANs)或其他硬體防火牆來塑造越來越小的邊界──然而這種方法的問題是成本及複雜度的考量,需要具有相當複雜程度的配置,以及更多或更大的安全設備。即便該方法能提供「更好的」安全性,但考量到成本,大多數企業不會考慮這個選項。
微分割和零信任模型
資安專家一直在考慮使用微分割或零信任模型技術解決資安問題。微分割實質上將安全範圍減少到單個虛擬機,而零信任模型則在加強對任何試圖進入企業系統的人、事、物進行驗證程序。其實IT營運商已經具備足夠的技術來實施微分割,大多數伺服器操作系統都附帶了本地防火牆,可用於阻止流量長達數年。
這便產生了下一個問題:已經有一個已知的安全模型,且該技術已存在多年,但為什麼大多數的大型企業沒有實施微分割或採用零信任安全模型?
答案很簡單──兩個主要領域的複雜性:政策管理和政策制定。從管理面說起,任何嘗試使用Microsoft群組原則中Windows防火牆的人或任何在Linux中管理iptables工具的使用者都會告訴你這是一項艱鉅的任務,必須在一定規則下執行並持續保證應用程式運作;而在作業系統版本或配置中增加功將使任務變得更加複雜。
靜態vs動態
虛擬化的激增與軟體定義網路的興起,提供了最大限度減輕資安負擔所需的工具,通常使用「網路端點」和「標識符」來定義網路安全策略。硬體位址(MAC)、網路位址(IP)或虛擬區域辨識碼(VLAN ID)等詳細訊息與應用程式協議訊息結合,以描述應用程式策略的網路流量。採用這種編寫策略面臨的挑戰是,隨著應用程式變得更加分散(本機+雲端+ SaaS)或更加動態(擴大規模或橫向擴展),靜態標識符的方法不太可行。
此外,虛擬化可以幫助解決靜態定義的安全衝突,而不是允許更多自動化作為應用程式管理的一部分。管理程式知道所有虛擬端點標識符,並且能夠洞察虛擬機有多少接口、MAC、IP,以及虛擬網路連接。基於此,僅移除手動列舉的需求,並允許更加動態的安全策略從管理程式取得該訊息,在發生更動時也可以自動適應。因此可以將策略簡化為,只要知道關於端點的基本細節(例如哪些虛擬機在應用程式中)和動態較少的應用程式細節(例如基於SSL的web流量的TCP端口443)即可。
能見度和理解力是關鍵
策略的一個更大問題是了解應用程式的連結方式。在較舊的安全模型中,防火牆管理員將使用稱為「黑名單」的模型。在這個模型中,已知的「壞事」受到網路的限制,此列表將根據安全漏洞報告或一般IT情況最佳的作法進行策劃和更新。而在零信任模型中,這個概念被顛倒過來,通常被稱為「白名單」,該策略只允許所需的網路流量進入系統。但這也是問題的根源,大多數營運商都不清楚「好流量」是什麼,因此雖然零信任模型更加得安全,但由於不必要的連結阻塞,這種方法對應用程式操作的影響要大得多。
透過本機、第三方和SaaS應用程式之間的複雜交互,了解每個組件如何連結是一項相當大的任務,必須不斷觀察與更新。同樣,這是虛擬化和SDN支持創建軟體發現構成應用程式虛擬機服務的領域。
現代方法必須為營運商提供「可視化應用程式」所需的工具以及各自的流量模式。透過這種詳細程度,管理員和操作員可以理解「良好」流量和創建基於「白名單」的資安策略奠定堅實的基礎。
結論
資安攻擊正在增加,傳統的數據中心安全方法不再能阻止或限制數據洩漏的影響。
Nutanix Flow是以應用程式為中心的現代網路安全方法。作為我們AHV虛擬化解決方案的原生組成部分,Flow以深度可視化和獨特的策略模型開始,消除了應用程式級策略的挫敗感和風險,並將其與透過微分割無處不在的強制執行相結合──詳細了解如何採用以應用程式為中心的資安策略改善你的安全狀況,有助於防止你的公司發生數據洩露。
更多詳情請參閱我們的新電子書──應用程式中心安全性。
