业务基线的价值与挑战
内网安全或者说东西向安全是当下网络安全工作的重点,无论是应对勒索病毒的挑战,还是对抗长驱直入的攻防演练,内网都必然会取代边界成为安全战斗的主战场。做东西向安全,尤其是数据中心东西向,主流的思路是以白名单的方式通过最小权限访问控制来尽量下降内部业务的暴露面,提升攻击者横移的成本,并增加发现内部攻击的机率。微隔离技术作为这种理念的一种技术实现,成为了今天行业客户所普遍选择的一种方案。蔷薇灵动作为国内领先的微隔离厂商,在这个过程中交付了大量的微隔离项目。我们发现,在实现内网白名单访问控制的过程中,最有价值同时也是最困难的就是业务的访问基线,可谓成也基线败也基线。
(蔷薇灵动部分获奖优秀案例)
所谓业务基线,就是一个业务的网络访问关系构成——有哪些服务器(虚拟机、容器)访问这个业务,这个业务又访问谁,什么时候访问,访问量多大,访问端口是啥,端口上监听的程序路径是啥等等,这些放在一起就叫业务基线。如果我们能准确的掌握业务的基线,那么我们就可以基于这个基线去设定最小权限的访问控制策略,也可以利用这个基线对那些偏离基线的网络行为进行侦测,从而发现内部威胁的存在。
然而,“业务基线”又是一种极难掌握的信息,有的用户说:“我们用了某某厂商的微隔离,但是根本不敢开防护,只能当侦测手段看一下内部网络,而看也看不出来啥,所以觉得微隔离没用”。听到这样的表述,我们一方面非常痛心,觉得这么好的技术被行业中的猪队友给糟蹋了,另一方面又表示非常理解,切不了防护是因为业务基线没梳理清楚,而没梳理清楚基线,就算是监测,也看不出什么东西来。关键还是业务基线没梳理好。而如何梳理业务基线,恰恰不是微隔离产品本身能够回答的,这个属于“企业能力”而不是“产品能力”,蔷薇灵动能做好微隔离这件事,是因为我们有众多业务基线梳理工具,有丰富的业务基线梳理经验。这种基线梳理能力的差距是蔷薇灵动一直以来的核心竞争优势之一。
(业务访问关系)
从手工技艺到工业产品
时间来到了2024年,对于蔷薇灵动来说,事情有了一些变化。经过多年的精心培育,微隔离市场蓬勃发展,用户越来越多,合作伙伴也越来越多,我们在高兴之余发现了一个大问题,那就是项目似乎有点干不过来了。在过去,业务基线梳理技术是蔷薇灵动的护城河,可以说是不传之秘,众多顶级大客户,万点级生产网场景,被我们梳理得如天鹅绒般丝滑。然而,这个过程在过去高度依赖人力,是通过我们一群顶级的技术专家完成的“手艺活”。这种高度复杂的业务梳理过程在市场高速发展的新时代,正在从竞争优势变成阻碍,甚至成为了用户和伙伴的顾虑来源。
在更高的城墙和更大的城市之间,你总要选一个,而蔷薇灵动决定选择后者!知心东西向网络数据分析平台是蔷薇灵动去年推出的微隔离数据分析与决策平台,有着强大的关系分析与策略编排能力。我们从年初开始规划知心平台的新版本,决心将业务基线梳理这件事以完全自学习的方式彻底解决掉。这个版本凝聚了我们多年来积累的对东西向业务关系的理解,充分利用了微隔离庞大而精细的时序网络关系数据,通过各种类型网络场景的反复推演(其中就包括瞬息万变的云原生网络),终于在近日正式发布。当这个强大的“神器”出现在我们面前时,所有人都松了一口气:“大事定矣!”
