零信任架构落地实践 京东的微隔离方案有哪些思路可以借鉴？

3月23日，在京东安全主办的零信任专题京麒技术沙龙上，京东安全专家熊毅在分享时谈到，在京东安全下决心建设零信任架构之前，每次对安全事件进行复盘的时候，优化方案中总会提到一个安全能力缺失项：需要整改基础设施来限制横向的攻击移动。这也是京东安全做零信任安全建设的最重要目标之一。
 

为什么限制横向移动攻击会成为京东安全的痛点？
这是甲方企业安全建设过程中普遍存在的安全问题吗？
 

在近些年来各个领域发生的一些APT攻击案例中能够发现，横向移动已经广泛应用于复杂的网络攻击中。恶意攻击者通常会尝试包括钓鱼邮件攻击、漏洞利用等多种综合攻击的方式来突破目标边界防御系统，然后伺机使用横向移动来访问受感染系统中的更多设备，向目标组织内部更多包含重要资产的服务器和主机进行渗透，并伺机潜伏下来进行长期、有计划性和组织性的窃取敏感数据。一次横向移动攻击甚至能够让攻击者控制同一环境下的全部机器。
 

在业内披露的APT组织蓝宝菇APT-C-12对我国政府、军工、科研、金融等重点单位和部门进行的长期间谍攻击行动中，对已捕获的670余个该组织恶意代码分析发现，其中包含60余个专门用于横向移动的恶意插件。而已知的擅长利用横向移动攻击的恶意软件更是不胜枚举，如BlackEnergy、Emotet、Trickbot、Petya Ransomware、WannaCry等等，都是其中的佼佼者。
 

除了在APT攻击之外，在我国HW行动这一大型攻防对抗演练活动中，这一攻击手法也十分常见，横向移动也被渗透测试人员称为“最爽”的技术之一，一旦在渗透目标系统内部找到通路，就能够在目标系统内部留下后门，为所欲为。

传统边界安全弊端日益显露   推动零信任方案在京东落地

在熊毅看来，讨论京东安全零信任方案的落地过程，就必须要讨论方案落地前京东安全面临的安全问题和安全现状。在京东在打造自身安全城堡的时候发现，尽管安全团队在边界上不断的加强防御策略，层层完善安全机制，但最后还是防不胜防，时不时就会出现安全问题。
 

作为一家拥有惊人的流量和数据的大型互联网企业，京东拥有大量的信息系统，此前京东针对这些信息系统的做法是人为的划分复杂的安全域，来进行权限分级，比如划分核心系统域，以及将一些第三方的代理商、供应商划分为一个域，但这样的静态隔离的方式会让其中一些安全域十分的臃肿，而有的一些发展快的域还有扩张的需求，让管理工作十分困难，并且一些如域控、邮件服务器，以及一些账号类的公共服务被共享之后，横向扩撒的现象十分的严重，就会导致一些非常严重的安全问题。

因此，尽管有时候已经做了很多安全防御能力的提升，但在堆砌了大量安全产品后发现资产管理、漏洞安全运营到内部隔离等基础安全工作依然跟不上安全态势的变化，关键资产依然还会受到威胁。
 

在对自己的安全机制进行了重新分析和审视后京东发现，京东安全需要一种以关键资产为第一人称视角，由内而外的考虑安全状态的方案。在这样的背景下，京东安全开始建立自己的零信任微隔离的方案，推进基于零信任理念的新一代安全框架落地，为自身创造更强大的安全能力。
 

京东安全为何选择微隔离作为重点？

Gartner曾在发布的《零信任网络访问市场指南 (2020版)》中表示，零信任削弱了网络位置的优势地位，消除了过度的隐式信任，代之以显式的基于身份的信任。从某种意义上说，零信任创建了个性化的“虚拟边界”，该边界仅包含用户、设备、应用程序。零信任还规范了用户体验，消除了在与不在企业网络中所存在的访问差异。最关键的是，它还将横向移动的能力降到最低。
 

