“防火墙、入侵防御、病毒查杀(防毒墙,主机杀毒软件)”,这个网络安全老三样被大家所熟知,正如“老三样已经过时了”的观点为大家所熟知一样。那么问题来了,“老三样”为什么过时了?不用老三样,又应该用什么呢?
退居二线的“老三样”
首先,我们还是要给这三位老同志发个终生成就奖。如果你仔细分析就会发现,防火墙管了网络层,入侵防御管了应用层,防毒墙管了数据或者说内容,这三位在网关的位置一站,还真就把那个时代绝大多数的网络安全问题给解决了。投资又少、部署又简单、效果又明显,如果实在没钱,只买这三样,基本就可以认为是安全到位了。可以说这三位为我们国家的网络安全工作做出了卓越贡献。
但是,时代的车轮滚滚向前,老革命遇到了新问题。边界防御的理念已经不可避免的走到了生命尽头。且不说各种渗透手段层出不穷,各种内部攻击此起彼伏,最具颠覆性的情况是,“边界”都没了,边界防御还怎么搞呢?以云计算网络而论,多应用混部、多租户混部、工作负载瞻之在前忽焉在后,容器镜像方生方死、方死方生。在云计算时代,就没有“边界”这种东西存在!
所以…哦对,还不能着急“所以”,老三样中我们讨论了两个半,还有半个(主机杀毒软件)是不是可以再抢救一下?答案是肯定的,这位同志老而弥坚,老骥伏枥,目前看还能继续革命,不过适合他的工作岗位已经大不如前了。大家知道端点防护的分化这件事吧。在过去,端点防护是统一的,无论是办公网还是数据中心,大家用的是一套东西。但是到了云计算时代,目前根据Gartner的定义,已经明确分为两个大品类,即端点防护平台(EPP)和云工作负载防护平台(CWPP)。在EPP上,杀毒目前看仍然不可或缺,但是在CWPP上,目前业界的共识就是,杀毒确实没啥用了(可以参看Gartner对CWPP的分析)。而基础设施建设和网络安全建设的重点目前都在云计算上,所以我们说,虽然主机杀毒这位老革命还可以继续战斗,但是基本告别了主战场。
麦克阿瑟说的好,老兵不死只是凋零。他们在自己的岗位上从未失败,奈何,岗位没了。
长江后浪继前浪的“新三样
凭吊完老前辈,我们看看在新的战场上是不是有新的英雄呢?答案当然也是肯定的,所谓江山代有才人出,长江后浪继前浪(注意,是继,不是拍,凭啥拍,不许拍!)。经过最近这几年的摸索,在云计算环境下,在零信任安全理念下,目前从理论到实践,我们基本上可以确认一个“新三样”出来——微隔离,漏扫,端点防护平台(EPP/CWPP)。
从大的安全框架讲,新三样基本放弃了边界防御,而是通过零信任的方式,对全部资产(硬的、软的、虚拟的、人、数据、业务)进行统一管理。
✅ 首先是微隔离,它可以解决基于身份的,网络主体之间的最小权限访问控制问题。这是第一道防线。只要做好微隔离,我们就可以把系统的暴露面下降90%以上,可以说是最具性价比的一种安全手段。
✅ 然后是漏洞扫描,它可以解决合规访问的风险管理问题。系统要工作就必须开放必要的服务供其他主体访问,而一旦这些服务上存在漏洞就有被利用的可能,这是微隔离无法解决的。所以需要通过漏洞扫描的方式进行及时的发现与处理。
✅ 然后是端点防护平台,它可以解决系统级的安全问题。如果一个访问成功地从业务线通过了微隔离的防御并且利用了0day躲开了漏洞扫描的阻击,这时候就该端点防护登场了,它可以通过进程守护、内存保护、沙盒诱捕,行为分析等多种手段进行防御。
大家可以看到,通过这“新三样”的配合,我们仍然可以在理论上建立起一个全覆盖的安全防御体系。当然这里不是说别的产品不重要,而是说这三个应该是起点,是最低配置。如果没有这三样东西,你的安全防御体系是不牢固的,你再买别的东西没有太大意义,有了这三样,你就有了一个基本盘,然后可以逐步优化、态势感知、主动防御等等。
最后再强调一下,我们认为,“老三样”不是完全没用了,只是说它们已经不能继续扮演网络安全基础组件的角色了,它们仍将继续在一些地方发挥作用。但是,当代网络安全的核心基础设施,属于微隔离… 和上面我们介绍过的另外两位同志,奥力给!
来源:freebuf.com 2020-08-04 16:05:07 by: 蔷薇灵动dynarose
请登录后发表评论
注册