(知心平台策略全局规划)
知心平台新版本的神奇能力
新版本的知心平台,主要增加了四大领先能力:“分级关系基线学习”、“业务基线稳定性评估”、“安全事件处置策略自动编排”、以及最神奇的“一键微隔离”。
1、忒修斯之船与分级业务基线
当蔷薇灵动刚开始接触业务基线梳理这个难题的时候,事实上我们和所有人一样一筹莫展。最大的困难还不是复杂性,无论网络有多复杂,只要我们把所有的网络关系数据都拿过来,我们总是能够确定出一种具体的访问关系。真正困难的是“变化”!越是大型网络,变化越是经常发生,大到老业务迁移、新业务上线,小到软件升级侦听端口变化,任何风吹草动,都会带来业务基线的变化。你昨天梳理出来的基线,今天可能就是错的!也就是说,你几乎永远没有可能精确地解释大型网络中的每一条访问。这个结论极其致命,甚至在很长时间里让我们感到沮丧,因为这简直就直接宣判了微隔离是一种不可能实现的“妄想”。但真的猛士绝不退缩,他敢于直面残酷的真相并找到出路。我们在极度苦闷中想起了一条船——不是诺亚方舟,这世界上从来没有神仙皇帝,一切只能靠我们自己。我们想起来的是另一条船:忒修斯之船。
(忒修斯之船)
“忒修斯之船”是一个故老的哲学问题:当一条船上的甲板开始腐烂的时候,我们会用新的甲板替换老的甲板,当一条船上的全部木板都被换过了,那么这条船还是开始时候的那条船么?我们姑且不去争论身份认同问题,我们换一个问题,我们是怎么认出来这条“忒修斯之船”的?我们是一块木板一块木板的去认么?当然不是,我们就是远远的看上一眼,就认出来了。而我们现在之所以无法拿到稳定的业务基线,就是因为我们是在“木板”这个层次去认识业务的,而在这个层次上,事实上就没有稳定的“基线”存在!当我们尝试着把度量的对象提升一两个层级,我们忽然发现,一条稳定的“忒修斯之船”出现在了我们面前,这就是分级业务基线的秘密!
基于我们的经验,知心平台将业务基线一共分为五个等级,具体是怎么分的就不能再深说了,就算是要拆城墙,总还得留个篱笆栏吧。而且解释起来也不是特别容易。好在用户也不用管,在产品上直接选就可以了。用户可以根据自己业务的稳定情况选择不同的级别,根据我们的经验,不管什么用户,至少在前两个级别上,我们七天就可以构建出稳定的业务基线!这基线当然不是“木板”级的,但是也足够细致了,细致到什么程度呢?根据《关键信息基础设施安全保护条例》,被定级为关键基础设施的网络要做到“业务间隔离”,这个要求比《等级保护》的“分级分域”要严格得多,绝大多数用户都很难做到。而这个“业务间隔离”就是我们定义的第二级业务基线,在这个层级上,网络的总体暴露面一般来说已经下降了95%以上了。
(策略级别对比)
2、日久见基线,业务稳定性评估
前面提到,要用户根据自己业务稳定性选择恰当的级别。那么用户如何知道自己的业务在哪个层级上是稳定的呢?靠猜的么?当然不是。知心平台提供了业务稳定性评估能力。知心平台的访问关系数据是“时序数据”,也就是说知心不仅仅知道业务的访问是否发生过,而且还知道它们是如何发生的,它们在时间上的“稳定性”是什么样的。而且这个“稳定性”也是分级评估的。在“木板”级不稳定,不代表在“较低级别”也不稳定。反过来,在“较低级别”稳定不代表在“高级别”也一样“稳定”。另外,“稳定”这件事情和基线的构建周期有很大关系,只有学习得足够久,我们才能收集到足够多的数据,从而才能构建出准确的基线。而且只有学习得足够久,我们才能判断这个被构建出来的基线是不是真的稳定。当用户选择到一个基线级别的时候,我们会基于这个级别对基线的稳定性进行评估,如果是稳定的,用户就可以在这个级别上进行策略部署,或者还可以再往高挑战一个级别,看看能否把策略做得更细一点,反过来呢,如果在这个级别上不稳定,那么用户需要退一个级别看看,能不能先以较宽的业务基线设置策略,或者就再给我们一些时间,看看我们能否在这个级别上构建出稳定的基线来。
(业务稳定性量化评估)
3、一键微隔离,微隔离的“傻瓜相机”时代
蔷薇灵动做产品喜欢追求极致,既然要做自动化,就要尽可能让用户少参与。就好像单反相机,固然是专业人士的最爱,但真正让相机普及的是傻瓜相机,啥都不用调,啥也不用懂,你就“咔嚓”一下就行了。我们在做这个版本的时候,就是希望能够把微隔离这个产品从“单反相机”时代带到“傻瓜相机”时代。
