關(guān)于網(wǎng)絡(luò)安全域隔離問題的研究與思考-服務(wù)器運(yùn)維

2020-05-08 17:32 作者：艾銻無限 瀏覽量：

關(guān)于網(wǎng)絡(luò)安全域隔離問題的研究與思考-服務(wù)器運(yùn)維

從歷史發(fā)展的角度看，安全域隔離一直是傳統(tǒng)安全領(lǐng)域廣泛采用的防御手段，比如起建于春秋戰(zhàn)國期間的邊塞長城一直延續(xù)至明末都在發(fā)揮巨大作用，堅城巨塞外圍都會建設(shè)起高高城墻、寬寬的護(hù)城河等等，無論長城還是城墻，它們的目的都是為了形成關(guān)里關(guān)外、城里城外兩個安全域，以便于實施統(tǒng)一的防護(hù)策略，也是為了方便同一安全域內(nèi)的實體能夠相對比較容易溝通及聯(lián)系。

在企業(yè)網(wǎng)絡(luò)安全防護(hù)方面，網(wǎng)絡(luò)安全域隔離也是網(wǎng)絡(luò)安全防御最重要、最基礎(chǔ)的手段之一，也是企業(yè)數(shù)據(jù)中心、信息系統(tǒng)建設(shè)最先需要考慮的基礎(chǔ)性問題。但是在企業(yè)網(wǎng)絡(luò)安全建設(shè)過程中，網(wǎng)絡(luò)安全域隔離的有效落實卻面臨各種各樣的問題，本文就是筆者對此問題的一些思考，記錄下來以供各位讀者參考。

一、什么是網(wǎng)絡(luò)安全域
網(wǎng)絡(luò)安全域就是一組安全等級相同、業(yè)務(wù)類型/功能相似的計算機(jī)、服務(wù)器、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)等構(gòu)成的系統(tǒng)**，具體表現(xiàn)在網(wǎng)絡(luò)中可能是一個IP網(wǎng)段(一個C段、一個B段)或幾個網(wǎng)段**，或者是一個VLAN或幾個VLAN**，或者是連接一個防火墻接口下的整個網(wǎng)絡(luò)區(qū)域，或者是機(jī)房里的一個機(jī)柜或幾個機(jī)柜等。上面的解釋其實還是比較抽象，舉幾個例子，比如存儲****的數(shù)據(jù)庫服務(wù)器與供客戶訪問的Web服務(wù)器顯然就不是一個安全等級，測試環(huán)境的服務(wù)器與正式提供服務(wù)的生產(chǎn)服務(wù)器顯然也不是一個安全等級，因此，要對他們進(jìn)行安全域劃分?？偟膩碚f，一個安全域其實就是一個信任域，在符合監(jiān)管要求的情況下你可以把一些你認(rèn)為可以相互信任的計算機(jī)、設(shè)備放置在一個安全信任域當(dāng)中，在信任域內(nèi)部實施較松的安全策略，而信任域邊界實施較為嚴(yán)格監(jiān)控、訪問控制等。每個信任域內(nèi)服務(wù)器的多寡取決于單位信息系統(tǒng)建設(shè)、信息安全意識等多方面因素的制約。

從網(wǎng)絡(luò)攻擊者的角度來說，有一種典型的攻擊方式叫橫向滲透攻擊，其含義是攻擊者拿下了內(nèi)網(wǎng)的某一臺主機(jī)，為了擴(kuò)大戰(zhàn)果，往往會對該主機(jī)所在的C類地址段進(jìn)行掃描，因為在企業(yè)內(nèi)部一般同一個C類地址段不會有進(jìn)一步的網(wǎng)絡(luò)隔離劃分。此時，這是一個C類段處于風(fēng)險之中，那么如果我們沒有進(jìn)行網(wǎng)絡(luò)安全域隔離，那么，整個數(shù)據(jù)中心都有可能處于攻擊者的直接打擊范圍。基于這后一點，我們明白了，網(wǎng)絡(luò)安全域隔離其實就是將整個網(wǎng)絡(luò)劃分為一個一個比較小的安全信任域，要不然整個網(wǎng)絡(luò)處于一張平面，攻擊者拿下一個地址之后，可以對整個網(wǎng)絡(luò)進(jìn)行掃描探測發(fā)現(xiàn)。

