沒有網(wǎng)絡(luò)安全，就沒有企業(yè)安全和國家安全，這也是近年來，我國網(wǎng)絡(luò)安全法、等保2.0規(guī)章制度等一系列網(wǎng)絡(luò)安全措施出臺(tái)的根本原因。

隨著網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的發(fā)布，業(yè)界也掀起了一輪學(xué)習(xí)等保2.0的熱潮，作為國內(nèi)知名網(wǎng)絡(luò)安全廠商，薔薇靈動(dòng)通過研究發(fā)現(xiàn)，在很多技術(shù)理念上，等級(jí)保護(hù)2.0都有了巨大的變化，比如“源地址”訪問控制問題。當(dāng)我們把防御的視線從邊界轉(zhuǎn)向內(nèi)網(wǎng)，很多安全思路都會(huì)發(fā)生變化，等保2.0時(shí)代，我們可以有更有效的對(duì)抗手段來應(yīng)對(duì)可能的安全威脅。

等保2.0時(shí)代企業(yè)要控源

等保2.0時(shí)代，控源的必要性

面對(duì)等保2.0，我們必須得控源，因?yàn)楫?dāng)我們做面向互聯(lián)網(wǎng)邊界安全的時(shí)候，我們很難對(duì)源進(jìn)行控制，因?yàn)槟阃耆恢勒l會(huì)訪問你，你只能對(duì)內(nèi)部的服務(wù)進(jìn)行訪問控制。為了應(yīng)對(duì)這個(gè)挑戰(zhàn)，業(yè)界發(fā)展出了威脅情報(bào)技術(shù)，于是我們可以在邊界上加一些黑名單，這樣會(huì)對(duì)邊界安全有所幫助，但它最終也無法回答究竟誰是好人，所以在互聯(lián)網(wǎng)邊界，白名單是不可行的。

但是，在行業(yè)性專網(wǎng)或者純粹的內(nèi)網(wǎng)，情況是不一樣的。無論是訪問者還是服務(wù)者都是已知的，都是可以被管理的。面對(duì)等保2.0，我們完全可以有更有效的管理手段，也就是基于源地址的白名單訪問控制。如果我們能預(yù)先知道訪問我的都是誰，那么我就不用再考慮誰是壞人的問題（因?yàn)槟銓?duì)壞人的描述只要是基于規(guī)則的，就是可以繞過的），我可以只對(duì)我明確認(rèn)識(shí)的人開放服務(wù)，在內(nèi)部環(huán)境中有無數(shù)種辦法對(duì)一個(gè)終端的身份進(jìn)行驗(yàn)證，相較于黑名單繞過而言，白名單欺騙無疑要難的多。

等保2.0時(shí)代企業(yè)要控源

等保2.0時(shí)代，除了可以對(duì)源地址進(jìn)行限定外，更重要的是，在一個(gè)完全可控的網(wǎng)絡(luò)內(nèi)，我們不僅可以在近服務(wù)側(cè)的位置進(jìn)行訪問控制，我們還可以在整個(gè)網(wǎng)絡(luò)的所有可能位置對(duì)訪問進(jìn)行控制，尤其是可以做到“近源防護(hù)”。比如說一臺(tái)主機(jī)要進(jìn)行超越其業(yè)務(wù)需求的445端口訪問，那么除了在開放相關(guān)服務(wù)的服務(wù)器前進(jìn)行阻攔，我們還可以在其接入處的隔離設(shè)備上直接對(duì)其進(jìn)行阻攔，因?yàn)檫@臺(tái)機(jī)器的業(yè)務(wù)需求是已知的，它的業(yè)務(wù)路徑也是已知的，我們可以在全路徑上對(duì)其進(jìn)行訪問控制。

所以，在可控的網(wǎng)絡(luò)內(nèi)（專網(wǎng)/內(nèi)網(wǎng)）對(duì)源進(jìn)行白名單訪問控制，顯然是更有效的防護(hù)手段。遺憾的是，我們看到了太多的真實(shí)案例中，用戶在內(nèi)網(wǎng)仍然延續(xù)了互聯(lián)網(wǎng)邊界的安全策略，只對(duì)被保護(hù)對(duì)象進(jìn)行基于目的地址的訪問控制，某種意義上說，這就是一種自廢武功的防御策略，我們本來可以打造出一個(gè)天羅地網(wǎng)，而實(shí)際上只是建構(gòu)了幾個(gè)孤立的碉堡。這不利于企業(yè)應(yīng)對(duì)等保2.0。