“隔离”这一概念不难理解，通俗来讲，企业通常会将网络区分为外网和内网，来进行一些资源和访问权限的有效管理，而“微隔离”则是以一种更细粒度的的网络隔离技术。自微隔离概念和技术诞生以来，其核心的能力要求是聚焦在横向流量的隔离上，一是有别于防火墙的隔离作用，二是在云计算环境中的真实需求。
 

微隔离能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求，重点用于阻止攻击者进入企业数据中心网络内部后的横向移动。
 

熊毅谈到，除了限制横向移动攻击之外，京东安全还希望通过微隔离技术实现工作负载级别的软件定义隔离，在工作负载的情况下能够让信息系统在暂时亚健康的状态下继续运营，然后给到安全团队更多时间来对安全隐患伺机修复。此外，针对安全域管理工作难开展的问题，京东安全希望通过微隔离技术来获得端点上更加精细和动态的控制能力。

互联网企业应该如何具体实施微隔离呢？
 

熊毅分享到，就实现微隔离技术的方法而言，有两种建设方案可以考虑：

其一是可以选择放置智能交换机或者防火墙等网关设备基础设施作为PEP，保护一部分资源集合；

其二是选择使用软件代理或端点资产上的防火墙作为PEP来实现基于主机的微隔离，动态地授予单个访问权。

两种方案各有优劣势，安全团队应该结合企业自身的安全风险来考量具体实施的方案。
 

基于网关设备的的微隔离方案，其主要理念是把企业原有的安全设备全部调动起来，包括计算引擎来将零信任的安全策略与漏洞扫描平台、流量检测平台等等网关设备共同来组成事前事中事后的数据，这样一旦出现安全问题就能够迅速的识别发现，以及来做相应的处理。这样通过零信任的思路来持续验证他们的有效性，让边界安全防护形成持续验证自身有效性的能力。
 

基于网关设备的微隔离方案通常存在边界设备收口困难、混合云下边界设备的软硬件形态复杂、业务形态复杂、原有的运维体系可能不允许设备的配置变更，以及各个传统安全设备的兼容性等多方面的困难，需要企业安全团队结合自身的实际情况来优化和处理。
 

而基于主机的微隔离，其核心思想是要把微隔离做到对系统影响极致的小。在策略引擎这一层面，主要关注的点是通过更多的数据，通过计算引擎来输出一个足够合理的访问权和执行度。在管理端则是要把用户管理、配置管理、策略管理与业务管理转化成更简单的、更易操作语言，来辅助管理人员建立更好的基于主机的微隔离策略。
 

基于主机的微隔离方案主要面临的挑战则主要体现在性能方面，比如在性能方面是否消耗大量的CPU内存跟磁盘，在稳定性方面是否会导致内核崩溃，在适配方面能够适配虚拟机、物理机、虚拟化平台、容器架构，以及如何实现极致小的性能消耗等等。
 

熊毅表示，总结来说，针对这些问题策略跟技术两边都要并行，策略上要根据真实业务情况，我们做相关的配置，比如说什么情况下是最低水平的轮询？然后根据微隔离的不同阶段来采取限制存储、优化采集和上传算法等方法来解决。熊毅认为，一旦微隔离的方案涉及到客户端，那么客户端的性能越好，得到的安全收益也就越大。
 

既然两种方案各有利弊，那么甲方互联网企业在选择微隔离方案的时候应该如何决策呢？熊毅认为：“面对选择什么样的零信任建设方案这个话题，甲方安全团队应该从自身的真实问题和需求点出发，思考我们面临什么问题，我们要解决什么问题，能解决问题的方案才是最适合自己的。"
 

对于微隔离而言，其中最主要的考虑的因素就是计算机性能的开销问题，而从原有的传统安全架构升级到零信任架构注定是一个长期的整体工程，这是一个不断自我提升和完善的过程，因此在零信任架构的神户建设规划中，企业应该专注于自身安全防御能力的提升和优化，将策略和技术手段结合起来，来制定一个适合自身的建设方案。