等保 2.0 下,安全策略智能編排技術大起底
安全策略是企業整個安全管理與安全防御體系建設的基礎與靈魂。當前大部分企業存在安全策略管理不落地、不可見等策略管理問題,同時如何自動識別并清理冗余策略、寬松策略和沖突策略等來縮緊攻擊面,也是企業面臨的策略優化的難題。本文重點關注訪問控制類安全策略的智能編排技術。
等保2.0關于安全策略的規定
等保2.0標準中對安全策略做了詳細要求,下面表格中列出了等保2.0對安全策略的要求,黑色加粗字體表示是針對上一安全級別增強的要求。
表1、等保2.0不同保護級別的安全策略相關要求對比
| 保護級別 | 防護分類 | 安全策略相關要求 |
|---|---|---|
| 一級 | 安全區域邊界 | 6.1.3.2 訪問控制a) 應在網絡邊界根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信; |
| 二級 | 安全區域邊界 | 7.1.3.2 訪問控制 a) 應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信; |
| 二級 | 安全管理制度 | 7.1.6.1 安全策略 應制定網絡安全工作的總體方針和安全策略,闡明機構安全工作的總體目標、范圍、原則和安全框架等。7.1.10.6 網絡和系統安全管理 c) 應建立網絡和系統安全管理制度,對安全策略、賬戶管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面作出規定; |
| 三級 | 安全區域邊界 | 8.1.3.2 訪問控制 a) 應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信; |
| 三級 | 安全計算環境 | 8.1.4.2 訪問控制 e) 應由授權主體配置訪問控制策略,訪問控制策略規定主體對客體的訪問規則; |
| 三級 | 安全管理中心 | 8.1.5.3 安全管理 b) 應通過安全管理員對系統中的安全策略進行配置,包括安全參數的設置,主體、客體進行統一安全標記,對主體進行授權,配置可信驗證策略等。8.1.5.4 集中管控 e) 應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理; |
| 三級 | 安全管理制度 | 8.1.6.1 安全策略應制定網絡安全工作的總體方針和安全策略,闡明機構安全工作的總體目標、范圍、原則和安全框架等。8.1.6.2 管理制度c) 應形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的安全管理制度體系。8.1.7.5 審核和檢查 b) 應定期進行全面安全檢查,檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等;8.1.10.6 網絡和系統安全管理 c) 應建立網絡和系統安全管理制度,對安全策略、賬戶管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面作出規定;j) 應保證所有與外部的連接均得到授權和批準,應定期檢查違反規定無線上網及其他違反網絡安全策略的行為。 |
| 四級 | 安全區域邊界 | 9.1.3.2 訪問控制 a) 應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信; |
| 四級 | 安全計算環境 | 9.1.4.2 訪問控制 e) 應由授權主體配置訪問控制策略,訪問控制策略規定主體對客體的訪問規則; |
| 四級 | 安全管理中心 | 9.1.5.3 安全管理 b) 應通過安全管理員對系統中的安全策略進行配置,包括安全參數的設置,主體、客體進行統一安全標記,對主體進行授權,配置可信驗證策略等。9.1.5.4 集中管控 e) 應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理; |