二、網(wǎng)絡(luò)安全域隔離有什么好處
據(jù)筆者看來有四點：一是可以將壞東西、壞人隔離在一個小區(qū)域，以減小破壞程度。二是可以將壞東西、壞人集中在隔離邊界對其進(jìn)行集中清除消滅。三是可以讓好東西、好人隔離在一個相對安全的區(qū)域，免受其他壞東西、壞人的侵害。四是可以在隔離邊界部署安全設(shè)施，以對好東西、好人加強(qiáng)保護(hù)，對壞東西、壞人進(jìn)行阻斷攔截。

三、網(wǎng)絡(luò)安全域該怎么規(guī)劃設(shè)計
從不同的站位視度、不同觀察粒度來看，企業(yè)的網(wǎng)絡(luò)安全域劃分可以有不同分法。從企業(yè)外部看，安全域可以分為內(nèi)網(wǎng)和外網(wǎng)，在此時，企業(yè)內(nèi)部的所有辦公計算機(jī)、服務(wù)器、路由器、交換機(jī)等都屬于我們要保護(hù)的信息資產(chǎn)。因此，內(nèi)、外網(wǎng)邊界就是我們實施統(tǒng)一安全策略、部署防御設(shè)施的“主陣地”，比如部署邊界防火墻、入侵檢測、上網(wǎng)行為管理等。

下面我們移步進(jìn)入企業(yè)內(nèi)部，站在企業(yè)內(nèi)部泛泛的看，一般會將企業(yè)劃分為辦公網(wǎng)PC終端安全域和數(shù)據(jù)中心安全域，在此時，企業(yè)內(nèi)部的辦公網(wǎng)區(qū)域、數(shù)據(jù)中心區(qū)域又是屬于不同的安全等級。
如果我們再進(jìn)一步稍微細(xì)致的審視一下，其實各安全域內(nèi)部也是分為子安全域的，內(nèi)部的安全域劃分就是八仙過海、各顯神通了。比如，在《GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》中，將企業(yè)內(nèi)部網(wǎng)絡(luò)按照不同的等級保護(hù)級別進(jìn)行安全域劃分，不同級別安全域之間采用安全互聯(lián)部件進(jìn)行數(shù)據(jù)交互。
在趙彥老師的《互聯(lián)網(wǎng)企業(yè)安全高級指南》一書中，作者著重講了辦公網(wǎng)的安全域劃分問題。辦公網(wǎng)安全域被劃分為OA服務(wù)器域、事業(yè)部A桌面域、事業(yè)部B桌面域等，事業(yè)部桌面域又劃分為高度PC用戶、中度PC用戶、輕度PC用戶等。這副設(shè)計圖應(yīng)該屬于趙彥老師早期的設(shè)計圖，不知道最近的思路有沒有變化?在圖中OA服務(wù)器域，我們看到了持續(xù)集成代碼托管和測試環(huán)境，依筆者的觀點，此類服務(wù)器應(yīng)該歸屬于數(shù)據(jù)中心安全域。
 
