• 周五. 8月 19th, 2022

5G编程聚合网

5G时代下一个聚合的编程学习网

热门标签

等保测评(四)

admin

11月 28, 2021

等保2.0下,安全策略智能编排技术大起底

       安全策略是企业整个安全管理与安全防御体系建设的基础与灵魂。当前大部分企业存在安全策略管理不落地、不可见等策略管理问题,同时如何自动识别并清理冗余策略、宽松策略和冲突策略等来缩紧攻击面,也是企业面临的策略优化的难题。本文重点关注访问控制类安全策略的智能编排技术。  

1、等保2.0关于安全策略的规定

  等保2.0标准中对安全策略做了详细要求,下面表格中列出了等保2.0对安全策略的要求,黑色加粗字体表示是针对上一安全级别增强的要求。

1、等保2.0不同保护级别的安全策略相关要求对比

保护级别

防护分类

安全策略相关要求

一级

安全区域边界

6.1.3.2 访问控制
a) 应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;

二级

安全区域边界

7.1.3.2 访问控制
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;

安全管理制度

7.1.6.1  安全策略
应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。
7.1.10.6  网络和系统安全管理
c) 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定;

三级

安全区域边界

8.1.3.2 访问控制
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;

安全计算环境

8.1.4.2 访问控制
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

安全管理中心

8.1.5.3  安全管理
b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
8.1.5.4  集中管控
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;

安全管理制度

8.1.6.1 安全策略
应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。
8.1.6.2  管理制度
c) 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。
8.1.7.5  审核和检查
b) 应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
8.1.10.6 网络和系统安全管理
c) 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定;
j) 应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。

四级

安全区域边界

9.1.3.2 访问控制
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;

安全计算环境

9.1.4.2 访问控制
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

安全管理中心

9.1.5.3 安全管理
b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
9.1.5.4 集中管控
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;

安全管理制度

9.1.6.1 安全策略
应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。
9.1.6.2 管理制度
c) 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。
9.1.7.5 审核和检查
b) 应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
9.1.10.6 网络和系统安全管理
c) 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定;
j) 应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。

 

  等保2.0中,对安全策略的管理和优化,主要依赖于安全管理制度的制定和落地实施。在企业中安全管理制度一般是存在的,但这种基于规章制度的安全策略管理和优化,一般很难落地。因此,企业需要具备安全策略智能编排能力的产品。

2、基于安全策略的安全运营系统模型

       本节通过Gartner自适应安全架构模型的发展演进,来阐述安全策略管理和优化的重要性。
       Gartner在2014年针对高级别攻击设计了一套自适应安全架构。2015年10大科技趋势中提及了基于风险的安全策略和自安全。

 

1、自适应安全架构1.0的模型结构图

自适应安全架构1.0模型是针对于当时市场上的安全产品主要重在防御和边界的问题,安全形势形成了严重的挑战下提出的。它让人们从防御和应急响应的思路中解放出来,相对应的是加强监测和响应能力以及持续的监控和分析,同时也引入了全新的预测能力。
       2016年自适应安全架构的原作者,Gartner两位王 牌分析师Neil MacDonald和Peter Firstbrook对此架构进行了勘误和改版,变动并不大,但是同年自适应安全架构在全球范围内得到了广泛的认可。在2017年进入了自适应安全架构的2.0时期,在1.0的基础上进行了相关的理论丰富。

 

2、自适应安全架构2.0的模型结构图

在自适应架构2.0的时候加入了一些额外的元素,主要是三点变化:第 一、在持续的监控分析中改变成持续的可视化和评估,同时加入了UEBA相关的内容;第二、引入了每个象限的小循环体系,不仅仅是四个象限大循环;第三、在大循环中加入了策略和合规的要求,同时对大循环的每个步骤说明了循环的目的,到保护象限是实施动作,到检测象限是监测动作,到响应和预测象限都是调整动作。自适应架构2.0将策略和合规的问题囊括进来,就将自应安全架构的外延扩大了,在此架构提出的时候主要是针对于高级攻击的防御架构,相当于此架构的普适性增强了。

