NIST《網絡靶場指南》淺析
2020年6月底,NIST發布《網絡靶場指南》,定義了網絡靶場,并總結了網絡靶場的特征及類型。網絡靶場是網絡、系統、工具和應用程序的交互式、模擬平臺和展示。具有五大關鍵特征:技術要素、真實性和逼真度、可訪問性和可用性、可擴展性和彈性以及相關課程和學習成果。NIST的網絡靶場定義范圍主要圍繞網絡安全教育、認證和培訓的使用案例、功能和類型來進行描述,且由美國國家網絡安全教育計劃(NICE)網絡靶場項目小組編寫,所以其總結的網絡靶場特征及類型偏重于特定范圍。
NIST《網絡靶場指南》的價值在于針對網絡安全培訓、教育和人才培養的生態系統中不斷增長的培訓方法和規范的多樣性在網絡靶場內部署的各種技術和方法的探索和分析,并總結了有關網絡靶場內關鍵功能的參考資源。
NIST將網絡靶場的技術框架劃分為四層,分別是編排層、底層基礎架構層、虛擬化層和目標基礎設施層。其技術框架圖如下所示:
圖1 NIST定義的網絡靶場技術框架
NIST的網絡靶場的技術框架中,由于其主要圍繞網絡安全教育、認證和培訓的使用案例、功能和類型來進行描述,所以其技術框架的主體是靶場學習管理系統(Range Learning Management System,RLMS)。靶場學習管理系統是培訓靶場典型的最主要功能,在培訓靶場的靶場學習管理系統中,包含通用學習管理系統(LMS)的標準功能和網絡靶場的獨特特征。這些網絡靶場的獨特特征包括其定義的網絡靶場四層。
編排層:從RLMS輸入信息,編排層將網絡靶場所有技術或服務組件整合在一起,有利于底層基礎設施、虛擬化、隔離以及目標基礎設施的網格化,支持公有云、私有云和專用硬件基礎設施的動態網絡靶場擴展。許多網絡靶場使用內部開發的編排層,也有一些網絡靶場使用成熟的商業產品來充當成熟模式的業務編排,直接和靶場的底層基礎設施進行對接。
底層基礎架構層:底層基礎架構層包含的是網絡、服務器和存儲這些承載網絡靶場數據和信息的基礎設施,所有網絡靶場都位于網絡、服務器和存儲的基礎設施之上,區別在于有些靶場構建在通用的硬件上,有些靶場構建在虛擬化或云上,有些靶場構建在專用的定制硬件上。就目前世界網絡靶場發展及本身的信息技術的趨勢,結合可伸縮性、成本和可擴展性因素,網絡靶場的底層基礎架構正轉向軟件定義的虛擬基礎架構。在網絡靶場底層基礎架構層,對客戶需求的兼容度是衡量網絡靶場能夠實現多大程度上的真實性或逼真度。即網絡靶場底層基礎架構層能夠實現多大的軟硬件兼容,就能夠最大程度的實現和還原客戶所需環境的真實性或逼真度。因此靶場的底層基礎架構其實是需要極大的軟硬件集成能力。此外,盡管并非完全是基礎架構的一部分,但許多網絡靶場都采用了需要流量生成和攻擊仿真的用例。
虛擬化層:大多數網絡靶場都希望通過某種程度的虛擬化來縮小物理覆蓋范圍。NIST《網絡靶場指南》指出具有兩種通用方法:基于虛擬化管理程序的解決方案和軟件定義的基礎結構。不管采用哪種虛擬化方法,底層物理基礎架構和目標基礎架構之間的分離程度都會由于不必要的和不可預測的抖動和延遲而影響網絡靶場的真實性。另一方面,如果沒有此虛擬化層,網絡靶場構建的成本將是不可承受的(即投入產出比完全不對等,除非是軍事國防等目的不計成本)。它還充當目標基礎結構(具有關聯的攻擊媒介)和基礎結構(專用、公共云、私有云)之間的防火墻。
目標基礎設施層:目標基礎設施是學生在其中進行培訓的模擬環境。根據用例,目標基礎架構在某些情況下可以與學生的實際IT和安全基礎架構匹配。高級網絡靶場包含商用服務器、存儲、端點、應用程序和防火墻的配置文件。基于學生的互動,RLMS將生成腳本來指示網絡靶場的編排層創建目標基礎結構。這些腳本可能包括特定于客戶機的配置信息,如靶場IP地址、路由信息、服務器堆棧、端點軟件等。
圖2 NIST《網絡靶場指南》的四層技術框架
NIST《網絡靶場指南》除了上述的培訓靶場技術要求的論述外,還著重描述了網絡靶場的其他四個關鍵特征,包括真實性和逼真度、可訪問性和可用性、可擴展性和彈性以及相關課程和學習成果。
從網絡靶場的真實性和逼真度上來說,NIST《網絡靶場指南》認為網絡靶場代表現實世界的真實性對于開發可預測的運營和學習成果非常重要,但是也要考慮真實性和成本的平衡。個別技能的教學或培訓可以使用不太真實的情景,主要能夠達到培訓或掌握技能的目的即可,在學生完全掌握技能方法后,可以在更加真實的環境中去練習和演練該技能。
