This post is also available in: English (英语) 繁體中文 (繁体中文) 日本語 (日语) 한국어 (韩语) Português (葡萄牙语(巴西))
新闻界的原则如何帮助定义零信任策略
众所周知,不论是新闻文章、博客帖子还是白皮书,要具有可信度,作者需要叙述主题的“何人、何事、何地、何时、为何与如何”。如果没有涵盖这些内容,读者就只能看到一部分的故事。拉迪亚德·吉卜林清楚地定义了这些新闻要素:
我有六名忠实的仆人
(我所知道的都是他们教的);
他们的名字是:何事、为何、何时
如何、何地与何人。
——拉迪亚德·吉卜林,《原来如此的故事》,1902 年
而这种“吉卜林方法”的用途已经延伸到了新闻的最佳实践之外。多年以来,我使用吉卜林方法帮助企业定义策略,并构建零信任网络。这能够确保安全团队获得明确的定义,并且所有人(包括非技术的业务主管)能够通过这种简单的方法理解网络安全策略。
第 3 层策略与第 7 层策略
为了实际地应用吉卜林方法,并构建真正的零信任架构,您需要了解为何不能通过第 3 层技术实现这一点。
首先,第 3 层与第 7 层之间存在什么区别?第 3 层仅根据 IP 地址、端口或协议评估信息。由于缺乏能够查看的信息,因此严重受限。IP 地址可以伪装。简单的端口扫描就能发现所有的开放端口,这样攻击者能够封装窃取的数据,并通过这些开放的端口泄露。协议只是一种元数据标记,用于帮助管理员了解本应遍历特定端口的流量类型。最重要的是,所有的攻击者都知道如何规避第 3 层控制。您需要使用更高的精准度进行定义,从而保证企业的安全。
相比之下,第 7 层更加具体。在这里,根据实际使用的应用评估信息(例如,将 Facebook 定义为唯一的应用,而不是通过端口 80 和 443 的流量)。在 Forrester 时,我创造了构建零信任网络的五步法。在第四步提出,需要根据数据、与数据交互的用户或应用的预期行为编写分段网关的策略规则。作为零信任环境中的分段网关,Palo Alto Networks 新一代防火墙能够帮助您实现这些,鉴于策略的细粒度要求,只能在第 7 层实现这一点。
利用 Palo Alto Networks 新一代防火墙实现吉卜林方法
以下展示了如何应用吉卜林方法部署 Palo Alto Networks 新一代防火墙,同时使用我们创新性的 User-ID、App-ID 和 Content-ID 技术:
- User-ID 代表何人声明:“何人正在访问资源?”
User-ID 是源 IP 地址给出的近似值的第 7 层实例化。例如,我们能够从 Active Directory 中获取 OU,从而将域用户拉取到自定义 User-ID 中。然后,我们可以从 GlobalProtect 客户端添加诸如多重身份验证 (MFA) 或主机信息配置文件 (HIP) 之类的内容,以增强“何人”声明的准确性。我们还可以将 MFA 添加到 User-ID 和附加属性中,从而提供更加精细的控制。
- App-ID 代表何事声明:“使用什么应用访问资源?”
Palo Alto Networks 目前有 2800 多个已发布的 App-ID(请访问 Applipedia 查看不断丰富的列表),用于构建这些规则。这意味着攻击者无法再使用像 Web 服务 (HTTP/HTTPS) 一样的常规应用规避安全控制。
- Content-ID 代表如何声明:“应如何允许 User-ID 和 App-ID 流量访问资源?”
Content-ID 中包含 Threat Prevention 规则,这是我们的高级入侵防护功能;通过 SSL 解密使恶意流量和被窃取的数据无法藏匿于加密隧道中;通过 URL Filtering 避免用户访问恶意域或网络钓鱼域;WildFire 是我们最先进的沙盒技术,该技术重新定义了阻止恶意软件的方法;我们全新的 DNS Security 服务为自动保护应用了预测分析,从而阻止使用 DNS 的攻击。
通过这三种定义了何人、何事以及如何声明的技术,可以轻松地定义基本的吉卜林方法第 7 层规则,并使用我们的 Panorama 管理系统实施。此外,PAN-OS 能够添加何时声明(描述时间的规则);何地声明(与资源位置有关,通常由 Panorama 通过 API 自动获取);或为何声明(方法是从数据分类工具中读取元数据并用于规则中)。
吉卜林方法通过拉迪亚德·吉卜林提供的“何人”、“何事”、“何时”、“何地”、“为何”以及“如何”这种简单的方法,帮助业务领导者和安全管理员定义精细的第 7 层策略。从未考虑过编写防火墙策略的人也很容易理解这种方法,并通过定义必要的条件来为分段网关创建规则集。