| 四級 | 安全管理制度 | 9.1.6.1 安全策略應制定網絡安全工作的總體方針和安全策略,闡明機構安全工作的總體目標、范圍、原則和安全框架等。9.1.6.2 管理制度 c) 應形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的安全管理制度體系。9.1.7.5 審核和檢查 b) 應定期進行全面安全檢查,檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等;9.1.10.6 網絡和系統安全管理 c) 應建立網絡和系統安全管理制度,對安全策略、賬戶管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面作出規定; j) 應保證所有與外部的連接均得到授權和批準,應定期檢查違反規定無線上網及其他違反網絡安全策略的行為。 |
等保2.0中,對安全策略的管理和優化,主要依賴于安全管理制度的制定和落地實施。在企業中安全管理制度一般是存在的,但這種基于規章制度的安全策略管理和優化,一般很難落地。因此,企業需要具備安全策略智能編排能力的產品。
基于安全策略的安全運營系統模型
本節通過Gartner自適應安全架構模型的發展演進,來闡述安全策略管理和優化的重要性。
Gartner在2014年針對高級別攻擊設計了一套自適應安全架構。2015年10大科技趨勢中提及了基于風險的安全策略和自安全。
圖1、自適應安全架構1.0的模型結構圖
自適應安全架構1.0模型是針對于當時市場上的安全產品主要重在防御和邊界的問題,安全形勢形成了嚴重的挑戰下提出的。它讓人們從防御和應急響應的思路中解放出來,相對應的是加強監測和響應能力以及持續的監控和分析,同時也引入了全新的預測能力。
2016年自適應安全架構的原作者,Gartner兩位王牌分析師Neil MacDonald和Peter Firstbrook對此架構進行了勘誤和改版,變動并不大,但是同年自適應安全架構在全球范圍內得到了廣泛的認可。在2017年進入了自適應安全架構的2.0時期,在1.0的基礎上進行了相關的理論豐富。
圖2、自適應安全架構2.0的模型結構圖
在自適應架構2.0的時候加入了一些額外的元素,主要是三點變化:第一、在持續的監控分析中改變成持續的可視化和評估,同時加入了UEBA相關的內容;第二、引入了每個象限的小循環體系,不僅僅是四個象限大循環;第三、在大循環中加入了策略和合規的要求,同時對大循環的每個步驟說明了循環的目的,到保護象限是實施動作,到檢測象限是監測動作,到響應和預測象限都是調整動作。自適應架構2.0將策略和合規的問題囊括進來,就將自適應安全架構的外延擴大了,在此架構提出的時候主要是針對于高級攻擊的防御架構,相當于此架構的普適性增強了。
在2018年十大安全趨勢中,正式確認了“持續自適應風險與信任”的安全趨勢,也即是自適應安全架構3.0。
圖3、自適應安全架構3.0的模型結構圖
比之前最大的變化即是多了關于訪問的保護內環,把之前的自適應安全架構作為攻擊的保護外環。
通過Gartner自適應安全架構模型的演進,我們發現安全策略的管理和優化在安全運營系統模型中的作用越來越重要。
安全策略智能編排技術簡介
安全策略的智能編排技術,包括但不限于:策略自動生成、策略命中與收斂分析、策略優化梳理、策略沖突檢測與消解、策略智能開通等。
安全策略種類繁多,本文重點關注訪問控制類的安全策略,如ACL策略。
策略自動生成技術
針對新部署防火墻或是防火墻設備遷移場景時,由于業務復雜性,管理員很難規劃和設計防火墻的訪問控制策略,而是希望能通過對防火墻一段時間的流量監控,從流量會話信息中梳理出ACL策略列表建議,從而選擇性的實施到防火墻策略列表中。
策略自動生成技術,可以通過學習現網中真實流量信息與互聯關系,自動梳理出防火墻策略建議,具備根據目標、時間、匯聚顆粒度等過濾條件梳理策略的能力,同時可將策略建議轉換成策略腳本,便于策略的維護和添加。
策略命中與收斂分析技術
