堡垒机想必大家都很熟悉,许多大型数据中心均使用堡垒机进行单点登录及安全审计,也有部分用户使用跳板机的方式实现了部分堡垒机的能力。
但是理想与现实是有差距的,事实上在已知攻击者已知IP的情况下,仍然可以绕过堡垒机,解决思路无非是访问控制——所有服务器的远程连接服务只允许堡垒机进行访问。
想要解决这一问题,最便捷的方法是使用微隔离。
之前不同于微隔离的解决方案主要包括:
解决方案一:防火墙。防火墙从诞生之日起就是为了解决访问控制问题的,目前用户最常用的方式是在办公区和生产区之间通过防火墙限制员工直接访问生产区服务器的远程连接服务。但这种方式并不能阻止同一区域内的横向平移。使用微隔离就可避免这种缺点。
解决方案二:多用几台防火墙。能想到纵深防御,安全就又进了一步。在数据中心中根据业务系统、重要级别划分多个安全域,用防火墙进行域间隔离,不仅可以限制堡垒机绕过后的行走范围,也同样减少了内部其他横向移动的范围。
例如某航空客户,其5000多台虚拟机、100多个业务系统,内部采用40多台防火墙进行隔离。这可能是基于现有技术能想到的最好方案,虽然每个区域内仍然有100多台可以横向移动,但40台防火墙每天调整80多条安全策略已经是安全部门能承担的上限了。
而且用过防火墙的都知道,时间一长几千上万条防火墙策略运维起来是很可怕的。多用几台防火墙解决堡垒机防绕过的缺点是什么:一、每个防火墙都需要配置至少一条安全策略,有任何变化调整起来也是累心。二、大型数据中心域内仍然存在较大可横移范围。但是微隔离就不会存在这种缺点。
还有一种技术是安全组,安全组主要是公有云厂家提供的一种能力,各家的实现逻辑也不尽相同。以阿里云为例,“同一安全组内的实例之间默认私网网络互通,不同安全组的实例之间默认私网不通。”当安全组内存在多台虚拟机时,类似于防火墙域间隔离的作用。但除此之外,安全组最大问题可能是很多私有云并不支持。微隔离就不用考虑这种问题。
解决方案三:主机防火墙
当每台虚拟机一个安全组时和主机防火墙就有些类似了,区别主要是一个控制点在外,一个控制点在内。主机防火墙的确能够将内部横向移动范围最小化,但缺点也很明确——太麻烦!50台虚拟机以下还能考虑,但在几百上千台虚拟机环境下,每一台通过iptables配置互相访问的策略根本无法想象。相比微隔离,就会便捷许多。
解决方案四:使用蔷薇灵动蜂巢自适应微隔离安全平台
微隔离,一条策略实现堡垒机防绕过。
微隔离第一步,产品管理界面搜索堡垒机,红色代表存在不合规访问。
蔷薇灵动微隔离第一步图
微隔离第二步,建立一条堡垒机全局策略集。
蔷薇灵动微隔离第二步图
微隔离第三步,设置策略范围。策略范围选择“所有、所有、所有”,表示这个策略集中所有策略的生效范围是所有的工作组。
蔷薇灵动微隔离第三步图
微隔离第四步,新增一条安全策略。指定服务者(被访问者)是所有角色,可被访问的服务是ssh服务,访问者是堡垒机。
蔷薇灵动微隔离第四步图
产品利用标签标识工作负载(指承载业务的主机),改变原防火墙基于IP的策略管理方式,即简化安全策略的配置过程,又大大减少了安全策略的总数。而且在后续运维中,如果增加了工作负载,产品可以自动将此条策略配置到新工作负载上,无需人工调整。
微隔离第五步,查看拓扑图,堡垒机访问其他主机ssh服务的连接变为绿色。若存在windows主机,还可在拓扑图快速添加安全策略。
蔷薇灵动微隔离第五步图
微隔离第六步,对策略进行发布,策略同步到工作负载并生效。
蔷薇灵动微隔离第六步图
