微隔离、漏扫、端点防护平台——网络安全新三样 – 作者:蔷薇灵动dynarose

“防火墙、入侵防御、病毒查杀（防毒墙，主机杀毒软件）”，这个网络安全老三样被大家所熟知，正如“老三样已经过时了”的观点为大家所熟知一样。那么问题来了，“老三样”为什么过时了？不用老三样，又应该用什么呢？

退居二线的“老三样”

首先，我们还是要给这三位老同志发个终生成就奖。如果你仔细分析就会发现，防火墙管了网络层，入侵防御管了应用层，防毒墙管了数据或者说内容，这三位在网关的位置一站，还真就把那个时代绝大多数的网络安全问题给解决了。投资又少、部署又简单、效果又明显，如果实在没钱，只买这三样，基本就可以认为是安全到位了。可以说这三位为我们国家的网络安全工作做出了卓越贡献。

 但是，时代的车轮滚滚向前，老革命遇到了新问题。边界防御的理念已经不可避免的走到了生命尽头。且不说各种渗透手段层出不穷，各种内部攻击此起彼伏，最具颠覆性的情况是，“边界”都没了，边界防御还怎么搞呢？以云计算网络而论，多应用混部、多租户混部、工作负载瞻之在前忽焉在后，容器镜像方生方死、方死方生。在云计算时代，就没有“边界”这种东西存在！

 所以…哦对，还不能着急“所以”，老三样中我们讨论了两个半，还有半个（主机杀毒软件）是不是可以再抢救一下？答案是肯定的，这位同志老而弥坚，老骥伏枥，目前看还能继续革命，不过适合他的工作岗位已经大不如前了。大家知道端点防护的分化这件事吧。在过去，端点防护是统一的，无论是办公网还是数据中心，大家用的是一套东西。但是到了云计算时代，目前根据Gartner的定义，已经明确分为两个大品类，即端点防护平台（EPP）和云工作负载防护平台（CWPP）。在EPP上，杀毒目前看仍然不可或缺，但是在CWPP上，目前业界的共识就是，杀毒确实没啥用了（可以参看Gartner对CWPP的分析）。而基础设施建设和网络安全建设的重点目前都在云计算上，所以我们说，虽然主机杀毒这位老革命还可以继续战斗，但是基本告别了主战场。

麦克阿瑟说的好，老兵不死只是凋零。他们在自己的岗位上从未失败，奈何，岗位没了。

长江后浪继前浪的“新三样

凭吊完老前辈，我们看看在新的战场上是不是有新的英雄呢？答案当然也是肯定的，所谓江山代有才人出，长江后浪继前浪（注意，是继，不是拍，凭啥拍，不许拍！）。经过最近这几年的摸索，在云计算环境下，在零信任安全理念下，目前从理论到实践，我们基本上可以确认一个“新三样”出来——微隔离，漏扫，端点防护平台（EPP/CWPP）。

 从大的安全框架讲，新三样基本放弃了边界防御，而是通过零信任的方式，对全部资产（硬的、软的、虚拟的、人、数据、业务）进行统一管理。

✅ 首先是微隔离，它可以解决基于身份的，网络主体之间的最小权限访问控制问题。这是第一道防线。只要做好微隔离，我们就可以把系统的暴露面下降90%以上，可以说是最具性价比的一种安全手段。

✅ 然后是漏洞扫描，它可以解决合规访问的风险管理问题。系统要工作就必须开放必要的服务供其他主体访问，而一旦这些服务上存在漏洞就有被利用的可能，这是微隔离无法解决的。所以需要通过漏洞扫描的方式进行及时的发现与处理。

✅ 然后是端点防护平台，它可以解决系统级的安全问题。如果一个访问成功地从业务线通过了微隔离的防御并且利用了0day躲开了漏洞扫描的阻击，这时候就该端点防护登场了，它可以通过进程守护、内存保护、沙盒诱捕，行为分析等多种手段进行防御。

大家可以看到，通过这“新三样”的配合，我们仍然可以在理论上建立起一个全覆盖的安全防御体系。当然这里不是说别的产品不重要，而是说这三个应该是起点，是最低配置。如果没有这三样东西，你的安全防御体系是不牢固的，你再买别的东西没有太大意义，有了这三样，你就有了一个基本盘，然后可以逐步优化、态势感知、主动防御等等。

 最后再强调一下，我们认为，“老三样”不是完全没用了，只是说它们已经不能继续扮演网络安全基础组件的角色了，它们仍将继续在一些地方发挥作用。但是，当代网络安全的核心基础设施，属于微隔离… 和上面我们介绍过的另外两位同志，奥力给！

来源：freebuf.com 2020-08-04 16:05:07 by: 蔷薇灵动dynarose