<i id="0io7s"></i>
<object id="0io7s"></object>
<i id="0io7s"></i>
<thead id="0io7s"></thead>
  • <optgroup id="0io7s"><del id="0io7s"></del></optgroup><thead id="0io7s"><del id="0io7s"></del></thead>
  • <thead id="0io7s"></thead>
  • 解決方案

    面向政府、金融、能源、運營商、互聯網、大型企業等,幫助構建數據中心內部零信任

    全部分類

    等保2.0合規

    • 分類:專項
    • 發布時間:2020-10-30 16:54:27
    • 訪問量:0
    概要:
    概要:
    詳情

    等保2.0的零信任精神內核

     

     等級保護2.0標準的一個核心變化是從邊界防御的思維模式走向了全網協同防御的整體安全觀,是從以黑名單為主要防御模技術走向以白名單為核心特征的零信任安全體系。零信任的思想在等保2.0標準中隨處可見,與此同時也為網絡安全管理者提出了前所未有的新挑戰。

    等保2.0的安全要求與應對

     

    安全通用要求

    8.1.3 安全區域邊界

    8.1.3.2訪問控制】 

    a)應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信;

    挑戰:這一條本質上是要求以白名單的方式在邊界上做訪問控制,最大的挑戰在于如何確保白名單策略符合業務實際需求,因為一旦策略配置錯誤就會引起業務中斷。

    應對:薔薇靈動通過業務流量自學習,可以準確的描繪每一個工作組、每一個工作負載的訪問情況,基于業務拓撲,薔薇靈動可以準確的生成符合業務實際的白名單訪問控制策略。

    薔薇靈動微隔離 零信任 等保2.0

    b)應刪除多余或無效的訪問控制規則,優化訪問控制列表,并保證訪問控制規則數量最小化;

    挑戰:這條要求可以認為是上一條白名單要求的衍生要求,在白名單模式下,必須確保策略集最小,核心挑戰在于如何確保策略始終與業務保持一致。

    應對:薔薇靈動自適應策略計算引擎,可以根據網絡環境的實際情況自動進行策略的計算與更新,對不必要的策略實時刪除,始終確保策略與業務需求的一致性。

    薔薇靈動微隔離 零信任 等保2.0 圖二

    c)應對源地址、目的地址、源端口、目的端口和協議等進行檢查,以允許/拒絕數據包進出;

    挑戰:這條要求最大的難點在于如何確定服務的訪問源,在過去邊界防御主要是基于目的地址與端口在做,如果要對源進行限制,將大大提高策略設計的難度。

    應對:薔薇靈動可視化業務拓撲能夠準確的描述全部業務訪問的源和目的的準確信息,并可以自動化生成訪問控制策略,極大提升策略配置效率和策略有效性。

    薔薇靈動微隔離 零信任 等保2.0 圖三

    8.1.3.3 入侵防范】 

    b)應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為;

    挑戰:在等保2.0中首次明確強調要防范內部危險,而這個要求的核心挑戰在于策略控制點的部署密度與訪問控制能力。過去的解決方案普遍存在控制點成本過高以及重偵測而輕處置的能力缺陷。

    應對:薔薇靈動采用輕代理模式進行部署,每一個工作負載是控制點也是偵測點,從而實現最大密度的異常流量監測網絡,并且可以實現進程級(容器級)訪問控制精細度,最大程度下降內部攻擊面,提升內網安全防御能力,并且對各種異常流量和工作負載做到一鍵隔離,快速處置。

    微隔離 零信任 等保2.0 圖二
    微隔離 零信任 等保2.0 輕代理模式

    d)當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間,在發生嚴重入侵事件時應提供報警。

    挑戰:本條要求的核心挑戰在于如何對東西向流量進行捕捉和記錄。一方面東西向流量體量十分巨大,過去的引流、鏡像等方式無法對全部東西向流量做有效捕捉,另外,虛擬網絡流量不出宿主機,更加難于捕捉和記錄。

    應對:薔薇靈動通過輕代理方式能夠對全部東西向流量做統計與集中分析,可以有效達成等級保護對網絡流量日志與事件溯源的要求。

    微隔離 等保2.0 網絡流量與事件溯源
    微隔離 等保2.0 網絡流量日志與事件溯源

    8.1.4 安全計算環境

    8.1.4.4入侵防范】 

    b)應關閉不需要的系統服務、默認共享和高危端口;(主機網絡應用白名單)

    挑戰:本條要求最大挑戰在以首先要回答什么叫不需要的,然后要解決如何關閉的問題。因為對主機開放端口必要性的確認是個非常巨大的工作量,在大型網絡中很難完成,而如何在不影響主機工作的前提下有效關閉端口也是個技術難點。

    應對:薔薇靈動通過進程級的業務學習,可以準確回答全部主機開放端口被什么業務進程監聽以及被什么訪問源進行訪問,基于此可以很方便的對全網端口開放情況進行分析,并且通過白名單策略,能夠做到徹底關閉全部無業務需求端口。

    微隔離 等保2.0 白名單策略
    微隔離 等保2.0

    c)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制;(傳統的堡壘機需求)

    挑戰:本條要求的核心難點在于如何解決堡壘機繞過問題,也就是當訪問者已經通過控制點登錄了一臺內網主機后,以此主機為跳板對其他主機進行越權訪問。

    應對:薔薇靈動自適應微隔離的策略控制點不在邊界,而是分布于每一個被保護的工作負載之上,所以不存在繞過的可能性,也就是說在每次登錄任何一臺內網主機的時候都需要進行安全策略訪問控制。

    微隔離 策略控制點

    云計算安全拓展要求

    等級保護2.0的另一個重大發展就是對云計算等新型基礎架構出了額外的擴展要求,更加能夠適應新計算架構的結構特征。

    8.2.3安全區域邊界

    8.2.3.2 入侵防范 

    c)應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量;

    挑戰:本條的核心挑戰在于如何識別虛機間流量(容器間流量),基于傳統的防火墻或者其他流量分析產品都無法對虛擬流量做有效的捕捉與分析。

    應對:薔薇靈動通過工作負載上部署的輕代理,可以對虛機間流量做有效分析,并且是國內唯一可以對容器間流量做可視化分析的產品。

    微隔離 容器間流量做可視化分析

    8.2.4 安全計算環境

    8.2.4.2 訪問控制 

    a)應保證當虛擬機遷移時,訪問控制策略隨其遷移;

    挑戰:云計算的一個重要特征就是經常發生虛擬機漂移,因此必須確保當虛擬機漂移時策略能夠隨之遷移,否則就會造成業務的中斷或者安全的失控。

    應對:薔薇靈動自適應策略計算引擎,能夠實時捕捉虛機漂移、虛擬機上下線、克隆擴展等事件,并進行自動化策略重算,始終保持策略有效性。

    b)應允許云服務客戶設置不同虛擬機之間的訪問控制策略;(點到點訪問控制)

    挑戰:本條要求明確提出云計算環境應該具備點到點訪問控制能力,而實際上目前的云計算環境基本只能提供VPC、安全組等邊界防御產品,用這種產品進行虛機間訪問控制不具備可行性和可擴展性,部署和運維的成本極高。

    應對:薔薇靈動自適應微隔離允許用戶以軟件定義隔離的形式,方便的對大規模網絡設置虛機間訪問控制策略。

    微隔離 自適應

    掃二維碼用手機看

    北京市昌平區回龍觀東大街首開廣場3層309

    版權所有:Copyright 2018 北京薔薇靈動科技有限公司    京ICP備18016518號-1  

    Dunarose