具体如何个傻瓜法呢,那就是当用户选择某一个基线级别的时候,如果这个网络中的所有业务在这个级别上都是稳定的,那么“一键微隔离”按钮就会变成可用状态,用户只需要点击一下,微隔离的所有策略设计以及下发过程就会自动完成。过去至少需要几个专家几个星期的工作量,现在一个普通的IT工程师,通过不超过30分钟的有效工作时间(基线学习需要一个周期,但这个周期人不需要做任何事情),就可以独立完成了。正可谓,旧时王谢堂前燕,飞入寻常百姓家。
(一键微隔离策略执行)
4、策略自动编排,知心变身战场指挥官
微隔离的策略管理工作主要是发生在两个场景,一个是一开始部署的时候,这个时候的难点在于基线学习。另一个场景是安全事件处置,作为遍布网络每一个资产的端口级访问控制点,微隔离是网络安全事件处置好用的一把刀。正常情况下,微隔离的策略是基于业务基线设置的,但网络安全工作的属性决定了,很多时候,我们都要跟“不正常”打交道。比如说本来浓眉大眼挺正常的一个容器,忽然间就开始对别人进行端口探测了,这个时候就需要调整策略了。在上个版本里,知心的主要工作在于“发现”,我们构建了非常多的内部威胁发现算法,经多次攻防演练检验,非常有效。不过,对于事件的后续处置,在上个版本里我们只提供了“一键加黑”和“拖入隔离组”两个选择,而在真实工作中,用户需要更加灵活的处置选择。比如说,用户可能不是要把一个Pod全网封禁,而只是对某些关键业务封禁,同时可能不是要把一个Pod封禁,而是把它所在业务的所有Pod全部封禁。一旦处置的动作变得复杂,意味着相关策略编排也就很复杂了,在过去,这只能通过工程师在微隔离策略管理平台上一条一条的手动配置,而在新版本里,我们可以让用户基于一个安全事件,通过交互式的动作选择,自动生成复杂的策略配置,从而让用户在处置安全事件时更加快捷准确。
(事件处置)
让天下没有难做的东西向安全
在知心平台的加持下,东西向安全将变得非常容易,很多过去只有大型行业客户才能做到的高水平内网安全防护体系,现在只需极少的投入和极短的时间就可以轻松实现。我们可以分两个场景举例说明。
微隔离场景
动作1:资产纳管
用户需要告诉我们,什么资产属于什么业务,什么资产大概是干啥的。这些信息,多数用户基本都能说清楚,常见做法是给我们一个EXCEL表格,我们直接导入就可以了。
动作2:基线学习
就是等着,啥也不用干。
动作3:一键微隔离
看一眼基线是否已经稳定了,如果没稳定就再等等,或者选一个较低级别基线先切了再说,然后随着时间推移,我们还会持续构建业务基线,哪天这个级别稳定了,您再把策略升级上来,当然所谓“升级”就是再点击一下“一键微隔离”而已,只不过是那个时候您选择的基线等级更精细了一些。
是的,就这么简单,和把大象放进冰箱一样简单。
态势感知场景
有的用户不是用业务基线来做访问控制的,而是用基线来发现内部威胁或者按照等保的语言叫新型威胁的。此时也还是分三步走,不过最后一步在基线级别选择的策略上不太一样。
如果用户想要做访问控制,意味着要对业务流量做处理,此时最大的危险是容易阻断业务,所以我们要选择稳定的基线级别,只有基线稳定了,做访问控制才没有风险。但是做威胁侦测就不是这样了,如果我们选择的是“稳定”的基线,意味着此时我们发现的攻击不会有“误报”,但是有可能产生“漏报”。大概的原理是,如果我们离老远都能看出来那就是一架飞机,那根本不是船,这个不可能误报,说他是坏人他肯定是坏人。但是我们离老远看出来的船,却有可能不是“忒修斯之船”而是“诺亚方舟”,也就是说有可能“漏报”,说他是好人可就不一定准了。所以,在态感模式下,我们建议可以适度选择更精细一点的还没有稳定下来的基线等级,从而提升发现新型威胁的几率。再或者,用户可以分别对不同的业务设置不同的基线侦测等级(这个知心平台也支持),对于少数那几个高风险业务,可以采用高精细度基线,而其他业务则使用稳定基线。这样一来,对于高风险业务漏报的风险就大大降低了,反过来说,虽然可能会有一些误报,但由于业务总量不大,也就还处理得过来。而从全局角度说总体上误报率又保持在低位,算是一个平衡的做法。
最后,我们想重申我们的初心,之所以要做知心平台的新版本,就是要把业务基线的梳理难度彻底降下来,让天下再没有难做的东西向安全,让人人都会用微隔离,让大大小小的网络都能轻松实现微分段,让内部威胁无处藏身,让勒索病毒寸步难行。