關(guān)于網(wǎng)絡(luò)安全域隔離問(wèn)題的研究與思考-服務(wù)器運(yùn)維

2020-05-08 17:32 作者：艾銻無(wú)限 瀏覽量：

關(guān)于網(wǎng)絡(luò)安全域隔離問(wèn)題的研究與思考-服務(wù)器運(yùn)維

從歷史發(fā)展的角度看，安全域隔離一直是傳統(tǒng)安全領(lǐng)域廣泛采用的防御手段，比如起建于春秋戰(zhàn)國(guó)期間的邊塞長(zhǎng)城一直延續(xù)至明末都在發(fā)揮巨大作用，堅(jiān)城巨塞外圍都會(huì)建設(shè)起高高城墻、寬寬的護(hù)城河等等，無(wú)論長(zhǎng)城還是城墻，它們的目的都是為了形成關(guān)里關(guān)外、城里城外兩個(gè)安全域，以便于實(shí)施統(tǒng)一的防護(hù)策略，也是為了方便同一安全域內(nèi)的實(shí)體能夠相對(duì)比較容易溝通及聯(lián)系。

在企業(yè)網(wǎng)絡(luò)安全防護(hù)方面，網(wǎng)絡(luò)安全域隔離也是網(wǎng)絡(luò)安全防御最重要、最基礎(chǔ)的手段之一，也是企業(yè)數(shù)據(jù)中心、信息系統(tǒng)建設(shè)最先需要考慮的基礎(chǔ)性問(wèn)題。但是在企業(yè)網(wǎng)絡(luò)安全建設(shè)過(guò)程中，網(wǎng)絡(luò)安全域隔離的有效落實(shí)卻面臨各種各樣的問(wèn)題，本文就是筆者對(duì)此問(wèn)題的一些思考，記錄下來(lái)以供各位讀者參考。

一、什么是網(wǎng)絡(luò)安全域
網(wǎng)絡(luò)安全域就是一組安全等級(jí)相同、業(yè)務(wù)類(lèi)型/功能相似的計(jì)算機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)、業(yè)務(wù)系統(tǒng)等構(gòu)成的系統(tǒng)**，具體表現(xiàn)在網(wǎng)絡(luò)中可能是一個(gè)IP網(wǎng)段(一個(gè)C段、一個(gè)B段)或幾個(gè)網(wǎng)段**，或者是一個(gè)VLAN或幾個(gè)VLAN**，或者是連接一個(gè)防火墻接口下的整個(gè)網(wǎng)絡(luò)區(qū)域，或者是機(jī)房里的一個(gè)機(jī)柜或幾個(gè)機(jī)柜等。上面的解釋其實(shí)還是比較抽象，舉幾個(gè)例子，比如存儲(chǔ)****的數(shù)據(jù)庫(kù)服務(wù)器與供客戶訪問(wèn)的Web服務(wù)器顯然就不是一個(gè)安全等級(jí)，測(cè)試環(huán)境的服務(wù)器與正式提供服務(wù)的生產(chǎn)服務(wù)器顯然也不是一個(gè)安全等級(jí)，因此，要對(duì)他們進(jìn)行安全域劃分。總的來(lái)說(shuō)，一個(gè)安全域其實(shí)就是一個(gè)信任域，在符合監(jiān)管要求的情況下你可以把一些你認(rèn)為可以相互信任的計(jì)算機(jī)、設(shè)備放置在一個(gè)安全信任域當(dāng)中，在信任域內(nèi)部實(shí)施較松的安全策略，而信任域邊界實(shí)施較為嚴(yán)格監(jiān)控、訪問(wèn)控制等。每個(gè)信任域內(nèi)服務(wù)器的多寡取決于單位信息系統(tǒng)建設(shè)、信息安全意識(shí)等多方面因素的制約。

從網(wǎng)絡(luò)攻擊者的角度來(lái)說(shuō)，有一種典型的攻擊方式叫橫向滲透攻擊，其含義是攻擊者拿下了內(nèi)網(wǎng)的某一臺(tái)主機(jī)，為了擴(kuò)大戰(zhàn)果，往往會(huì)對(duì)該主機(jī)所在的C類(lèi)地址段進(jìn)行掃描，因?yàn)樵谄髽I(yè)內(nèi)部一般同一個(gè)C類(lèi)地址段不會(huì)有進(jìn)一步的網(wǎng)絡(luò)隔離劃分。此時(shí)，這是一個(gè)C類(lèi)段處于風(fēng)險(xiǎn)之中，那么如果我們沒(méi)有進(jìn)行網(wǎng)絡(luò)安全域隔離，那么，整個(gè)數(shù)據(jù)中心都有可能處于攻擊者的直接打擊范圍?；谶@后一點(diǎn)，我們明白了，網(wǎng)絡(luò)安全域隔離其實(shí)就是將整個(gè)網(wǎng)絡(luò)劃分為一個(gè)一個(gè)比較小的安全信任域，要不然整個(gè)網(wǎng)絡(luò)處于一張平面，攻擊者拿下一個(gè)地址之后，可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行掃描探測(cè)發(fā)現(xiàn)。

