微隔離,是新興的安全方法之一,企業可用來保護關鍵資產、用戶和數據不受外部黑客及惡意內部人的侵害。授權網絡中每個過程、App、用戶和服務,以及它們能做的事務和互動的方式,同時還要拒絕其他所有事件,幾乎無所不能。
因此,在描述優秀的微隔離技術產品時,廠商很難控制住自己不用“刀槍不入”這種形容詞,即便我們都清楚:壞人最終總能找到繞過安全方法的途徑。
微隔離最大的問題,在于其要求對受保護網絡的大量洞見和可見度,第4層(傳輸層)和第7層(應用層)都需要,而這幾乎是每家企業當前所欠缺的。且其本質就是極端限制性的,對用戶可做的事和做事的方式限制極嚴。除非有相對平滑的過程可按需授權網絡上的新過程或修改舊過程,否則微隔離可能會意外限制了合法用戶的工作。
GuardiCore Centra提供什么
GuardiCore Centra解決方案考慮到了這些因素,從初始安裝到正在進行的項目管理中,都去除了通常與微隔離相關的大多數復雜性。如果有需要的話,GuardiCore Centra 解決方案甚至可階段性安裝,作為第4層上健壯但等比縮小的無代理防護程序;或者,作為第7層防護套裝中,在所有資產上都部署有代理的全面微隔離解決方案安裝。
Centra還足夠靈活,可部署到幾乎任何設置中,包括企業內部、云環境,或者GuardiCore云上運行的軟件即服務(SaaS)。SaaS模式中,沒有任何專有信息會離開宿主網絡,只有元數據會。它甚至能在重軟件定義聯網的云端運營,隨時適應并跟蹤不斷變化的網絡拓撲。Centra的收費機制也設計得幾乎能適應任何環境,基本遵循按規模年度訂閱模式,每臺實體服務器2500美元起,每臺虛擬機250美元起。
訂閱用戶可獲得整個Centra套裝的訪問權,包括在第4層和第7層上操作的能力,一個發現及可見性組件,甚至用于捕獲流氓用戶和嘗試違反隔離規則App的動態陷阱工具。GuardICore Centra 已在云環境虛擬機上經過測試。
對網絡資產和活動的可見性
因為沒有可見性就沒有微隔離,GuardiCore Centra專注提供對網絡資產和活動的深入視圖。有兩種方式:首先,可部署虛擬收集器設備,收集流量和應用數據。這就能獲得對活動的大量洞見,包括各種應用正在使用的端口,而這些數據也可成為定義新策略的良好起點,作為分隔工作的一部分。
良好分隔安全的關鍵在于可見性,GuardiCore Centra 程序套裝,可提供查找和定義整個網絡上每個資產、服務、App和在用端口的最佳方法。
Centra還提供可視化圖表,讓所有這些交互更易于理解和跟蹤。Centra的這種使用方式可以產出良好的可見性,但并未包含真正的微隔離所需的全部極致細節。即便這種方式僅能在第4層上提供防護,這些數據也能被不愿或不習慣部署代理的公司企業所用。
來到第7層防護,Centra的真正力量就變得明顯了,它可以通過在每臺虛擬機、容器和裸機管理程序上部署代理,實現隨時激活功能。收集器爬取第4層流量所形成的網絡地圖可能繼續保持幾乎原樣,只是增加了更多細節——一旦代理部署到位并能看到基本上所有東西。該功能也經過了本次評估的測試。
設置微隔離及規則
一旦獲得可見性,管理員就可以開始設置分隔和微隔離了。第一步是弄出拒絕規則,而其中他們想首先著手的第一件事,恐怕是合規。每個行業基本都有某種形式的規矩或最佳實踐,業內人要么被建議,要么被強制這么做。這些規則往往沒那么具體,更多像是常識一類的東西,但仍然很重要。
一旦你開始創建微隔離策略,GuardiCore可告訴你每個App的運行情況,或掛起/停止情況——基于這些分隔策略。綠線表示現行微隔離策略下被允許的動作。
測試,拒絕規則創建這第一步里,實現的是支付卡行業數據安全標準(PCI DSS)。因為其中不涉及任何開放協議,一旦規則被激活,就會立即鎖定一些明顯的違規行為。主控制面板上可以很容易看出哪些用戶和App受到了影響。如果需要的話,就可以建立可選的允許規則,讓有需求的員工以可被授權和監控的安全方式完成自己的工作。
GuardiCore Centra套裝主儀表板上,一眼就能看到網絡中所有正在發生的合法事件,以及有哪些用戶或App嘗試違反現有規則。
拒絕規則就位后,實現允許規則就成了接下來的步驟。Centra在允許規則設立上依然表現良好,它可在協議級良好呈現網絡中正在發生的每一個過程。瀏覽App在網絡中的每一步及其與外部世界通聯的時間,授權并鎖定這些動作以便今后不會有變化,對Centra來說也是非常容易的。在界面中,Centra以綠線標出被微隔離特意允許的那些進程。
為測試分隔效果,某惡意程序被安裝到了合法服務器上。該程序嘗試使用其經授權“孿生兄弟”的同一條信道和端口,來初始化一個授權進程。即便在第4層監測,該動作可能也會被允許,但Centra提供的第7層可見性,讓該非常隱秘的攻擊無所遁形——即使它鏡像的是已授權進程的通路。為什么呢?因為新初始化的進程散列值與經授權的那個不同。Centra檢測到這種“分身”就可以采取恰當的動作,完全封鎖之,或者將之發給陷阱程序。規則違反報告也可以用開源協議綁定,并發送給任意聯網SIEM。
陷阱組件的引入,讓GuardiCore Centra提供的微隔離更加強大。不是簡單地封禁非法進程,Centra可將之重定向到動態陷阱組件,記錄下惡意程序或用戶的每一步動作,包括一系列截屏,讓審計工作變得非常簡單。陷阱網絡是狀態敏感的,如果合法服務器下線進行維護,試圖訪問之的用戶就不會被意外重定向到陷阱組件。
GuardiCore套裝的動態陷阱。違反策略的任何用戶都可被發往某個陷阱組件,所有動作和互動都會被記錄下來供分析審計。
即便有了GuardiCore Centra解決方案提供的超有用可見性和圖形化界面,在非常復雜的網絡上設置深度微隔離,依然有可能是個很長的過程。有沒有這套解決方案的區別在于,該程序本身并不會倍增這個時間框架。這東西極其用戶友好,鑒于其強大的功能,真的是個驚喜。用戶可能不到一天的培訓就能掌握。
GuardiCore Centra解決方案提供了一種非常高效的方式來實現強大的微隔離安全。其易用性、恰當的價格,還有物理或虛擬環境皆可用的特性,不過是對該令人印象深刻的安全工具集的錦上添花而已。
京公網安備 11010502049343號