       在2018年十大安全趋势中,正式确认了“持续自适应风险与信任”的安全趋势,也即是自适应安全架构3.0。

3、自适应安全架构3.0的模型结构图

3、安全策略智能编排技术简介 

       安全策略的智能编排技术,包括但不限于:策略自动生成、策略命中与收敛分析、策略优化梳理、策略冲突检测与消解、策略智能开通等。
       安全策略种类繁多,本文重点关注访问控制类的安全策略,如ACL策略。

 3.1策略自动生成技术

       针对新部署防火墙或是防火墙设备迁移场景时,由于业务复杂性,管理员很难规划和设计防火墙的访问控制策略,而是希望能通过对防火墙一段时间的流量监控,从流量会话信息中梳理出ACL策略列表建议,从而选择性的实施到防火墙策略列表中。

       策略自动生成技术,可以通过学习现网中真实流量信息与互联关系,自动梳理出防火墙策略建议,具备根据目标、时间、汇聚颗粒度等过滤条件梳理策略的能力,同时可将策略建议转换成策略脚本,便于策略的维护和添加。

 3.2策略命中与收敛分析技术

       策略命中分析技术,通过对进出防火墙设备的流量会话数据监控和统计,针对防火墙上每条策略实现历史一段时间的命中流量总数呈现,同时可查看对应的历史命中流量会话信息详情。通过策略命中,调整策略顺序,命中数多的策略优先级高,提升防火墙效率;同时找出长期无用策略,针对性进行缩紧和删除,以实现最小化访问策略原则,从而提升网络的整体安全防御能力。
       策略收敛分析技术,通过策略收敛度比值的方式呈现目标防火墙上每条策略的宽松程度,策略收敛度值越小策略越宽松,同时可以查看实际命中原子策略信息。策略收敛度比值=实际命中原子策略数/策略zui小原子策略数*100%。通过策略收敛分析,找出宽松策略和长期无效策略,针对性进行缩紧和删除,以实现zui小化访问策略原则,从而提升网络的整体安全防御能力。

 3.3策略优化梳理技术

       通常防火墙策略由于频繁变更、日积月累会造成很多垃圾无用策略,一方面影响防火墙运行效率,另一方面也会存在一定安全隐患。
       策略优化梳理技术,可定期针对防火墙对象(包括地址对象、时间对象)和策略(包括安全策略、ACL策略、NAT策略、路由策略等)进行优化检查分析,梳理出各类空对象、未被应用对象、冗余策略、隐藏策略、过期策略、可合并策略、空策略等,管理员可根据分析结果再对策略进行精简和优化调整

策略检查类型

详细描述

冗余策略

同一策略集内,一条低优先级策略的源地址、目的地址、服务对象、时间对象、老化对象(长短链接)完全包含高优先级另外一条策略的源地址、目的地址、服务对象、老化时间,并且动作相同。

隐藏策略

同一策略集内,一条高优先级策略的源地址、目的地址、服务对象、时间对象完全包含或等于另外一条低优先级策略的源地址、目的地址、服务对象、时间对象,不管动作是否一致或相反。

过期策略

策略中会包含时间对象,当时间对象过期后,该策略会显示为过期策略。

可合并策略

同一策略集内,两条及以上策略源域、目的域以及动作相同的策略,源地址、目的地址、服务对象、时间对象四个元素只有一项不相同,其余均相同。

空策略

策略引用的源地址对象、目的地址对象或服务对象有为空的对象,此类策略在实际应用中是不会被匹配。

 3.4策略冲突检测与消解技术

       策略冲突检测主要用于检测新增策略是否会与现有的策略产生冲突。

       策略冲突检测与消解技术方法众多相对专业,本文仅简介不深究。

 

4、策略冲突检测与消解的流程图

 

策略冲突检测与消解技术,包括但不限于:基于决策树、基于规则集、基于矩阵化的访问控制策略冲突检测与消解技术。

本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。

发表回复

您的电子邮箱地址不会被公开。