Ağ adres tabanlı güvenlik: Daha iyi denetimler nasıl uygulanır

Geleneksel ağ adresi tabanlı güvenlik denetimleri, bulut veya dahili ağlar için etkili değildir. Bu güvenlik sorunları hakkında ne yapmanız gerektiği aşağıda açıklanmıştır.

<a href = "https://tr3.cbsistatic.com/hub/i/r/2020/03/20/3c2d17b1-d22b-4547-9d57-92b677fbb85c/resize/770x/ac50cd10f8e24460ae4740ee3f043eff/istock-113806460460 hedef" = "_ boş" data-component = "modalEnlargeImage" data-headline = "

"data-credit =" Resim: monsitj, Getty Images / iStockphoto "rel =" noopener noreferrer nofollow ">Veri merkezinde sunucu rafları ile sunucu odası koridoru. İllüstrasyon

Resim: monsitj, Getty Images / iStockphoto

Ağ oluşturma zor bir alandır ve daha çok hibrit ağların veya iç ve dış alt ağların kombinasyonlarının kullanılmasıyla yapılır. Ağ adreslerine dayalı güvenlik denetimleri, kuruluşların korunmasında uzun ve seçkin bir başarı geçmişine sahiptir, ancak belirli sınırlamaları da yoktur.

Konsept, bulut güvenlik organizasyonu Edgewise Networks CEO'su Peter Smith, CTO ve ağ güvenliği politikası otomasyon sağlayıcısı Tufin ve güvenlik çözümleri sağlayıcısı Securonix'in Kıdemli Başkan Yardımcısı Nitin Agale'nin kurucu ortağı ile görüştüm.

GÖRMEK: Kubernetes güvenlik kılavuzu (ücretsiz PDF) (TechRepublic)

Scott Matteson: Ağ adresi tabanlı güvenlik denetimleriyle ilgili en son zorluklar nelerdir?

Peter Smith: Bulutta operatörler ağ üzerinde çok daha az kontrole sahiptir ve adresler kısa ömürlüdür, bu nedenle adres tabanlı güvenlik duvarı kurallarını yönetmek için çok karmaşıktır.

İç ağlar için, kuruluşlar giderek siber suçluların yanlamasına hareket etmelerine izin veren düz iç ağları benimsemektedir (ve yanal hareket şimdi siber saldırıların yüzde 70'inde yer alıyor Carbon Black'in Nisan 2019 tehdit raporuna göre)

Ağ adresleri modern ağlarda, özellikle bulut ve konteyner ortamlarında kısa ömürlüdür. Sonuç olarak, adrese dayalı politikaları güncel tutmak operasyonel olarak çok zordur. Ağa aşırı maruz kalma olasılığı yüksektir ve yasal iletişimin yanlışlıkla engellenme olasılığı da vardır – özellikle kilitli, en az ayrıcalıklı bir ortamda, bir bulutun veya veri merkezinin içinde.

Ağ adresi tabanlı güvenlik sistemleri neyin iletişim kurduğunu belirleyemediğinden, güvenlik sorunları da vardır, bu da kötü amaçlı yazılımların ve diğer saldırıların onaylanmış güvenlik duvarı kurallarına, yani "güvenli" adreslere geri dönmesini kolaylaştırır. Örneğin, bir adresin iletişim kurmasına izin verilirse, söz konusu ana bilgisayardaki herhangi bir yazılım, onaylanmış ilke (hatta kötü amaçlı yazılımlar) için sırtlama yapabilir.

GÖRMEK: Trend Micro VP bulut güvenliği, IoT riskleri ve fidye yazılımlarından bahsediyor (TechRepublic)

Harrison Reuven: Geleneksel ağ adresi tabanlı güvenlik denetimleri bulutta o kadar etkili değildir. Bir kuruluş sunucuları kullanmaktan ve (Hizmet Olarak Altyapı) (Hizmet Olarak Platform) PaaS ve (Hizmet Olarak Yazılım) SaaS gibi daha gelişmiş bulut hizmetlerine IaaS, IP adresleri kullanıcılardan soyutlanır. Örneğin, buluttaki bir depolama grubu belirli bir IP adresiyle ilişkili değildir. Bu tür bir hizmet için güvenlik ilkeleri yazmak üzere, kimlik ve erişim yönetimi politikası (IAM) güvenlik grubu veya güvenlik duvarı yerine.

