智能运维技术专题|“零信任”下的防火墙策略管理
  • cici
  • 2022年04月20日 11:37
  • 0

1一个著名的勒索攻击案例

2018年,某大型半导体制造企业突然传出消息:其营运总部及相关园区电脑遭到勒索病毒——WannaCry大规模入侵,且病毒迅速蔓延至生产线,几小时内,该企业几个重要的生产基地全部停摆。仅3天,亏损额就超过了11亿,股价蒸发近78亿,损失惨重。这场事故将隐藏在现代制造业特点背后的网络安全隐患曝光在大众视野中。

[MD:Title]

 

勒索病毒攻击一般始于网络端口扫描,找到网络暴露端口的服务器,再利用漏洞进入目标服务器内部。而上述提到的WannaCry就是利用了Windows的SMB协议(文件共享)的漏洞进行传播的。病毒通过扫描445端口,发现漏洞之后,就能在电脑里执行任意代码,植入后门程序,然后再进行内网东西向传播。

究其原因,缺乏基于“零信任”架构的防火墙策略管理,使现如今国内一些仍然依赖人工方式进行防火墙策略管理的企业成为攻击的重灾区。

2“零信任”下的防火墙策略管理难题

“零信任”是Forrester分析师在2010年提出的一种安全概念,它的核心思想是默认不应该信任网络内部和外部的任何人/设备/系统,遵循关键的零信任原则,即对最小特权访问的每一步都需要策略检查。

当我们在执行“零信任”策略“是”的时候,无论是Gartner提出的“五步最佳实践”,还是NIST白皮书提出的“六项基础原则”,我们通常最优先需要考虑的,是以下两条:

消除攻击面以降低风险频率

使用细粒度策略的数据保护

基于以上两条原则,对防火墙运维团队的策略管理,采取“一劳永逸”的做法是不切实际的。随着业务需求的不断变化,应适时调整远程访问策略。例如:伴随新应用程序(或季节性应用程序)的部署,防火墙运维团队将需要添加新的访问策略;随着应用程序不断变化或业务负责人确定需要粒度更强或限制性更强的策略,访问策略也可能需要持续更新。防火墙运维团队要有这样的观念,即要始终不断改进和完善访问策略,适配组织当前的IT网络服务需求。

但在持续的策略更新过程中,策略表会越来越臃肿,运行效率也随之降低,另外,由于是人工添加修改策略,就存在一定的出错几率。如遇到重大保障任务和安全生产等需求时,防火墙运维团队更加需要防火墙策略梳理产品。

3nCompass防火墙策略可视化平台

智维数据发布nCompass防火墙策略可视化平台(以下简称NFM),通过7*24小时采集防火墙前后“全流量+配置”采集分析输出优化方案。与传统“日志+配置”采集分析相比,本产品优势如下:

1、精准度高

通过日志采集到的是已经经过过滤的数据,因此信息并不全面。而全流量采集到的数据是最原始、最全面的数据,因此在精准度方面要比日志采集高很多。

2、防火墙性能零损伤

开启日志非常影响防火墙性能,而NFM平台采用旁路部署的方式,利用“全流量+配置”进行采集分析,对防火墙性能没有任何干扰。

[MD:Title]

在前面我们讨论的防火墙策略“零信任”管理,提到了减少攻击面以降低风险,下面我们来看看NFM如何通过事前和事中来防范风险。

4NFM策略梳理风险的事前优化,减少攻击暴露面

NFM策略梳理包含以下功能场景:

宽泛策略收敛、无效策略删除、策略数量最小化

历史的宽泛策略收敛

已下线业务的相关策略回收

无效策略删除(重复、被包含、未命中、已停用)

误定义对象查找

[MD:Title]

NFM策略梳理场景:

NFM平台会根据策略真实的访问数据进行观察分析、调用,用1周或1个月的会话和连接流量表作为数据支撑,验证策略命中的详情。

[MD:Title] 【上图为demo数据演示】

流量表

在策略梳理界面,对重复、被包含、可合并、停用、冲突策略做出发现,并给出相关收敛建议。

[MD:Title] 【上图为demo数据演示】

发现可以合并的策略

自动发现过宽松的弱策略,这种现象是包括允许过多的IP地址、允许过多的服务端口、甚至直接是“any to any”类型的弱策略。这会增加攻击面的暴露,需要进行收敛。而NFM平台通过真实生产流量,业务数据配置表相结合的方式进行分析,即可发现用户真实使用的业务IP和端口,并给出收敛意见。

[MD:Title] 【上图为demo数据演示】

自动发现可收敛策略,并给出收敛建议

另一类策略收敛,是对已经下线但没有提交对应下线工单的业务,此时防火墙上没有进行删除。NFM会对比这些策略有无正确命中,命中的时候有无有效载荷payload数据,从而精准发现此类“无业务”的策略,便于运维人员及时处理。

[MD:Title] 【上图为demo数据演示】

没有正常业务交互,建议优化梳理

自动排查“误定义”策略对象,通过策略的六元组定义规则,和实际策略制定的地址簿名称、服务名称、策略名称等,发生明显的相悖,可自动发现并给予警告。

[MD:Title] 【上图为demo数据演示】

例如,如上图所示,地址名称定义的是172.25.14.4/32,但配置的IP并不包含这个地址,即会被“误定义”告警指出。

最后,NFM平台会根据防火墙当前梳理的结果,给出周报、月报等分析结果统计,对防火墙策略的问题做出总览。

[MD:Title] 【上图为demo数据演示】

5异常跨区访问统计,发现事中威胁

前文我们提到勒索软件在感染主机后,优先会进行内网的东西向传播,从而扩大其扩散面,发现并勒索其他重要服务器。

数据中心内部业务区之间的互访有防火墙隔离,如果存在被这些防火墙阻断的数据流,这些数据流很可能是非法的尝试。对异常跨区访问做统计分析,并提供所有异常的数据流。

[MD:Title] 【上图为demo数据演示】

从图中可以看到,防火墙deny会话突增,意味着违规事件的产生,从而可以追踪回溯异常源IP,于事中发现威胁。

同时,NFM内置了高危端口表和违规定义表,针对现网的所有防火墙,可以探查是否出现配置高危风险端口或者违规的规则。

[MD:Title] 【上图为demo数据演示】

[MD:Title] 【上图为demo数据演示】

如图,NFM可自动发现现网的高危端口。

以“零信任”架构的防火墙策略管理为准则,现在我们可以通过使用智维数据的防火墙策略可视化平台,对海量防火墙策略进行策略优化,消除隐患策略,加固防火墙策略漏洞,并自动发现高危端口,降低防火墙策略安全管控风险。

 

文章纠错

  • 好文点赞
  • 水文反对

此文章为快科技原创文章,快科技网站保留文章图片及文字内容版权,如需转载此文章请注明出处:快科技

观点发布 网站评论、账号管理说明
热门评论
查看全部评论
相关报道

最热文章排行查看排行详情

邮件订阅

评论0 | 点赞0| 分享0 | 收藏0