零域(微隔离)详述
一、什么是零信任微隔离?
微隔离的实现方式是将数据中心内部所有的业务按照特定的原则划分为数个微小的网络节点,根据动态策略分析对这些节点执行访问控制,在逻辑上将这些节点隔离开,限制用户横向移动,这就是微隔离。在微隔离的架构中,不再存在内、外网的概念,而是将数据中心网络隔离成了很多微小的计算单元,这里我们简称节点。每个节点要访问其他节点的资源,都需要经过微隔离客户端的认证,如果节点身份认证不通过,或不具备访问权限,会被客户端拦截。
德迅零域·微隔离安全平台可部署在混合数据中心架构中,实现跨平台的统一安全管理,通过自主学习分析、可视化展示业务访问关系,实现细粒度、自适应的安全策略管理。产品在真实威胁中,可快速隔离失陷主机网络,阻断横向渗透行为,让零信任理念真正落地。
德迅零信任微隔离的机制主要包括:数据库审计、策略好管理、策略易验证、管控多选择、威胁可隔离、保护更全面
(1)数据库审计--业务拓扑图可视化展示访问关系
自动学习业务访问关系,并以多种拓扑图清晰展示,结合资产信息,为策略制定提供基础。
- 拓扑图上交互式设置,自动生成策略,提高效率。
- 发现主机上无用的端口,减少风险暴露面。
- 丰富的查询方式和图例,直观评估策略配置情况。
(2)策略好管理--多种策略形式实现自动化运维
依据不同管理场景,配置不同粒度的控制策略,并随业务或环境变化自适应调整策略,实现自动化运维。
- 提供业务组、标签、端口、IP等不同粒度的策略管理。
- 用标签定义策略,形式精简,降低运维成本。
- 策略表达明白易读,避免基于IP的安全策略。
(3)策略易验证--监控异常访问并自动验证策略
在不真实拦截流量的情况下,持续监控学习业务访问关系,自动验证策略准确性和覆盖度。
- 自动验证策略正确性,减少人力成本。
- 重保场景中,发现恶意横向渗透行为。
- 发现异常访问,第一时间发出告警。
(4)管控多选择--根据管理要求选择不同控制强度
访问控制模式决定控制策略如何放行/阻断网络连接,配合不同的管理要求,支持不同强度的控制模式。
- 主机控制模式:为每个业务端口配置策略,严密防护。
- 服务控制模式:管控20%的关键端口,降低80%的风险。
(5)威胁可隔离--失陷主机快速隔离防止威胁扩散
在发生真实攻击场景下,提供应急响应手段,迅速隔离失陷主机网络,防止威胁进一步扩散。
- 出站、入站、双向网络流量,可选择不同隔离方式。
- 开放特定端口并指定访问IP,给上机排查问题提供条件。
- 威胁清除后远程解除隔离,恢复正常通信。
(6)保护更全面--非受控设备和DMZ区主机访问控制
对未部署Agent的网络设备和业务敏感主机实现保护,并可对DMZ区主机的外网访问进行控制。
- 对已部署和未部署Agent主机之间的访问,进行安全控制。
- 严格限制出入外网的流量,收缩DMZ区主机暴露面。
零信任微隔离技术的典型应用包括:
(1)在云计算领域,由于虚拟机之间的通信存在安全风险,零信任微隔离技术可以用于实现虚拟机之间的隔离,保护不同虚拟机之间的资源安全,防止恶意用户通过虚拟机越权访问其他虚拟机中的数据。同时,它还可以对虚拟机的网络流量进行隔离,确保虚拟机之间的通信安全。
(2)在互联网金融领域,零信任微隔离技术可以用于在用户设备和金融机构之间建立安全隔离通道。通过在用户设备上运行一个微隔离的安全容器,可以有效隔离用户设备中的恶意软件,防止其窃取用户的个人隐私和金融信息。这种技术还可以对用户设备的网络连接进行隔离,确保用户在进行网上银行等操作时的安全性。
(3)企业内部网络防护领域,微隔离技术在企业内部网络中创建安全区域,对工作负载或应用进行细粒度的访问控制。这意味着,只有经过身份验证和授权的用户和设备才能访问特定的资源。此外,微隔离还可以防止潜在的安全威胁在内部网络中横向移动,从而大大降低了内部网络受到攻击的风险。
二、 微隔离技术是怎么起到恶意代码防护的?与传统方案的优势是什么?
传统的恶意代码防范主要依赖于防病毒软件,通过识别已知恶意软件来防止系统受到侵害。这种方式对于已知的威胁是有效的,但对于未知或变种的恶意代码,其防护能力可能会受到限制。相比之下,微隔离技术并不依赖于对恶意代码的先验知识。它通过对系统资源进行细粒度的隔离和访问控制,来限制任何潜在威胁(包括恶意代码)的行动和影响范围。即使面对未知或变种的恶意代码,微隔离技术也能根据其隔离和访问控制策略,有效防止恶意代码的传播和破坏。
微隔离技术防止恶意代码运行的机理主要是基于资源隔离和访问控制,实现有效防止恶意代码的运行和传播的目的。
首先,通过资源隔离,微隔离技术将系统资源进行划分和隔离。这意味着恶意代码即使在一个虚拟环境中运行,也不能轻易访问或影响到其他隔离环境中的资源。
其次,访问控制是微隔离技术的另一关键原理。它限制和控制对系统资源的访问,确保只有经过授权的进程和文件才能访问特定资源。因此,即使恶意代码试图在虚拟环境中运行或进行非法访问,由于严格的访问控制,其行动也能被及时发现并阻止。
总结,传统恶意代码防范更侧重于对已知威胁的识别和清除,而微隔离技术则通过资源隔离和访问控制,构建了一个更为全面和主动的防护体系,能够应对更为复杂和未知的威胁环境。