Ayrıca, alt ağlara geleneksel güven ve VLAN İnternet yönlendirmesinin orijinal tasarımından kaynaklanan güvenlik bölgeleri ve segmentasyon için artık çok daha ince bir ayrıntıda segmentasyona izin veren modern yazılım tanımlı ağlarda gerekli değildir.

Nitin Agale: Geleneksel ağ kontrolleri, kötü aktörleri iç ağlardan uzak tutmak için tasarlanmıştır. Varsayım, verilerin dahili bir ağdaki (veri merkezi) bir sunucuda oturduğu şeklindeydi. Bulut dönüşümü ile artık durum böyle değil. Sonuç olarak, ağ denetimleri etkisizdir.

Verilerin sürekli olarak buluta taşınmasıyla, mobil cihazların ve güvenlik denetimlerinin de bir kayma görmesi gerekir. Kontroller, verilerin bulutta yer aldığı ve birden çok türde mobil cihaz kullanılarak her yerden erişilebileceği anlayışıyla tasarlanmalıdır.

Scott Matteson: Bu zorluklar neden var?

Peter Smith: Bu zorluklar vardır, çünkü adres tabanlı güvenlik sadece bir şeyin nasıl iletişim kurduğuna bakar, iletişimde olana değil, bir saldırı "güvenli" olarak kabul edilen ağ yollarını ve protokolleri kullandığı sürece herhangi bir engel olmadan yanal olarak hareket edebilir.

Mikro-segmentasyon ve sıfır güven için en yaygın üç ağ adresi tabanlı yaklaşımla ilişkili özel zorluklar şunlardır:

NGFW (Yeni Nesil Güvenlik Duvarı): Bu modelde BT, dahili ağları segmentlere ayırmak için katman 7 tabanlı ağ çevre güvenlik duvarı cihazlarını yeniden kullanır. Katman 3 ve 4 güvenlik duvarlarından daha fazla koruma sunmasını sağlayan derin paket denetimi sağlar, ancak özellikle farklı coğrafyaları kapsamak için ölçeklendirme yeteneği gerektiğinde yazılım tabanlı alternatiflerden önemli ölçüde daha pahalıdır. Ayrıca, bir protokol içindeki bir protokolün incelenmesi, hangi yazılımın gerçekten iletişim kurduğunu asla kesin olarak söyleyemez.

NGFW'ler kapsayıcı iş yüklerini korumada daha az etkilidir, çünkü ağ oluşturma aygıt bağlamında yaşar ve bir cihaz olarak NGFW bunu yapmaz. Ayrıca sanal cihaz form faktörü nedeniyle buluttaki, özellikle AWS'deki doğu-batı trafiğini kontrol etmek için kullanımı zordur.

SDN (Yazılım tanımlı ağlar): Yazılım tanımlı ağlarda, güvenlik duvarı ağ yapısı içerisine dahil edilir ve ana bilgisayar tabanlı güvenlik duvarları ve benzer çözümlerle kullanılamayan katman 2 izolasyonu sağlayarak belirgin bir avantaj sağlar. Ayrıca, ana bilgisayar tabanlı güvenlik duvarlarına göre atlamak daha zordur, çünkü ana bilgisayar düzeyinde kapatamazsınız. Ancak, SDN'ler genel katman 3 ve 4 güvenlik duvarının ötesinde koruma sağlamak için önemli ölçüde daha büyük bir yatırım gerektirir ve bu da toplam sahip olma maliyetini artırır. Ayrıca, konteynerlere veya çıplak metal bulut uygulamalarına karşı koruma sağlayamaz.

Ana Bilgisayar Tabanlı Güvenlik Duvarı Düzenlemesi: Maliyet tasarrufu büyük bir avantajdır, çünkü işletim sistemine entegre edilmiştir, yaygındır ve cihazlar arasında dahili iletişim de dahil olmak üzere geniş koruma sağlar. Bulutta da kullanışlıdır, çünkü bir cihaz form faktörü için mevcut olmayan yazılımı dağıtmak için iyi yapılandırılmış araçlar vardır.