二、網(wǎng)絡(luò)安全域隔離有什么好處
據(jù)筆者看來(lái)有四點(diǎn)：一是可以將壞東西、壞人隔離在一個(gè)小區(qū)域，以減小破壞程度。二是可以將壞東西、壞人集中在隔離邊界對(duì)其進(jìn)行集中清除消滅。三是可以讓好東西、好人隔離在一個(gè)相對(duì)安全的區(qū)域，免受其他壞東西、壞人的侵害。四是可以在隔離邊界部署安全設(shè)施，以對(duì)好東西、好人加強(qiáng)保護(hù)，對(duì)壞東西、壞人進(jìn)行阻斷攔截。

三、網(wǎng)絡(luò)安全域該怎么規(guī)劃設(shè)計(jì)
從不同的站位視度、不同觀察粒度來(lái)看，企業(yè)的網(wǎng)絡(luò)安全域劃分可以有不同分法。從企業(yè)外部看，安全域可以分為內(nèi)網(wǎng)和外網(wǎng)，在此時(shí)，企業(yè)內(nèi)部的所有辦公計(jì)算機(jī)、服務(wù)器、路由器、交換機(jī)等都屬于我們要保護(hù)的信息資產(chǎn)。因此，內(nèi)、外網(wǎng)邊界就是我們實(shí)施統(tǒng)一安全策略、部署防御設(shè)施的“主陣地”，比如部署邊界防火墻、入侵檢測(cè)、上網(wǎng)行為管理等。

下面我們移步進(jìn)入企業(yè)內(nèi)部，站在企業(yè)內(nèi)部泛泛的看，一般會(huì)將企業(yè)劃分為辦公網(wǎng)PC終端安全域和數(shù)據(jù)中心安全域，在此時(shí)，企業(yè)內(nèi)部的辦公網(wǎng)區(qū)域、數(shù)據(jù)中心區(qū)域又是屬于不同的安全等級(jí)。
如果我們?cè)龠M(jìn)一步稍微細(xì)致的審視一下，其實(shí)各安全域內(nèi)部也是分為子安全域的，內(nèi)部的安全域劃分就是八仙過(guò)海、各顯神通了。比如，在《GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》中，將企業(yè)內(nèi)部網(wǎng)絡(luò)按照不同的等級(jí)保護(hù)級(jí)別進(jìn)行安全域劃分，不同級(jí)別安全域之間采用安全互聯(lián)部件進(jìn)行數(shù)據(jù)交互。
在趙彥老師的《互聯(lián)網(wǎng)企業(yè)安全高級(jí)指南》一書(shū)中，作者著重講了辦公網(wǎng)的安全域劃分問(wèn)題。辦公網(wǎng)安全域被劃分為OA服務(wù)器域、事業(yè)部A桌面域、事業(yè)部B桌面域等，事業(yè)部桌面域又劃分為高度PC用戶、中度PC用戶、輕度PC用戶等。這副設(shè)計(jì)圖應(yīng)該屬于趙彥老師早期的設(shè)計(jì)圖，不知道最近的思路有沒(méi)有變化?在圖中OA服務(wù)器域，我們看到了持續(xù)集成代碼托管和測(cè)試環(huán)境，依筆者的觀點(diǎn)，此類(lèi)服務(wù)器應(yīng)該歸屬于數(shù)據(jù)中心安全域。
 
