Stories

Detail Return Return

讀紅藍攻防:技術與策略25網絡安全下 - Stories Detail

1. 遠程訪問的網絡安全

1.1. 如果不考慮遠程訪問企業網絡的安全問題,那麼任何網絡分段規劃都是不完整的

1.2. 即使你的公司沒有在家辦公的員工,也有可能在某個時候會有員工出差,需要遠程訪問公司的資源

1.3. 不僅需要考慮你的分段計劃,還需要考慮可以評估遠程系統的網絡訪問控制系統

  • 1.3.1. 具有最新的補丁程序

  • 1.3.2. 已啓用反惡意軟件

  • 1.3.3. 啓用了個人防火牆

  • 1.3.4. 系統合規的安全策略

1.4. 如果用户試圖從一個被認為是惡意環境的地理位置連接,則應該限制網絡訪問

1.5. 使用的網絡訪問控制(Network Access Control,NAC)系統更為常見

  • 1.5.1. NAC不僅負責驗證遠程設備的當前運行狀況,還負責通過允許源設備只與位於企業內部的預定義資源進行通信來執行軟件級分段

  • 1.5.2. 增加了一個額外的分段和安全選項

  • 1.5.3. 通常是在你希望限制用户在遠程訪問系統時的訪問類型的情況下使用的

1.6. 對於遠程訪問用户來説,首選的方法之一是使用802.1X或兼容之

1.7. 雲服務的優勢在於,即使你不想在整個組織中實施MFA,仍然可以利用Azure中的有條件訪問功能將MFA的範圍限定為僅適用於VPN用户

1.8. 要有一個隔離網絡來隔離那些不符合訪問網絡資源的最低要求的計算機

  • 1.8.1. 該隔離網絡應該有修正服務,以掃描計算機並應用適當的補救措施,使該計算機能夠獲得對公司網絡的訪問

1.9. 站點到站點VPN

  • 1.9.1. 對於擁有遠程位置的組織來説,一種常見的情況是在公司主網絡和遠程網絡之間擁有安全的專用通信通道,這通常是通過站點到站點VPN來實現的

  • 1.9.2. 在規劃網絡分段時,你必須考慮此場景,以及這種連接會如何對你的網絡產生影響

  • 1.9.3. 每個分支機構在防火牆中都有一套規則,這意味着當站點到站點VPN連接建立後,遠程分支機構將無法訪問整個總部的主網絡,只能訪問部分網段

  • 1.9.4. 在規劃站點到站點VPN時,請確保使用“需要知道”原則,並且只允許訪問真正需要的內容

2. 虛擬網絡分段

2.1. 無論是物理網絡還是虛擬網絡,設計網絡時都必須嵌入安全性

2.2. 在規劃虛擬網絡分段時,必須首先訪問虛擬化平台以查看哪些功能可用

  • 2.2.1. 核心原則與平台無關

2.3. 虛擬交換機內存在隔離,換句話説,來自一個虛擬網絡的流量不會被另一個虛擬網絡看到

  • 2.3.1. 每個虛擬網絡都可以有自己的子網,虛擬網絡中的所有虛擬機都可以相互通信,但不會遍歷其他虛擬網絡

  • 2.3.2. 需要具有多個虛擬網絡適配器的路由器(它可以是啓用了路由服務的VM)​,每個虛擬網絡一個

2.4. 安全檢查

  • 2.4.1. 網絡數據包檢測

  • 2.4.2. 防火牆

  • 2.4.3. 網絡數據包過濾器

  • 2.4.4. 擴展的優勢在於,可以在將數據包傳輸到其他網絡之前對其進行檢查,這對你的整體網絡安全戰略非常有利

2.5. 源於一台虛擬機的流量可以穿越到物理網絡,併到達連接到公司網絡的另一台主機

  • 2.5.1. 務必始終認為,雖然流量在虛擬網絡中是隔離的,但如果定義了到其他網絡的網絡路由,數據包仍將被送到目的地

2.6. 虛擬交換機中啓用功能

  • 2.6.1. MAC地址欺騙:這可以防止從欺騙地址發出的惡意流量

  • 2.6.2. DHCP防護:這可以防止虛擬機充當或響應DHCP服務器

  • 2.6.3. 路由器防護:這可以防止虛擬機發布路由器廣告和重定向信息

  • 2.6.4. 端口ACL(訪問控制列表)​:這允許你根據MAC或IP地址配置特定的訪問控制列表

3. 零信任網絡

3.1. 零信任的整個理念是要駁斥存在“可信網絡”的舊思維

  • 3.1.1. 在過去,大多數網絡地圖都是通過使用邊界、內部網絡(也被稱為可信網絡)和外部網絡(也被稱為不可信網絡)創建

3.2. 零信任網絡的方法基本上意味着:所有的網絡,不管是內部還是外部,都是不值得信任的

  • 3.2.1. 所有的網絡從本質上講都可以被認為是一個充滿敵意的地方,攻擊者可能已經盤踞在其中

  • 3.2.2. 需要假設威脅是存在的,而不考慮其位置,並且用户的憑據可能會被泄露,這意味着攻擊者可能已經在你的網絡裏面了

  • 3.2.3. 零信任網絡更像是一種網絡安全的概念和方法,而不是一種技術

3.3. 零信任網絡比供應商出售的技術更廣泛