等保2.0在安全防御理念更先進(jìn)

不得不說等保2.0確實(shí)是這個(gè)時(shí)代我國網(wǎng)絡(luò)安全工作的智慧結(jié)晶，展現(xiàn)出了很高的理論和技術(shù)水平。等保2.0之前的等級(jí)保護(hù)1.0（GB/T22239-2008）中，在“網(wǎng)絡(luò)安全”的“訪問控制章節(jié)“中，并未明確指出要對(duì)源地址做訪問控制。而在等級(jí)保護(hù)2.0（GB/T22239-2019）中，在“安全區(qū)域邊界”的“訪問控制”章節(jié)中則明確強(qiáng)調(diào)：“要對(duì)源地址，目的地址，源端口，目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出”（8.1.3.2 c）。同時(shí)還指出：“默認(rèn)情況下除允許通信外受控接口拒絕所有通信”（8.1.3.2 a）。等保2.0明明白白的指出在網(wǎng)絡(luò)內(nèi)部應(yīng)該進(jìn)行白名單訪問控制。當(dāng)然，針對(duì)”8.1.3.2 a”可能會(huì)產(chǎn)生一個(gè)漏洞，那就是——什么才算允許通信呢？管理員是否可以允許所有通信呢？關(guān)于這一漏洞，等保2.0用另一條要求予以回答：“應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化”（8.1.3.2 b）。這同樣是一條在等保2.0里新加入的規(guī)則，因?yàn)樵诤诿麊螜C(jī)制下，這條要求基本沒什么意義。阻斷規(guī)則多一些，并不會(huì)對(duì)安全造成影響，最多就是會(huì)拖慢網(wǎng)絡(luò)速度，因此，過去的策略優(yōu)化主要是從效率的角度進(jìn)行的，而不是從安全的角度進(jìn)行的。但是在等保2.0制度下，在白名單模式下，策略集的最小化就有了非常重要的意義。因?yàn)榇藭r(shí)的策略都是關(guān)于對(duì)已知訪問源和已知服務(wù)的“允許“規(guī)則，那么這個(gè)策略集一定是越小越好，應(yīng)該將最少的服務(wù)開放給最少的人，這樣才是最安全的做法。

等保2.0時(shí)代微隔離五步法

所以，我們說等保2.0在安全防御理念上取得了長足的進(jìn)步。而另一方面，等保2.0也對(duì)網(wǎng)絡(luò)安全的管理工作提出了遠(yuǎn)超過去的要求。在過去，如果在系統(tǒng)的關(guān)鍵節(jié)點(diǎn)處部署了防火墻，然后針對(duì)一些已知威脅配置了一些黑名單策略（不用太多，因?yàn)檎l也不能窮舉全部的威脅），那么基本就符合了等級(jí)保護(hù)的要求。但是在等保2.0時(shí)代則明確對(duì)訪問策略做了白名單化要求。這意味著什么呢？意味著管理員必須對(duì)內(nèi)網(wǎng)業(yè)務(wù)完全掌握，必須對(duì)全部資產(chǎn)完全掌握，必須對(duì)每一個(gè)終端設(shè)備的業(yè)務(wù)訪問需求完全掌握，對(duì)業(yè)務(wù)之間的關(guān)系要完全掌握，并且還要保證，在這個(gè)網(wǎng)絡(luò)發(fā)生任何風(fēng)吹草動(dòng)（業(yè)務(wù)調(diào)整，上下線，終端增減等等）時(shí)，能及時(shí)準(zhǔn)確的做出策略重構(gòu)。

面對(duì)等保2.0，圍剿才是控源的最高境界

等保2.0時(shí)代，控源需要更高的技術(shù)手段，那就是微隔離，微隔離技術(shù)的基本邏輯就是點(diǎn)到點(diǎn)訪問控制，因此在微隔離掌握話語權(quán)的內(nèi)網(wǎng)體系里，它能夠做出不可思議的神操作——圍剿。