其實最早筆者認(rèn)為OA服務(wù)器域應(yīng)該劃歸數(shù)據(jù)中心內(nèi)的安全域，后來參看了趙彥老師的《初探下一代網(wǎng)絡(luò)隔離與訪問控制》(美團(tuán)技術(shù)團(tuán)隊文章)，好幾副圖的劃分方法都是把OA服務(wù)器域劃歸辦公網(wǎng)，如下圖。在這篇文章中趙彥老師分享了好幾種典型的區(qū)域隔離劃分方案，有興趣的讀者可以去參看一下。 另外，劉焱老師的《基于開源軟件打造企業(yè)網(wǎng)絡(luò)安全》一書中，OA服務(wù)器是被劃分為獨立的安全域，但此時應(yīng)該屬于數(shù)據(jù)中心安全域內(nèi)。
數(shù)據(jù)中心安全域又劃分為生產(chǎn)網(wǎng)、開發(fā)測試網(wǎng)等不同的網(wǎng)絡(luò)安全域，生產(chǎn)網(wǎng)安全域又會分為集團(tuán)安全域、子分公司安全域等。集團(tuán)安全域又劃分為生產(chǎn)網(wǎng)內(nèi)網(wǎng)區(qū)和生產(chǎn)網(wǎng)DMZ區(qū)，生產(chǎn)內(nèi)網(wǎng)安全域又會根據(jù)業(yè)務(wù)類型不同分為普通業(yè)務(wù)安全、核心業(yè)務(wù)安全域、數(shù)據(jù)倉庫安全域、KMS安全域等。


以上一般都是按照功能進(jìn)行的安全域劃分，在實際場景中，還會存在其他方式的安全域劃分方法，比如，從縱深防御的角度看，一般系統(tǒng)分為DMZ區(qū)(Web服務(wù)區(qū))、外聯(lián)區(qū)、APP區(qū)，DB區(qū)等。如下圖所示。這里面的DMZ區(qū)、外聯(lián)區(qū)、APP區(qū)、DB區(qū)就是一個一個的網(wǎng)絡(luò)安全域。 對于集團(tuán)化的公司，各子公司都會逐漸明確自己的業(yè)務(wù)邊界和戰(zhàn)略中心，假如由集團(tuán)統(tǒng)一提供IT基礎(chǔ)設(shè)施服務(wù)，但是各子公司的業(yè)務(wù)可能面臨的監(jiān)管要求完全不同，比如按照金融監(jiān)管的要求去管理社區(qū)服務(wù)系統(tǒng)，或者按照社區(qū)服務(wù)系統(tǒng)的要求去管金融業(yè)務(wù)，都會面臨或嚴(yán)、或松的壓力。因此，集團(tuán)化的數(shù)據(jù)中心要對子公司進(jìn)行隔離劃分，明確劃分各子公司在數(shù)據(jù)中心中的訪問邊界。按子公司職能、業(yè)務(wù)特點等，劃分安全信任域，建立清晰責(zé)任邊界、安全邊界、信任邊界。

四、傳統(tǒng)網(wǎng)絡(luò)安全域隔離方式
說了這么多網(wǎng)絡(luò)安全域隔離的問題，那么具體怎么實現(xiàn)呢?有什么方式呢?以筆者的經(jīng)驗主要有物理隔離、邏輯隔離(防火墻隔離、VLAN隔離等)。
(一)物理隔離。這里面又分為幾種：

• 強(qiáng)物理隔離。從字面上看，這是一種非常容易理解的網(wǎng)絡(luò)隔離方式，兩個網(wǎng)絡(luò)安全域從網(wǎng)絡(luò)線路、網(wǎng)絡(luò)設(shè)備、系統(tǒng)主機(jī)等硬件系統(tǒng)層面都是單獨部署一套，兩者之間嚴(yán)禁各種網(wǎng)絡(luò)連接。這個在當(dāng)前大環(huán)境下，估計只有JD、GA、ZF等核心敏感部門或核心工業(yè)控制系統(tǒng)才會這么做，此種隔離方式不光建設(shè)成本比較高，后續(xù)的運(yùn)維、信息共享都會存在較大的人力成本和時間成本。所以，一般企業(yè)都不可能采用這種方式了，特別是在互聯(lián)網(wǎng)、移動互聯(lián)的大背景下，凡是需要為客戶提供在線服務(wù)的就更難實現(xiàn)完全的強(qiáng)物理隔離了。
•  
• 弱物理隔離。絕大部分傳統(tǒng)金融企業(yè)應(yīng)該都是屬于這種模式。網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)根據(jù)需要一般是每個網(wǎng)絡(luò)安全域一套，但是，安全域之間一般可以通過網(wǎng)閘、單向數(shù)據(jù)傳輸設(shè)備建立了特定的安全傳輸通道。

