微隔离、漏扫、端点防护平台——网络安全新三样
“防火墙、入侵防御、病毒查杀(防毒墙,主机杀毒软件)”,这个网络安全老三样被大家所熟知,正如“老三样已经过时了”的观点为大家所熟知一样。那么问题来了,“老三样”为什么过时了?不用老三样,又应该用什么呢?
退居二线的“老三样”
首先,我们还是要给这三位老同志发个终生成就奖。如果你仔细分析就会发现,防火墙管了网络层,入侵防御管了应用层,防毒墙管了数据或者说内容,这三位在网关的位置一站,还真就把那个时代绝大多数的网络安全问题给解决了。投资又少、部署又简单、效果又明显,如果实在没钱,只买这三样,基本就可以认为是安全到位了。可以说这三位为我们国家的网络安全工作做出了卓越贡献。
但是,时代的车轮滚滚向前,老革命遇到了新问题。边界防御的理念已经不可避免的走到了生命尽头。且不说各种渗透手段层出不穷,各种内部攻击此起彼伏,最具颠覆性的情况是,“边界”都没了,边界防御还怎么搞呢?以云计算网络而论,多应用混部、多租户混部、工作负载瞻之在前忽焉在后,容器镜像方生方死、方死方生。在云计算时代,就没有“边界”这种东西存在!
所以...哦对,还不能着急“所以”,老三样中我们讨论了两个半,还有半个(主机杀毒软件)是不是可以再抢救一下?答案是肯定的,这位同志老而弥坚,老骥伏枥,目前看还能继续革命,不过适合他的工作岗位已经大不如前了。大家知道端点防护的分化这件事吧。在过去,端点防护是统一的,无论是办公网还是数据中心,大家用的是一套东西。但是到了云计算时代,目前根据Gartner的定义,已经明确分为两个大品类,即端点防护平台(EPP)和云工作负载防护平台(CWPP)。在EPP上,杀毒目前看仍然不可或缺,但是在CWPP上,目前业界的共识就是,杀毒确实没啥用了(可以参看Gartner对CWPP的分析)。而基础设施建设和网络安全建设的重点目前都在云计算上,所以我们说,虽然主机杀毒这位老革命还可以继续战斗,但是基本告别了主战场。
麦克阿瑟说的好,老兵不死只是凋零。他们在自己的岗位上从未失败,奈何,岗位没了。
长江后浪继前浪的“新三样
凭吊完老前辈,我们看看在新的战场上是不是有新的英雄呢?答案当然也是肯定的,所谓江山代有才人出,长江后浪继前浪(注意,是继,不是拍,凭啥拍,不许拍!)。经过最近这几年的摸索,在云计算环境下,在零信任安全理念下,目前从理论到实践,我们基本上可以确认一个“新三样”出来——微隔离,漏扫,端点防护平台(EPP/CWPP)。
从大的安全框架讲,新三样基本放弃了边界防御,而是通过零信任的方式,对全部资产(硬的、软的、虚拟的、人、数据、业务)进行统一管理。
✅ 首先是微隔离,它可以解决基于身份的,网络主体之间的最小权限访问控制问题。这是第一道防线。只要做好微隔离,我们就可以把系统的暴露面下降90%以上,可以说是最具性价比的一种安全手段。
✅ 然后是漏洞扫描,它可以解决合规访问的风险管理问题。系统要工作就必须开放必要的服务供其他主体访问,而一旦这些服务上存在漏洞就有被利用的可能,这是微隔离无法解决的。所以需要通过漏洞扫描的方式进行及时的发现与处理。
✅ 然后是端点防护平台,它可以解决系统级的安全问题。如果一个访问成功地从业务线通过了微隔离的防御并且利用了0day躲开了漏洞扫描的阻击,这时候就该端点防护登场了,它可以通过进程守护、内存保护、沙盒诱捕,行为分析等多种手段进行防御。
大家可以看到,通过这“新三样”的配合,我们仍然可以在理论上建立起一个全覆盖的安全防御体系。当然这里不是说别的产品不重要,而是说这三个应该是起点,是最低配置。如果没有这三样东西,你的安全防御体系是不牢固的,你再买别的东西没有太大意义,有了这三样,你就有了一个基本盘,然后可以逐步优化、态势感知、主动防御等等。
最后再强调一下,我们认为,“老三样”不是完全没用了,只是说它们已经不能继续扮演网络安全基础组件的角色了,它们仍将继续在一些地方发挥作用。但是,当代网络安全的核心基础设施,属于微隔离... 和上面我们介绍过的另外两位同志,奥力给!