以下技術(shù)討論以薔薇靈動(dòng)的微隔離技術(shù)實(shí)現(xiàn)為前提。

想要處理等保2.0的控源問題，就要了解微隔離，微隔離的控制點(diǎn)在每一臺(tái)工作負(fù)載（物理機(jī)，虛擬機(jī)，容器）上，而它的具體控制能力分為兩類——“出站”和“入站“。所謂“出站”，就是控制一個(gè)工作負(fù)載能夠?qū)ν獍l(fā)起的通信，所謂“入站”，就是控制一個(gè)工作負(fù)載能夠接受的訪問請(qǐng)求。如果要說“近源”控制的話，最近的控制點(diǎn)顯然就是訪問發(fā)起點(diǎn)自身的主機(jī)防火墻了。微隔離可以在主機(jī)防火墻上配置出站策略，以嚴(yán)格規(guī)范其能夠訪問的服務(wù)。

很多情況下，即使一臺(tái)主機(jī)已經(jīng)被感染了，但是這個(gè)惡意代碼未必有能力或者有意愿去修改主機(jī)防火墻的配置（比如怕觸發(fā)日志記錄和告警以及主機(jī)安全軟件的反擊，畢竟主防火墻是關(guān)鍵的系統(tǒng)設(shè)施），這個(gè)時(shí)候他就沒有能力去做一些非法外聯(lián)比如cc通信，內(nèi)網(wǎng)掃描，以及數(shù)據(jù)回傳之類的操作，這很不利于等保2.0的控源。

當(dāng)然，還有一些惡意代碼能夠提權(quán)，或者不怕觸發(fā)相應(yīng)的監(jiān)控，那么此時(shí)主機(jī)防火墻的“出站“控制能力基本就失去作用了，但是別著急，真正的神操作現(xiàn)在才開始上演。讓你輕松面對(duì)等保2.0。

當(dāng)一臺(tái)工作負(fù)載已經(jīng)被控制之后，他勢(shì)必會(huì)利用此臺(tái)機(jī)器對(duì)內(nèi)網(wǎng)進(jìn)行進(jìn)一步的攻擊，而此時(shí)他會(huì)發(fā)現(xiàn)，他已經(jīng)陷入了人民戰(zhàn)爭的汪洋大海。因?yàn)槲⒏綦x的策略是雙向配置的，我們?cè)跇I(yè)務(wù)學(xué)習(xí)的時(shí)候基于一個(gè)業(yè)務(wù)生成的策略是雙向配置的，不僅配置了出站策略，還配置了入站策略。也就是說，每一個(gè)對(duì)外開放服務(wù)的工作負(fù)載都嚴(yán)格地按照白名單向有限的訪問源進(jìn)行開放，這跟等級(jí)保護(hù)2.0的要求一致。此時(shí)，這個(gè)受控主機(jī)，一旦嘗試進(jìn)行超過其業(yè)務(wù)需求網(wǎng)絡(luò)訪問時(shí)，他會(huì)發(fā)現(xiàn)其他工作負(fù)載都會(huì)拒絕他的訪問，不但拒絕，這些工作負(fù)載還會(huì)把它的這種不正當(dāng)訪問請(qǐng)求記錄下來發(fā)送給管理員。

等保2.0時(shí)代的網(wǎng)絡(luò)安全的理念已經(jīng)與過去有了很大的不同，那就是“敵已在內(nèi)，敵將在內(nèi)”。在這種想定下，我們除了防御攻擊者的滲透外，還要防范其內(nèi)部的平移，盡量將攻擊者控制在一個(gè)盡可能小的范圍內(nèi)。或者換言之，面對(duì)等保2.0，我們應(yīng)該盡可能降低每一個(gè)內(nèi)網(wǎng)資產(chǎn)的暴露面，盡可能提高其平移的攻擊成本，并盡可能記錄下內(nèi)部網(wǎng)絡(luò)行為中的各種蛛絲馬跡，這就是我們所謂的“圍剿”。

當(dāng)下，面對(duì)更加嚴(yán)格的技術(shù)和管理要求，為更好地實(shí)施等保2.0，建議相關(guān)企業(yè)引入微隔離技術(shù)。