其實(shí)最早筆者認(rèn)為OA服務(wù)器域應(yīng)該劃歸數(shù)據(jù)中心內(nèi)的安全域，后來(lái)參看了趙彥老師的《初探下一代網(wǎng)絡(luò)隔離與訪問(wèn)控制》(美團(tuán)技術(shù)團(tuán)隊(duì)文章)，好幾副圖的劃分方法都是把OA服務(wù)器域劃歸辦公網(wǎng)，如下圖。在這篇文章中趙彥老師分享了好幾種典型的區(qū)域隔離劃分方案，有興趣的讀者可以去參看一下。 另外，劉焱老師的《基于開(kāi)源軟件打造企業(yè)網(wǎng)絡(luò)安全》一書(shū)中，OA服務(wù)器是被劃分為獨(dú)立的安全域，但此時(shí)應(yīng)該屬于數(shù)據(jù)中心安全域內(nèi)。
數(shù)據(jù)中心安全域又劃分為生產(chǎn)網(wǎng)、開(kāi)發(fā)測(cè)試網(wǎng)等不同的網(wǎng)絡(luò)安全域，生產(chǎn)網(wǎng)安全域又會(huì)分為集團(tuán)安全域、子分公司安全域等。集團(tuán)安全域又劃分為生產(chǎn)網(wǎng)內(nèi)網(wǎng)區(qū)和生產(chǎn)網(wǎng)DMZ區(qū)，生產(chǎn)內(nèi)網(wǎng)安全域又會(huì)根據(jù)業(yè)務(wù)類(lèi)型不同分為普通業(yè)務(wù)安全、核心業(yè)務(wù)安全域、數(shù)據(jù)倉(cāng)庫(kù)安全域、KMS安全域等。


以上一般都是按照功能進(jìn)行的安全域劃分，在實(shí)際場(chǎng)景中，還會(huì)存在其他方式的安全域劃分方法，比如，從縱深防御的角度看，一般系統(tǒng)分為DMZ區(qū)(Web服務(wù)區(qū))、外聯(lián)區(qū)、APP區(qū)，DB區(qū)等。如下圖所示。這里面的DMZ區(qū)、外聯(lián)區(qū)、APP區(qū)、DB區(qū)就是一個(gè)一個(gè)的網(wǎng)絡(luò)安全域。 對(duì)于集團(tuán)化的公司，各子公司都會(huì)逐漸明確自己的業(yè)務(wù)邊界和戰(zhàn)略中心，假如由集團(tuán)統(tǒng)一提供IT基礎(chǔ)設(shè)施服務(wù)，但是各子公司的業(yè)務(wù)可能面臨的監(jiān)管要求完全不同，比如按照金融監(jiān)管的要求去管理社區(qū)服務(wù)系統(tǒng)，或者按照社區(qū)服務(wù)系統(tǒng)的要求去管金融業(yè)務(wù)，都會(huì)面臨或嚴(yán)、或松的壓力。因此，集團(tuán)化的數(shù)據(jù)中心要對(duì)子公司進(jìn)行隔離劃分，明確劃分各子公司在數(shù)據(jù)中心中的訪問(wèn)邊界。按子公司職能、業(yè)務(wù)特點(diǎn)等，劃分安全信任域，建立清晰責(zé)任邊界、安全邊界、信任邊界。

四、傳統(tǒng)網(wǎng)絡(luò)安全域隔離方式
說(shuō)了這么多網(wǎng)絡(luò)安全域隔離的問(wèn)題，那么具體怎么實(shí)現(xiàn)呢?有什么方式呢?以筆者的經(jīng)驗(yàn)主要有物理隔離、邏輯隔離(防火墻隔離、VLAN隔離等)。
(一)物理隔離。這里面又分為幾種：

• 強(qiáng)物理隔離。從字面上看，這是一種非常容易理解的網(wǎng)絡(luò)隔離方式，兩個(gè)網(wǎng)絡(luò)安全域從網(wǎng)絡(luò)線路、網(wǎng)絡(luò)設(shè)備、系統(tǒng)主機(jī)等硬件系統(tǒng)層面都是單獨(dú)部署一套，兩者之間嚴(yán)禁各種網(wǎng)絡(luò)連接。這個(gè)在當(dāng)前大環(huán)境下，估計(jì)只有JD、GA、ZF等核心敏感部門(mén)或核心工業(yè)控制系統(tǒng)才會(huì)這么做，此種隔離方式不光建設(shè)成本比較高，后續(xù)的運(yùn)維、信息共享都會(huì)存在較大的人力成本和時(shí)間成本。所以，一般企業(yè)都不可能采用這種方式了，特別是在互聯(lián)網(wǎng)、移動(dòng)互聯(lián)的大背景下，凡是需要為客戶提供在線服務(wù)的就更難實(shí)現(xiàn)完全的強(qiáng)物理隔離了。
•  
• 弱物理隔離。絕大部分傳統(tǒng)金融企業(yè)應(yīng)該都是屬于這種模式。網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)根據(jù)需要一般是每個(gè)網(wǎng)絡(luò)安全域一套，但是，安全域之間一般可以通過(guò)網(wǎng)閘、單向數(shù)據(jù)傳輸設(shè)備建立了特定的安全傳輸通道。