3.4. NIST SP-800-207是一個重要的文檔,它採用了一種廠商無關的方法,在規劃零信任網絡時,應該將它考慮在內

3.5. 實施零信任網絡的一種常見方式是利用設備和用户的信任聲明來獲得對公司數據的訪問

  • 3.5.1. 既然你不能信任任何網絡,那麼邊界本身就變得不像過去那麼重要了,身份就成了需要保護的主要邊界

3.6. 組件

  • 3.6.1. 身份提供者

  • 3.6.2. 設備目錄

  • 3.6.3. 條件策略

  • 3.6.4. 利用這些屬性來授予或拒絕對資源的訪問代理

3.7. 最大優點在於,當一個用户從某一地點和某一設備登錄時,可能無法訪問某一特定資源,而如果同一用户使用另一設備並從另一地點登錄時,就可以訪問

  • 3.7.1. 基於這些屬性的動態信任概念增強了基於訪問特定資源的環境的安全性

  • 3.7.2. 完全改變了傳統網絡架構中使用的固定安全層

3.8. 規劃採用零信任網絡

  • 3.8.1. 零信任網絡的實施通常需要幾個月的時間才能完全實現

  • 3.8.2. 問題

    • 3.8.2.1. 誰應該有權訪問定義的應用程序集?

    • 3.8.2.2. 這些用户將如何訪問此應用程序?

    • 3.8.2.3. 此應用程序如何與後端服務器通信?

    • 3.8.2.4. 這是雲原生應用程序嗎?

      3.8.2.4.1. 如果是,此應用程序如何進行身份驗證?

    • 3.8.2.5. 設備位置是否會影響數據訪問?

      3.8.2.5.1. 如果是,如何做到?

  • 3.8.3. 第一步是確定你的資產,如數據、應用程序、設備和服務

    • 3.8.3.1. 正是這些資產將幫助你定義事務流程,換句話説,確定這些資產將如何進行通信

    • 3.8.3.2. 當務之急是瞭解跨資產訪問背後的歷史,並建立定義這些資產之間的流量的新規則

  • 3.8.4. 明確驗證,這意味着你應該檢查訪問請求的所有相關方面,而不是假定請求是可信的

    • 3.8.4.1. 分析所有對象,包括身份、端點、網絡和資源,然後應用威脅情報(Threat Intelligence,TI)來評估每個訪問請求的背景

  • 3.8.5. 需要確定流量、條件以及最終確定信任的界限

  • 3.8.6. 定義將積極監測這些資產和通信的系統

    • 3.8.6.1. 目的不僅是為了審核,也是為了檢測

    • 3.8.6.2. 如果有惡意活動發生,你必須儘快意識到這一情況

  • 3.8.7. 在實施階段,你需要處理供應商的術語和採用零信任網絡模型的技術

    • 3.8.7.1. 每個供應商可能有不同的解決方案,當你有一個異構環境時,你需要確保不同的部分可以協同工作來實現這一模式

4. 混合雲網絡安全

4.1. 要與雲計算建立某種連接,第一步是實施混合雲

4.2. 站點到站點的VPN有額外的成本,需要額外的維護

  • 4.2.1. 另一個選擇是使用一個直接到雲的路由,如Azure ExpressRoute

4.3. 雲虛擬網絡將是你要管理的新事物

4.4. 建議列表可能會根據你在Azure、企業內部、AWS或GCP中的工作負載而有所不同

4.5. 無論你使用的是哪些雲服務提供商,對於混合場景進行某種形式的網絡安全評估都是非常重要的,在混合場景中,你必須將本地網絡與雲基礎設施集成

4.6. 雲網絡可見性

  • 4.6.1. 一個常見的安全錯誤是沒有正確規劃雲端網絡架構

    • 4.6.1.1. 用户開始配置新的虛擬機,只是給這些虛擬機分配地址,而沒有規劃分段,這樣往往讓計算機廣泛暴露在互聯網上

  • 4.6.2. Microsoft Defender for Cloud的一個功能,可以幫助暴露在互聯網上的虛擬機加固傳入的流量

    • 4.6.2.1. 自適應網絡加固功能利用機器學習來了解更多關於傳入流量的信息,隨着時間的推移(通常,模型需要兩週的時間來了解網絡流量模式)​,它將根據該學習週期向你建議一個控制訪問列表

    • 4.6.2.2. 自適應網絡加固(Adaptive Network Hardening)建議支持以下端口:22、3389、21、23、445、4333、3306、1433、1434、53、20、5985、5986、5432、139、66和1128

    • 4.6.2.3. 自適應網絡加固是面向虛擬機的互聯網網絡安全組規則的一部分

信息安全
user avatar vivotech Avatar
Favorites 1 users favorite the story!
Favorites

Add a new Comments

Some HTML is okay.