GÖRMEK: Güvenlik uzmanlarının kendi verilerini korumak için yaptıkları 4 temel şey (TechRepublic)

Ne yazık ki, ana bilgisayar tabanlı güvenlik duvarı düzenlemesi yalnızca katman 3 ve 4 kontrolü sunar; katman 7 yeteneklerinin hiçbiri NGFW ile bulamazsınız. Bununla birlikte, en büyük dezavantaj, saldırganların onaylanmış ana bilgisayar güvenlik duvarı kurallarına uymalarını sağlamasıdır.

Scott Matteson: Şirketler neden ayrı bölümlere ayrılmış ağların koruyucu özelliklerinden ödün vererek düz iç ağlara taşınıyor?

Peter Smith: Düz bir ağın korunması operasyonel olarak üstlenmesi pahalı ve yönetimi ve bakımı oldukça karmaşık olan bölümlere ayrılmış bir ağdan daha basittir. Düz ağlar yöneticiler için kullanım kolaylığı sağlar, çünkü trafiği giriş ve çıkış kontrol etmek daha kolaydır (ağ trafiği için tek giriş ve çıkış noktası) ve tüm uygulamalar ağdaki diğer herhangi bir uygulama veya veri deposuyla daha kolay iletişim kurabilir .

Ne yazık ki, bu yöntem aynı zamanda uygulamalar arasında daha fazla ve gereksiz sayıda kullanılabilir yollara izin vererek saldırı yüzeyini arttırır ve her biri sızıntı yapanların ağ içinde yanal olarak hareket etmeleri için bir yol sunar. Ve bir saldırgan ortamın içinde bir yer edindiğinde, tüm ağı tehlikeye atmak için yanlamasına hareket etmelerini engelleyecek çok az şey vardır.

Scott Matteson: Yanal hareket nedir?

Peter Smith: Kuzey-güney hareketi, şebekenin dış sınırı boyunca seyahat eden trafiği ifade eder. Yanal veya doğu-batı hareketi, bir ağ ortamı içindeki iletişimi açıklar.

Tehditlerin yanal hareketi şüphesiz kuruluşların bu yıl karşı karşıya kalacağı en büyük siber güvenlik riskidir.

Scott Matteson: Burada daha iyi seçenekler nelerdir?

Peter Smith: Alternatif (ve daha iyi) seçenek, sıfır güven güvenliği olarak da bilinen koruma için yazılım ve makine kimliği tabanlı bir yaklaşım kullanmaktır. Kimlikler, her bir iş yükü için, ikili bir SHA-256 karması veya BIOS'un UUID kodu gibi birden çok özellikten oluşan değişmez, kriptografik parmak izine dayanarak oluşturulur. Bu şekilde iletişime izin verilir, ancak yazılım ve cihazların kimliği doğrulandıktan sonra tüm yetkisiz trafiği engeller.

Kuruluşlar ayrıca güvenlik politikalarını aygıtların, ana bilgisayarların ve iş yüklerinin kimliğine dayandırmalıdır. Bu kimlikler, bir ikiliğin SHA-256 şifreleme karması, bios'un evrensel olarak benzersiz tanımlayıcısı (UUID) veya işlemcilerin seri numaraları gibi her iş yükünün değişmez, benzersiz ve içsel özellikleri kullanılarak oluşturulabilir.

Harrison Reuven: Güvenlik politikalarınızdaki kaynakları ve hedefleri belirtmek için IP adresleri yerine etiketler, etiketler, güvenlik grupları, FQDN'ler ve URL'ler gibi kimlikler kullanın. Buluta özgü güvenlik denetimlerini kullanın ve sizin için uygulamak üzere bulut sağlayıcılarına güvenin. Veriler bulut sağlayıcısına güvenemeyecek kadar hassas olduğunda kendi şifreleme güvenliğinizi ekleyin

Nitin Agale: Sınırda veya SDN içinde güvenlik için verilerin analizi ve işlenmesi, kurumsal güvenliği ve maliyetleri optimize etmek için çok önemlidir. Daha gerçek zamanlı veri analizi sağlar, hızlı yanıt eylemleri sağlar ve ağlarda toplu veri hacmini taşımaktan kaçınarak maliyeti optimize eder.

Scott Matteson: Kimlik tabanlı güvenlik denetimlerinin avantajları nelerdir?