(二)邏輯隔離。邏輯隔離相對(duì)于物理隔離，主要區(qū)別是各個(gè)網(wǎng)絡(luò)安全域之間是有鏈路連接的，只是在協(xié)議上、路由上進(jìn)行邏輯阻斷，讓兩者不能直接相通。但是，如果兩者之間想互通，直接在交換節(jié)點(diǎn)、路由節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)等上進(jìn)行配置即可，不用再單獨(dú)拉物理線路或者部署網(wǎng)閘等設(shè)備。細(xì)細(xì)想來(lái)，常用的邏輯隔離方式只有防火墻隔離和VLAN隔離兩種，VXLAN是VLAN劃分在云環(huán)境下的一個(gè)變種實(shí)現(xiàn)。

五、網(wǎng)絡(luò)安全域之間如何進(jìn)行訪問(wèn)控制

網(wǎng)絡(luò)隔離形成安全域只是為了提高企業(yè)的安全等級(jí)，但是，不管管理需要還是業(yè)務(wù)需要，最終安全域之間還是需要或多或少的進(jìn)行通信，否則整個(gè)企業(yè)信息系統(tǒng)就沒(méi)有存在的必要了。那么，安全域之間通信應(yīng)該通過(guò)什么方式進(jìn)行隔離呢?以筆者的經(jīng)驗(yàn)，目前，網(wǎng)絡(luò)隔離后的通信方式主要網(wǎng)絡(luò)訪問(wèn)控制策略(ACL)、接入網(wǎng)關(guān)、正反向代理、堡壘機(jī)等。其中：

ACL是防火墻或三層交換機(jī)上實(shí)現(xiàn)的，是一種基于IP地址的控制策略，在企業(yè)內(nèi)部，網(wǎng)管人員可能為了方便進(jìn)行管理，往往還會(huì)采用IP地址段的形式開(kāi)通訪問(wèn)控制列表，因此，這種控制粒度較粗，而且對(duì)于應(yīng)用層的訪問(wèn)缺乏控制。

接入網(wǎng)關(guān)、正反向代理是可以實(shí)現(xiàn)應(yīng)用層一級(jí)訪問(wèn)控制，還可以在其上增加更多的訪問(wèn)控制策略等模塊。

堡壘機(jī)是為遠(yuǎn)程運(yùn)維提供的一種訪問(wèn)控制辦法，可以登錄控制、操作攔截、操作審計(jì)等功能。

六、虛擬化/云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全域隔離
一個(gè)服務(wù)或應(yīng)用占用一臺(tái)物理機(jī)的時(shí)代已經(jīng)逐漸成為歷史，虛擬化/云計(jì)算已經(jīng)是目前廣泛應(yīng)用的數(shù)據(jù)中心交付模式。然而，在虛擬化/云計(jì)算環(huán)境下，有沒(méi)有必要進(jìn)行網(wǎng)絡(luò)安全域隔離?如何進(jìn)行網(wǎng)絡(luò)安全域隔離
呢?筆者翻閱了阿里云、華為云等云計(jì)算公司發(fā)布的白皮書(shū)，網(wǎng)絡(luò)安全域隔離仍然是其網(wǎng)絡(luò)安全架構(gòu)的基本實(shí)現(xiàn)方式之一。以阿里云的白皮書(shū)為例： 上面這一段話，我們看到了阿里云基礎(chǔ)平臺(tái)怎么實(shí)現(xiàn)網(wǎng)絡(luò)安全域隔離的，首先，阿里云分為生產(chǎn)網(wǎng)和非生產(chǎn)網(wǎng)，其次，阿里云分為對(duì)外提供服務(wù)的云服務(wù)網(wǎng)絡(luò)和支撐云服務(wù)的物理網(wǎng)絡(luò)，最后，我們還看到了阿里云辦公網(wǎng)與生產(chǎn)網(wǎng)絡(luò)的隔離。以上說(shuō)的，以筆者的理解，應(yīng)該是云平臺(tái)提供者所做的網(wǎng)絡(luò)區(qū)域隔離。