(二)邏輯隔離。邏輯隔離相對于物理隔離，主要區(qū)別是各個網(wǎng)絡(luò)安全域之間是有鏈路連接的，只是在協(xié)議上、路由上進(jìn)行邏輯阻斷，讓兩者不能直接相通。但是，如果兩者之間想互通，直接在交換節(jié)點、路由節(jié)點、網(wǎng)關(guān)節(jié)點等上進(jìn)行配置即可，不用再單獨拉物理線路或者部署網(wǎng)閘等設(shè)備。細(xì)細(xì)想來，常用的邏輯隔離方式只有防火墻隔離和VLAN隔離兩種，VXLAN是VLAN劃分在云環(huán)境下的一個變種實現(xiàn)。

五、網(wǎng)絡(luò)安全域之間如何進(jìn)行訪問控制

網(wǎng)絡(luò)隔離形成安全域只是為了提高企業(yè)的安全等級，但是，不管管理需要還是業(yè)務(wù)需要，最終安全域之間還是需要或多或少的進(jìn)行通信，否則整個企業(yè)信息系統(tǒng)就沒有存在的必要了。那么，安全域之間通信應(yīng)該通過什么方式進(jìn)行隔離呢?以筆者的經(jīng)驗，目前，網(wǎng)絡(luò)隔離后的通信方式主要網(wǎng)絡(luò)訪問控制策略(ACL)、接入網(wǎng)關(guān)、正反向代理、堡壘機(jī)等。其中：

ACL是防火墻或三層交換機(jī)上實現(xiàn)的，是一種基于IP地址的控制策略，在企業(yè)內(nèi)部，網(wǎng)管人員可能為了方便進(jìn)行管理，往往還會采用IP地址段的形式開通訪問控制列表，因此，這種控制粒度較粗，而且對于應(yīng)用層的訪問缺乏控制。

接入網(wǎng)關(guān)、正反向代理是可以實現(xiàn)應(yīng)用層一級訪問控制，還可以在其上增加更多的訪問控制策略等模塊。

堡壘機(jī)是為遠(yuǎn)程運(yùn)維提供的一種訪問控制辦法，可以登錄控制、操作攔截、操作審計等功能。

六、虛擬化/云計算環(huán)境下的網(wǎng)絡(luò)安全域隔離
一個服務(wù)或應(yīng)用占用一臺物理機(jī)的時代已經(jīng)逐漸成為歷史，虛擬化/云計算已經(jīng)是目前廣泛應(yīng)用的數(shù)據(jù)中心交付模式。然而，在虛擬化/云計算環(huán)境下，有沒有必要進(jìn)行網(wǎng)絡(luò)安全域隔離?如何進(jìn)行網(wǎng)絡(luò)安全域隔離
呢?筆者翻閱了阿里云、華為云等云計算公司發(fā)布的白皮書，網(wǎng)絡(luò)安全域隔離仍然是其網(wǎng)絡(luò)安全架構(gòu)的基本實現(xiàn)方式之一。以阿里云的白皮書為例： 上面這一段話，我們看到了阿里云基礎(chǔ)平臺怎么實現(xiàn)網(wǎng)絡(luò)安全域隔離的，首先，阿里云分為生產(chǎn)網(wǎng)和非生產(chǎn)網(wǎng)，其次，阿里云分為對外提供服務(wù)的云服務(wù)網(wǎng)絡(luò)和支撐云服務(wù)的物理網(wǎng)絡(luò)，最后，我們還看到了阿里云辦公網(wǎng)與生產(chǎn)網(wǎng)絡(luò)的隔離。以上說的，以筆者的理解，應(yīng)該是云平臺提供者所做的網(wǎng)絡(luò)區(qū)域隔離。