Peter Smith: Her birinin üstündeki üç yaklaşımın güçlü ve zayıf yanları olsa da, hepsinin ölümcül bir kusuru vardır: her biri politikaları oluşturmak ve uygulamak için ağ adreslerine bağlıdır. Sonuç olarak, iyi yazılımları izin verilen erişim denetimi üzerinden iletişim kuran kötü amaçlı yazılımlardan ayıramazlar.

GÖRMEK: 2G ve 3G ağlarındaki güvenlik açıkları önümüzdeki birkaç yıl için risk oluşturacak (TechRepublic)

Kimlik tabanlı kontroller, herhangi bir segmenti, maksimum 7 politika ile korumak için, diğer modellerde sıklıkla ihtiyaç duyulan binlerle karşılaştırıldığında, ağ performansını ciddi şekilde etkileyebilecek değişmez, şifreleme kimlikleri kullanır. Yalnızca onaylı yazılımların iletişim kurmasına izin verdiği için (sahte veya değiştirilmiş uygulamalar orijinal ikili ile aynı kimliğe sahip olmayacaktır), bindirme engellenir ve yalnızca doğrulanmış makinelerden ve yazılımdan onaylanmış iletişimlere izin verilir. Diğer her şey varsayılan olarak engellenir. Bu nedenle, yetkisiz bir komut dosyası veya başka bir saldırgan bir yer kazanırsa, hasar vermek için yanlamasına hareket edemezler.

Kimlik tabanlı ilkeler taşınabilirdir çünkü ağ düzeyinde değil, iş yükü düzeyinde uygulanırlar. Sonuç olarak, işyükleri, tesislerde, genel bulutta ve hatta kaplarda nerede çalıştıklarına bakılmaksızın korunur.

Kimlik, tipik güvenlik komut dosyasını tersine çevirir, çünkü kimlik tabanlı sıfır güven, neyin kötü olduğunu ayıklamak yerine bilinen, onaylanmış yazılım ve aygıtların olumlu tanımlanmasına odaklanır. "İyi" olarak tanımlanmayan tüm trafik varsayılan olarak reddedilir.

Scott Matteson: Güvenlik politikalarının nasıl çalışacağına dair bazı öznel örnekler nelerdir?

Peter Smith: Kolaylık ve yönetim uğruna, ideal olarak, mümkün olduğu kadar az politika olacaktır ve sıfır güveye kimlik tabanlı bir yaklaşım bunu mümkün kılar. Sonsuz sayıda tehdidi takip etmek ve bunlara sekmelerde tutmak için politikalar oluşturmak yerine, çok daha basit ve daha yönetilebilir bir yaklaşım, iletişim kurmasına izin verilenler için – çok daha küçük bir sayı – aslında en azından- ayrıcalık ortamı. Diğer tüm trafiklerin güvensiz veya yetkisiz olduğu düşünülür ve bu nedenle engellenir.

GÖRMEK: Küçük bulut yapılandırma hataları büyük güvenlik riskleri oluşturabilir (TechRepublic)

Scott Matteson: Bunun uygulanması ve bakımı ne kadar kolaydır?

Peter Smith: Çevremizde mikrobölgeleme uygulamak ve sıfır güven yaratmak kolaydır. Sistemin yeniden başlatılmasını bile gerektirmeyen hafif bir ajan yüklenir. 72 saat içinde, makine öğrenme sistemi bir uygulama topolojisi haritası oluşturur ve saldırı yüzeyini azaltmak için gereksiz yolları ortadan kaldırır ve genellikle% 90'lık bir azalmaya neden olur. Politikalar otomatik olarak oluşturulduktan sonra, operatörler tüm ağı tek bir tıklamayla mikro bölümlere ayırabilir ve bu da tipik mikrosegmentasyon dağıtım sürelerini aylardan dakikalara düşürür ve yine uygulama maliyetini büyük ölçüde azaltır.

Bir kez konuşlandırıldığında, çözüm asgari düzeyde dikkat gerektirir. Politikalar, uygulama yükseltmeleri ve otomatik ölçeklendirme gibi normal ağ değişikliklerine uyum sağlayabilir.

Vonage, küresel teknik operasyon başkanı Steve Strout, "Şimdi ayda sadece bir veya iki kez baktığım bir noktadayız." Dedi.

Ayrıca bakınız

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*