那么對(duì)于云租戶之間是怎么實(shí)現(xiàn)安全域隔離呢?目前云廠商普遍提供的方式是VPC的方式實(shí)現(xiàn)。VPC即virtual private cloud，也就常說(shuō)的虛擬局域網(wǎng)，VPC實(shí)現(xiàn)了不同租戶間網(wǎng)絡(luò)隔離，由于VPC 使用了隧道封裝技術(shù)，保證了不同 VPC 間，網(wǎng)絡(luò)流量完全不可見(jiàn)，而 VPC 內(nèi)部網(wǎng)絡(luò)流量則直接到達(dá)目的機(jī)器，從而確保了無(wú)論 VPC 內(nèi)，還是 VPC 間，用戶流量都能夠得到安全性保障。其實(shí)根據(jù)企業(yè)的IT規(guī)劃，如果數(shù)據(jù)中心云平臺(tái)只是為了提供自己企業(yè)內(nèi)部服務(wù)，VPC也可以實(shí)現(xiàn)企業(yè)內(nèi)部各種網(wǎng)絡(luò)安全域的劃分，比如我們可以把DMZ劃為一個(gè)VPC，把數(shù)據(jù)庫(kù)劃為一個(gè)安全域，把辦公服務(wù)器劃為一個(gè)VPC。一般情況下，每個(gè)VPC都需要指定 1 個(gè)網(wǎng)段，網(wǎng)段范圍如下：

• 10.0.0.0/8 (10.0.0.0 – 10.255.255.255)
• 172.16.0.0/12 (172.16.0.0 – 172.31.255.255)
• 192.168.0.0/16 (192.168.0.0 -192.168.255.255 )

VPC 可以通過(guò) EIP 或者 NAT 服務(wù)，讓 VPC 內(nèi)虛擬機(jī)連接公網(wǎng)，或者通過(guò) VPC 對(duì)等連接兩個(gè) VPC，還可以通過(guò) VPN 或者專(zhuān)線連接用戶自建數(shù)據(jù)中心，構(gòu)建混合云。

最后，對(duì)于云租戶內(nèi)部又有什么方法實(shí)現(xiàn)網(wǎng)絡(luò)安全域隔離呢?這里也可以靈活考慮，比如，云租戶可以多租用幾個(gè)VPC實(shí)現(xiàn)隔離。另外，在VPC內(nèi)部還可以采用安全組進(jìn)行安全域劃分。以下是阿里云對(duì)安全組應(yīng)用場(chǎng)景的表述：(1)安全組用于設(shè)置單臺(tái)或多臺(tái)云服務(wù)器的網(wǎng)絡(luò)訪問(wèn)控制，它是重要的網(wǎng)絡(luò)安全隔離手段，用于在云端劃分安全域。(2)安全組是一個(gè)邏輯上的劃分，這個(gè)分組由同一個(gè)地域內(nèi)具有相同安全保護(hù)需求并相互信任的實(shí)例組成。這種安全組在不同的云廠商實(shí)現(xiàn)中，叫法和實(shí)現(xiàn)方式可能也有差異，比如下圖中就將VPC內(nèi)的隔離成為Subnet(子網(wǎng))，意思應(yīng)該與安全組一樣。
 
七、結(jié)語(yǔ)
隨著虛擬化以及云計(jì)算技術(shù)的不斷演進(jìn)，在網(wǎng)絡(luò)安全域隔離方法又出現(xiàn)了一些新的研究方向和實(shí)踐探討，比如微分段或微隔離。國(guó)際權(quán)威技術(shù)分析與咨詢研究公司Gartner公司在2016年、2017年、2018年連續(xù)三次將“微分段或微隔離”納入年度十大安全技術(shù)(項(xiàng)目)，但是在最新的2019年已經(jīng)沒(méi)有納入，不知道Gartner是怎么考慮的，但是從筆者了解的企業(yè)實(shí)踐來(lái)看，目前大面積實(shí)施“微分段或微隔離”的企業(yè)還不多，甚至是沒(méi)見(jiàn)過(guò)，也有可能是筆者視野狹窄，希望將來(lái)能夠與各位讀者一起探討關(guān)于“微分段或微隔離”方面的實(shí)踐。

近期，在讀鄭云文老師的《數(shù)據(jù)安全架構(gòu)設(shè)計(jì)與實(shí)戰(zhàn)》時(shí)，鄭老師提出了一個(gè)觀點(diǎn)：安全域過(guò)多，會(huì)導(dǎo)致防火墻運(yùn)維難度加大。在滿足合規(guī)要求下，安全域的數(shù)量越少越好。這也許也代表企業(yè)網(wǎng)絡(luò)安全域劃分的一個(gè)新方向，有興趣的讀者也可以好好研究一下。