微隔离、漏扫、端点防护平台——网络安全新三样相关推荐
- 什么是微隔离?它的作用是什么?
网络安全公司Byos曾对100位企业网络安全领导者开展了一项关于微隔离策略的调查.调查结果显示,有83%的领导者通过某种形式的微隔离来增强其企业网络安全性. 这也意味着超八成大型企业开始应用" ...
- 盘点2018年网络空间安全热点:GDRP,微隔离,容器安全,SOC······
一转眼2018年已经走到了尽头 白了头,累了心 但依然心怀憧憬 这一年来,企业服务圈内可谓是风云变幻,各类新产品.新技术.新模式,甚至新概念层出不穷. 作为企业服务领域的从业者,整个2018年,我们都 ...
- 微隔离的红蔷薇在湾区创见的舞台绽放
2020年11月28日,以"新基建 新安全"为主题的首届湾区创见网络安全大会在深圳国际会展中心盛大开幕.公安部副部长林锐,中央网信办网络安全协调局副局长.一级巡视员高林,国家密码管 ...
- 《2022微隔离技术与安全用例研究报告》发布
从近几年的网络攻击形势看,内网的攻击逐渐增多.然而,目前绝大部分组织的安全防御思路仍然停留在边界防御阶段,相比之下对内网的安全防护 关注则较少,针对内网横向移动的防护不够"坚固", ...
- 常见安全设备总结(IDS、IPS、上网行为管理、网闸、漏扫、日志审计、数据库审计、堡垒机等)
常见安全设备总结(IDS.IPS.上网行为管理.网闸.漏扫.日志审计.数据库审计.堡垒机等) 一.网络结构 二.防火墙.IPS 1.防火墙 2.IPS 三.上网行为管理.网闸 1.上网行为管理 2.网 ...
- 云原生安全联防联抗策略玩转微隔离
前言 随着信息技术的发展.互联网的快速普及,越来越多的信息被存储在云端,企业面临的安全问题也日益突出.在<网络安全法>.<数据安全法>等多部法律法规要求下,各行业用户纷纷设立安 ...
- 信息安全体系建设☞通过防火墙实现内部网络的微隔离
我在这里开博的主要目的是想研究一下开源的安全产品,同时也把自己的一些经验和想法分享给大家. 在之前的一篇博文中, 我介绍了开源防火墙产品FreeBSD.其实这类的开源产品很多,基本上都能满足一些小型的 ...
- 通信行业力推零信任标准,蔷薇灵动微隔离首批获证
7月27日至28日,以"数字裂变,可信发展"为主题的2021可信云大会在京拉开帷幕.大会邀请云计算行业专家学者.知名企业代表.行业大咖同台论道,围绕行业发展趋势.落地应用.新兴技术 ...
- 扫地机器人漏扫严重?INDEMIND将空间覆盖率提升至90%以上
与大多数电子产品不同,在选购扫地机器人时,由于人们对机器人缺乏了解,而产品的一些较直观的指标参数,如吸力往往被惯性的作为判定产品性能好坏的参考标准,但事实上,参数高真的等于"好用" ...
最新文章
- nvidia命令不可用linux,在Linux命令行下如何正确配置nVIDIA显卡
- 【前端】前端笔试题 [1]
- datatables 展开 折叠_【图说新机】9月折叠屏、屏下摄像头新机同时上市,该怎么选?...
- CSS3---3.相对父元素的伪类
- 利用openmp实现矩阵相乘_矩阵快速幂
- 变成字符串_字符串哈希:从零开始的十分钟包会教程
- 用什么工具可以制作gif?分享一款在线制作gif动画工具
- day09 CDN绕过漏洞回链接口探针全网扫描反向邮件
- modis数据下载汇总
- kx驱动中的DSP设置
- vue导出word文档
- 安徽师大附中%你赛day3T1 怜香惜玉 解题报告
- JAVA中的protected的访问权限只有在本类同包类和子类吗?
- Unity(12)-场景切换
- DaVinci Resolve Studio达芬奇调色v17.0.0.39安装说明
- 一个简单可用的C++日志类
- Java计算机毕业设计舒旅程旅游景点预订网站源码+系统+数据库+lw文档
- Java一球从100米高度自由落下,每次落地后反跳回原高度的一半;再落下,求它在 第10次落地时,共经过多少米?第10次反弹多高?
- RS485 TO ETH (B)无法联网怎么解决?
- Excel标题如何居中不影响调整列?