近期發(fā)生了多起重大的勒索軟件攻擊事件,事件導(dǎo)致醫(yī)院和多家機(jī)構(gòu)倒退回到極其低效的紙質(zhì)辦公時代。IT部門陷入困境,安全問題比以往任何時候都更加突出和復(fù)雜。上級管理部門對IT部門的指導(dǎo)要求可概括為:防患于未然,且不停機(jī)。
提示:如果您來這里是為了尋找“一鍵開啟/關(guān)閉網(wǎng)絡(luò)安全”的萬能按鈕,答案也許會讓您失望。假如那么輕松就能找到的話,我們應(yīng)該早已按下了那個按鈕。正因?yàn)椴缓唵危晕覀冊谶@里向您推薦一套方法論,以便您有效制定網(wǎng)絡(luò)安全策略。
微隔離并不是新概念,已經(jīng)在LAN和WLAN上應(yīng)用多年。然而,由于對所要保護(hù)的設(shè)備和應(yīng)用、功能以及可使兩者有效結(jié)合的架構(gòu)缺乏了解,導(dǎo)致其推出受阻。因此,微隔離實(shí)行計(jì)劃的難度等級往往被定為“太難”。
我們將在本文中介紹總體方法論。整套方法論分為5個不同的階段:
1監(jiān)控
制定合適的微隔離策略時,要提前收集有幫助的數(shù)據(jù)。開啟物聯(lián)網(wǎng)采樣分析以生成物聯(lián)網(wǎng)設(shè)備清單報告——這對第二階段至關(guān)重要。在網(wǎng)絡(luò)設(shè)備支持的前提下,開啟DPI(深度包檢測)功能并開始收集每種終端類型的應(yīng)用及其通信流量的數(shù)據(jù)——這將在第三階段用到。如果網(wǎng)絡(luò)設(shè)備不支持DPI,仍可以分別在LAN和WLAN上打開sFlow流量監(jiān)控功能和用戶行為分析功能。此外,還應(yīng)啟用防火墻、代理服務(wù)器和其他監(jiān)控工具上的監(jiān)控/日志記錄。
2驗(yàn)證
獲得物聯(lián)網(wǎng)設(shè)備清單后,現(xiàn)在需要:
1)確定業(yè)務(wù)關(guān)聯(lián)性;
2)評估安全能力;
3) 辨析通信流量;
4) 審核安全策略合規(guī)性;
5) 如有必要,制定補(bǔ)救計(jì)劃。
我們需要回答以下問題:
1)該設(shè)備是否有合法的業(yè)務(wù)需求?如果沒有,就去除,否則會增加不必要的攻擊面。
2)有哪些安全功能,是否支持基于證書的認(rèn)證、加密等?
3)需要與哪些其他設(shè)備和應(yīng)用通信?
4)是否符合密碼、固件更新和其他安全策略,如果不符合,為其制定補(bǔ)救計(jì)劃。
3計(jì)劃
根據(jù)前幾個階段收集的信息,我們現(xiàn)在可以開始設(shè)計(jì)安全隔離策略。對于不同的設(shè)備和用戶類型,可能要采取不同的策略。什么是正確的宏隔離策略?是VLAN、VPN、隧道嗎?所需的設(shè)備或用戶角色或配置文件是什么?每種設(shè)備類型所需的微隔離策略是什么?設(shè)備將如何通過網(wǎng)絡(luò)認(rèn)證?802.1x認(rèn)證?MAC認(rèn)證?還是將使用物聯(lián)網(wǎng)指紋分類來代替?是否需要防火墻安全聯(lián)動?
4模擬
在該階段,認(rèn)證和安全策略以“故障時自動觸發(fā)啟用”但僅“記錄”模式執(zhí)行。這意味著未通過認(rèn)證的設(shè)備仍將允許連接,突發(fā)通信流量仍將允許通過。認(rèn)證和策略事件將記錄一段時間,并進(jìn)行調(diào)整,直到?jīng)]有重大的失誤記錄。有了這些策略,即使在僅記錄模式下,流量監(jiān)控報告(第一階段)也會更有意義,因?yàn)楝F(xiàn)在我們可以按特定角色或配置文件過濾統(tǒng)計(jì)數(shù)據(jù)。
5執(zhí)行
一旦確定認(rèn)證和安全策略,我們最終可以將其切換為“安全隔離”模式——任何未經(jīng)認(rèn)證的設(shè)備或突發(fā)通信流量都將被阻止(或隔離)并記錄。