那么對于云租戶之間是怎么實現(xiàn)安全域隔離呢?目前云廠商普遍提供的方式是VPC的方式實現(xiàn)。VPC即virtual private cloud，也就常說的虛擬局域網(wǎng)，VPC實現(xiàn)了不同租戶間網(wǎng)絡(luò)隔離，由于VPC 使用了隧道封裝技術(shù)，保證了不同 VPC 間，網(wǎng)絡(luò)流量完全不可見，而 VPC 內(nèi)部網(wǎng)絡(luò)流量則直接到達(dá)目的機(jī)器，從而確保了無論 VPC 內(nèi)，還是 VPC 間，用戶流量都能夠得到安全性保障。其實根據(jù)企業(yè)的IT規(guī)劃，如果數(shù)據(jù)中心云平臺只是為了提供自己企業(yè)內(nèi)部服務(wù)，VPC也可以實現(xiàn)企業(yè)內(nèi)部各種網(wǎng)絡(luò)安全域的劃分，比如我們可以把DMZ劃為一個VPC，把數(shù)據(jù)庫劃為一個安全域，把辦公服務(wù)器劃為一個VPC。一般情況下，每個VPC都需要指定 1 個網(wǎng)段，網(wǎng)段范圍如下：

• 10.0.0.0/8 (10.0.0.0 – 10.255.255.255)
• 172.16.0.0/12 (172.16.0.0 – 172.31.255.255)
• 192.168.0.0/16 (192.168.0.0 -192.168.255.255 )

VPC 可以通過 EIP 或者 NAT 服務(wù)，讓 VPC 內(nèi)虛擬機(jī)連接公網(wǎng)，或者通過 VPC 對等連接兩個 VPC，還可以通過 VPN 或者專線連接用戶自建數(shù)據(jù)中心，構(gòu)建混合云。

最后，對于云租戶內(nèi)部又有什么方法實現(xiàn)網(wǎng)絡(luò)安全域隔離呢?這里也可以靈活考慮，比如，云租戶可以多租用幾個VPC實現(xiàn)隔離。另外，在VPC內(nèi)部還可以采用安全組進(jìn)行安全域劃分。以下是阿里云對安全組應(yīng)用場景的表述：(1)安全組用于設(shè)置單臺或多臺云服務(wù)器的網(wǎng)絡(luò)訪問控制，它是重要的網(wǎng)絡(luò)安全隔離手段，用于在云端劃分安全域。(2)安全組是一個邏輯上的劃分，這個分組由同一個地域內(nèi)具有相同安全保護(hù)需求并相互信任的實例組成。這種安全組在不同的云廠商實現(xiàn)中，叫法和實現(xiàn)方式可能也有差異，比如下圖中就將VPC內(nèi)的隔離成為Subnet(子網(wǎng))，意思應(yīng)該與安全組一樣。
 
七、結(jié)語
隨著虛擬化以及云計算技術(shù)的不斷演進(jìn)，在網(wǎng)絡(luò)安全域隔離方法又出現(xiàn)了一些新的研究方向和實踐探討，比如微分段或微隔離。國際權(quán)威技術(shù)分析與咨詢研究公司Gartner公司在2016年、2017年、2018年連續(xù)三次將“微分段或微隔離”納入年度十大安全技術(shù)(項目)，但是在最新的2019年已經(jīng)沒有納入，不知道Gartner是怎么考慮的，但是從筆者了解的企業(yè)實踐來看，目前大面積實施“微分段或微隔離”的企業(yè)還不多，甚至是沒見過，也有可能是筆者視野狹窄，希望將來能夠與各位讀者一起探討關(guān)于“微分段或微隔離”方面的實踐。

近期，在讀鄭云文老師的《數(shù)據(jù)安全架構(gòu)設(shè)計與實戰(zhàn)》時，鄭老師提出了一個觀點：安全域過多，會導(dǎo)致防火墻運(yùn)維難度加大。在滿足合規(guī)要求下，安全域的數(shù)量越少越好。這也許也代表企業(yè)網(wǎng)絡(luò)安全域劃分的一個新方向，有興趣的讀者也可以好好研究一下。