堡壘機想必大家都很熟悉,許多大型數據中心均使用堡壘機進行單點登錄及安全審計,也有部分用戶使用跳板機的方式實現了部分堡壘機的能力。
但是理想與現實是有差距的,事實上在已知攻擊者已知IP的情況下,仍然可以繞過堡壘機,解決思路無非是訪問控制——所有服務器的遠程連接服務只允許堡壘機進行訪問。
想要解決這一問題,最便捷的方法是使用微隔離。
之前不同于微隔離的解決方案主要包括:
解決方案一:防火墻。防火墻從誕生之日起就是為了解決訪問控制問題的,目前用戶最常用的方式是在辦公區和生產區之間通過防火墻限制員工直接訪問生產區服務器的遠程連接服務。但這種方式并不能阻止同一區域內的橫向平移。使用微隔離就可避免這種缺點。
解決方案二:多用幾臺防火墻。能想到縱深防御,安全就又進了一步。在數據中心中根據業務系統、重要級別劃分多個安全域,用防火墻進行域間隔離,不僅可以限制堡壘機繞過后的行走范圍,也同樣減少了內部其他橫向移動的范圍。
例如某航空客戶,其5000多臺虛擬機、100多個業務系統,內部采用40多臺防火墻進行隔離。這可能是基于現有技術能想到的最好方案,雖然每個區域內仍然有100多臺可以橫向移動,但40臺防火墻每天調整80多條安全策略已經是安全部門能承擔的上限了。
而且用過防火墻的都知道,時間一長幾千上萬條防火墻策略運維起來是很可怕的。多用幾臺防火墻解決堡壘機防繞過的缺點是什么:一、每個防火墻都需要配置至少一條安全策略,有任何變化調整起來也是累心。二、大型數據中心域內仍然存在較大可橫移范圍。但是微隔離就不會存在這種缺點。
還有一種技術是安全組,安全組主要是公有云廠家提供的一種能力,各家的實現邏輯也不盡相同。以阿里云為例,“同一安全組內的實例之間默認私網網絡互通,不同安全組的實例之間默認私網不通。”當安全組內存在多臺虛擬機時,類似于防火墻域間隔離的作用。但除此之外,安全組最大問題可能是很多私有云并不支持。微隔離就不用考慮這種問題。
解決方案三:主機防火墻
當每臺虛擬機一個安全組時和主機防火墻就有些類似了,區別主要是一個控制點在外,一個控制點在內。主機防火墻的確能夠將內部橫向移動范圍最小化,但缺點也很明確——太麻煩!50臺虛擬機以下還能考慮,但在幾百上千臺虛擬機環境下,每一臺通過iptables配置互相訪問的策略根本無法想象。相比微隔離,就會便捷許多。
解決方案四:使用薔薇靈動蜂巢自適應微隔離安全平臺
微隔離,一條策略實現堡壘機防繞過。
微隔離第一步,產品管理界面搜索堡壘機,紅色代表存在不合規訪問。
薔薇靈動微隔離第一步圖
微隔離第二步,建立一條堡壘機全局策略集。
薔薇靈動微隔離第二步圖
微隔離第三步,設置策略范圍。策略范圍選擇“所有、所有、所有”,表示這個策略集中所有策略的生效范圍是所有的工作組。
薔薇靈動微隔離第三步圖
微隔離第四步,新增一條安全策略。指定服務者(被訪問者)是所有角色,可被訪問的服務是ssh服務,訪問者是堡壘機。
薔薇靈動微隔離第四步圖
產品利用標簽標識工作負載(指承載業務的主機),改變原防火墻基于IP的策略管理方式,即簡化安全策略的配置過程,又大大減少了安全策略的總數。而且在后續運維中,如果增加了工作負載,產品可以自動將此條策略配置到新工作負載上,無需人工調整。
微隔離第五步,查看拓撲圖,堡壘機訪問其他主機ssh服務的連接變為綠色。若存在windows主機,還可在拓撲圖快速添加安全策略。
薔薇靈動微隔離第五步圖
微隔離第六步,對策略進行發布,策略同步到工作負載并生效。
薔薇靈動微隔離第六步圖