從網絡靶場的可訪問性和可用性上來說,NIST《網絡靶場指南》認為網絡靶場的部署位置和靶場本身的復雜性是兩個決定性因素。網絡靶場的部署位置主要是基于云端的部署和本地的部署,不管是何種部署方式,網絡靶場都要考慮好在用戶需要的時候可以訪問靶場技術和應用程序,并且盡可能提供優質的用戶體驗。這些一系列的背后就需要考慮網絡鏈路、帶寬質量、政策及靶場軟硬件的負載等。網絡靶場本身的安裝、使用是否復雜將決定網絡靶場的可用性。也就是說網絡靶場的本身的安裝、使用操作一定是人性化的,不能還是工程師界面或命令行操作接口;如果靶場本身比較復雜,那么靶場本身的可用性就比較低了。NIST《網絡靶場指南》認為不管是用戶選擇靶場產品還是廠商設計產品,都需要考慮網絡靶場的可用性,這是一個很關鍵的要素。
從網絡靶場的可擴展性和彈性上來說,NIST《網絡靶場指南》認為網絡靶場的底層基礎架構將是決定性因素。可擴展性是指網絡靶場支持系統目標人群的能力,彈性是指增加容量以支持更多用戶所需的時間。NIST《網絡靶場指南》認為理想的靶場應該能夠同時支持其所有潛在用戶群,并可以根據要求立即增加支持其他用戶的能力。但是通過調研來看,本都部署的靶場由于受限于本地機房的硬件資源,是不可能滿足此項能力的,因此部署在公有云上的靶場才可能滿足此項要求。
從網絡靶場的相關課程和學習成果上來說,NIST《網絡靶場指南》認為基于網絡靶場的課程和學習成果對于所有利用網絡靶場的可能用例和利益相關者目標都是至關重要的。網絡靶場的相關課程和學習成果可滿足和對標美國國家標準與技術研究院(NIST)的國家網絡安全教育計劃(NICE)所列舉的類別、專業領域、工作角色、知識、技能和能力(KSA)。通過網絡靶場,開發定制相應NICE框架課程,進行網絡安全技能實操訓,以增加和維護熟練網絡安全專業人員的數量。
最后NIST《網絡靶場指南》對目前市面上的網絡靶場的類型進行了分類,這部分的內容主要結合了澳大利亞國防部發布的“網絡空間靶場與測試臺調查”論文的結果,將網絡靶場的主要類型分為4類:模擬類、仿真類、疊加類、混合類。該結論在澳大利亞國防部發布的“網絡空間靶場與測試臺調查”論文基礎上增加了混合類網絡靶場的分類方法。
模擬類:NIST《網絡靶場指南》對模擬類網絡靶場的定義是,基于真實網絡組件重建的一個綜合網絡環境,模擬運行在虛擬實例中,不需要任何物理網絡設備。模擬類網絡靶場對真實世界建模,通過模型之間的互動,分析各單元的行為表現。模擬類網絡靶場部署容易,安裝和維護費用較低;但是有研究指出,其測試結果準確性存疑。模擬類典型的案例就是美國空軍的SIMTEX網絡安全模擬器。
仿真類:NIST《網絡靶場指南》對仿真類網絡靶場的定義是,在專用的網絡基礎設施上運行,將已構建的網絡/服務器/存儲基礎設施映射到物理基礎設施上,成為網絡靶場的物理基礎設施。仿真類網絡靶場可以在多個互連的環境中提供封閉的網絡體驗。仿真類網絡靶場使用獨立的物理測試臺,配置出需要測試的環境,運行真實的軟件。這類靶場要求能對硬件進行重新配置,可根據測試需要,采用不同的拓撲結構。仿真類網絡靶場使用真實的計算機、操作系統、應用軟件、有限的資源,能反映真實環境;當然,硬件投入比模擬類要高得多(這一點可以通過虛擬化來降低)。仿真類靶場典型的案例就是美國的國家網絡靶場(NCR)。
疊加類:NIST《網絡靶場指南》對疊加類網絡靶場的定義是,運行在真實網絡、服務器和存儲設備之上的網絡靶場。通俗點說就是利用現有的生產環境資源,建立的網絡靶場環境。所以這類靶場稱為“疊加(overlay)”,即在實際的生產現場軟件上進行測試,使用實際的生產資源,而不是使用專門的網絡靶場實驗室。這類靶場在規模、費用和保真度方面都有優勢,缺點是不夠正規,比如重復測試,試驗控制性較差,可能對實際網絡造成不利影響。疊加類靶場典型的案例是美國國家科學基金會資助的全球網絡創新環境(GENI)。
混合類:NIST《網絡靶場指南》對混合類網絡靶場的定義是,混合類網絡靶場是由上述模擬、仿真、疊加三種靶場定制組合產生。混合類靶場典型的案例是弗吉尼亞網絡靶場。弗吉尼亞網絡靶場是利用本文檔上面和列出的多個功能的靶場的一個示例。另一個混合靶場是2008年開始的“歐洲未來互聯網研究與實驗平臺”。
原創: 陶菘 時間之外沉浮事
原文鏈接:https://mp.weixin.qq.com/s/0FQwtu-TKyVuaAh...