策略命中分析技術,通過對進出防火墻設備的流量會話數據監控和統計,針對防火墻上每條策略實現歷史一段時間的命中流量總數呈現,同時可查看對應的歷史命中流量會話信息詳情。通過策略命中,調整策略順序,命中數多的策略優先級高,提升防火墻效率;同時找出長期無用策略,針對性進行縮緊和刪除,以實現最小化訪問策略原則,從而提升網絡的整體安全防御能力。
策略收斂分析技術,通過策略收斂度比值的方式呈現目標防火墻上每條策略的寬松程度,策略收斂度值越小策略越寬松,同時可以查看實際命中原子策略信息。策略收斂度比值=實際命中原子策略數/策略最小原子策略數*100%。通過策略收斂分析,找出寬松策略和長期無效策略,針對性進行縮緊和刪除,以實現最小化訪問策略原則,從而提升網絡的整體安全防御能力。
策略優化梳理技術
通常防火墻策略由于頻繁變更、日積月累會造成很多垃圾無用策略,一方面影響防火墻運行效率,另一方面也會存在一定安全隱患。
策略優化梳理技術,可定期針對防火墻對象(包括地址對象、時間對象)和策略(包括安全策略、ACL策略、NAT策略、路由策略等)進行優化檢查分析,梳理出各類空對象、未被應用對象、冗余策略、隱藏策略、過期策略、可合并策略、空策略等,管理員可根據分析結果再對策略進行精簡和優化調整。
表格2、安全策略配置檢查表
| 策略檢查類型 | 詳細描述 |
|---|---|
| 冗余策略 | 同一策略集內,一條低優先級策略的源地址、目的地址、服務對象、時間對象、老化對象(長短鏈接)完全包含高優先級另外一條策略的源地址、目的地址、服務對象、老化時間,并且動作相同。 |
| 隱藏策略 | 同一策略集內,一條高優先級策略的源地址、目的地址、服務對象、時間對象完全包含或等于另外一條低優先級策略的源地址、目的地址、服務對象、時間對象,不管動作是否一致或相反。 |
| 過期策略 | 策略中會包含時間對象,當時間對象過期后,該策略會顯示為過期策略。 |
| 可合并策略 | 同一策略集內,兩條及以上策略源域、目的域以及動作相同的策略,源地址、目的地址、服務對象、時間對象四個元素只有一項不相同,其余均相同。 |
| 空策略 | 策略引用的源地址對象、目的地址對象或服務對象有為空的對象,此類策略在實際應用中是不會被匹配。 |
策略沖突檢測與消解技術
策略沖突檢測主要用于檢測新增策略是否會與現有的策略產生沖突。
策略沖突檢測與消解技術方法眾多相對專業,本文僅簡介不深究。
圖4、策略沖突檢測與消解的流程圖
策略沖突檢測與消解技術,包括但不限于:基于決策樹、基于規則集、基于矩陣化的訪問控制策略沖突檢測與消解技術。
◇ 基于決策樹的策略沖突檢測與消解技術
決策樹技術是利用信息論中的信息增益尋找數據庫中具有最大信息量的字節,建立決策樹的一個節點,再根據字段的不同取值建立樹的分枝。在每個分枝子集中重復建立下層節點和分枝,由此生成一棵決策樹。然后再對決策樹進行剪枝處理,最后將決策樹轉化為規則。
本方案可以運用這些規則,對現有的訪問控制策略進行優化,提高網絡的安全性和訪問效率。同時,所生成的決策樹可在新規則加入時進行調整,為后續工作的開展做好基礎性工作,從宏觀上管理訪問控制策略。
(1)利用樹的優化算法進行策略簡化,消除冗余。
(2)利用樹的優化算法進行策略沖突檢測,消除沖突。
◇ 基于規則集的策略沖突檢測與消解技術
系統在實施保護資源的過程中,由于系統中存在大量安全策略以及不同的安全策略可能涉及到相同的主體、客體和權限,因此可能產生沖突,從而導致不一致的系統行為,造成訪問控制系統執行效率及準確性低下。為解決這一問題,通過對安全策略的形式化分析定義了基于規則集的訪問控制策略的一般特性,并給出了安全策略所描述實體內在的關系,使安全策略的描述在該領域內具有一定的通用性。以此為基礎,本方案給出了沖突的靜態分析檢測與消解方法及動態分析檢測方法。
1、靜態分析檢測
靜態方法是對策略聲明進行語法分析以期發現沖突,針對的是與系統即時狀態無關的沖突。
(1)模態沖突
模態沖突:模態沖突是指策略的描述不一致,兩條策略具有重疊的主體和客體,卻分別執行了肯定授權與否定授權而發生的策略沖突行為。
模態沖突處理方法:模態處理方法采取否定優先法,為了保證系統的安全性,通常習慣是要求系統禁止執行某些行為。
(2)行為沖突
行為沖突:行為沖突是指兩條策略中的行為存在某種順序關系或依存邏輯關系且授權模式相反,一個肯定授權另一個否定授權。如果兩條策略規定的行為存在順序關系而相應的行為標記卻和行為邏輯相反,則存在行為沖突。
行為沖突處理方法:否定優先法。
(3)職責分離沖突
職責分離沖突是指同一個用戶被指派給了互斥的角色。
職責分離沖突處理方法:去除最早策略。
2、動態分析檢測
由于靜態檢測是靜態的對策略聲明進行語法分析,以發現策略內存在的沖突,沒有考慮由于進程間的調用所導致的權限傳遞,而造成策略沖突。通過進程調用導致權限傳遞出現的策略沖突是靜態檢測無法檢測的。
動態檢測提供了解決的方法,所謂動態檢測方法則是指在系統運行期間,通過對系統所有可能出現的狀態進行檢查分析來發現沖突。
◇ 基于矩陣化的策略沖突檢測與消解技術
在基于矩陣的描述中策略被描述成
,其中變換矩陣是將策略由簡單策略集合的形式變換為矩陣形式的關鍵,在A_(n×k)中n、k的取值和變換矩陣中每個元素的之間的關系反映的是變換矩陣的線性相關性,而另一方面也反映著簡單策略集中每個元素之間的關系,從而決定了復雜策略的類型。
獲取到變換矩陣后,通過判定矩陣列向量間的關系來進行策略類型判斷。變換矩陣的求解是利用線性表達式中,策略子集和簡單策略集合中元素的包含關系得到的,得到變換矩陣能夠利用對變換矩陣的檢測,從而檢測出復雜策略的類型。得到了復雜策略的變換矩陣,就可以對策略進行沖突檢測。
本方案利用將復雜訪問控制策略進行簡化,用策略行向量和變換矩陣乘積的形式來表示復雜策略,然后利用對變換矩陣中的元素的檢測來對復雜策略進行沖突檢測,也就是說,復雜策略的變換矩陣的元素決定了策略類型和沖突類型,那么在進行沖突消解時,只需要對復雜策略的變換矩陣進行消解即可。
策略智能開通技術
策略智能開通技術,通過結合工作流、用戶權限、合規檢查和策略仿真,綜合梳理業務、權限、資產、策略和數據的關系,實現安全策略變更申請、自動分析、自動設計、審批與自動驗證的全生命周期管理,全面提升企業安全運營的管理能力。
圖5、策略智能開通流程圖
當安全策略變更時,首先通過工作流提交業務申請,包括允許策略或拒絕策略的詳細信息。
系統通過基于路徑可達與策略合規檢查的自動化分析技術來判斷業務風險,合規檢查采用了策略基線矩陣模型。風險審核員根據業務風險的識別結果來進行風險審核。
風險審核通過后,系統通過基于策略模擬仿真的技術自動檢測冗余策略、可合并策略,提供策略沖突消解或策略優化的配置建議。技術審核員根據技術風險的識別結果來進行技術審核。
技術審核通過后,系統會調用策略自動化變更模塊對相應的變更配置進行下發,實現策略下發驗證。
◇ 路徑可達分析技術
圖6、路徑可達分析示意圖
路徑可達分析技術,可實現任意源地址到目的地址的訪問路徑及數據流分析,包括是否有可達路徑、可達路徑經過的節點及命中的路由及策略信息、允許或拒絕的數據流詳情等;訪問路徑分析時,通過源地址定位到對應的網關設備,再通過網關設備上的路由逐一尋找下一網關,直到目的地址;期間需匹配網關設備上的ACL策略、NAT策略、路由、安全策略等信息。
◇ 策略基線矩陣模型
基于策略基線矩陣模型,建立從安全域到安全域的訪問策略,從業務到業務的訪問策略,從安全域到業務的訪問策略,從業務到安全域的訪問策略。
通過基線矩陣來模擬實際網絡環境中各安全域之間、業務之間等的訪問情況,并設定一個合規標準進行訪問控制策略合規檢查和告警。
圖7、業務到業務的訪問策略基線矩陣示意圖
◇ 策略模擬仿真技術
選定防火墻等設備,模擬新增策略或策略調整,進行策略仿真。
策略模擬仿真的計算結果如下:
√ 是否已有相同策略或更加寬松策略,如果有則不需要再新增;
√ 新增策略是否會與現有的策略產生沖突;
√ 策略變更或調整后是否會帶來與訪問控制規則相違背的路徑;
√ 策略調整對全網路徑和數據流分析會帶來什么樣的影響。
小 結
安全策略是企業整個安全管理與安全防御體系建設的基礎與靈魂。通過安全策略的智能編排技術,可以解決安全策略的自動生成、命中與收斂分析、優化梳理、沖突檢測與消解、智能開通等難題,實現基于安全策略全生命周期管理的安全運營,讓等保2.0關于安全管理制度的規定真正落地,解決企業安全策略管理不落地、不可見等策略管理難題。
