等保 2.0 下,安全策略智能编排技术大起底
安全策略是企业整个安全管理与安全防御体系建设的基础与灵魂。当前大部分企业存在安全策略管理不落地、不可见等策略管理问题,同时如何自动识别并清理冗余策略、宽松策略和冲突策略等来缩紧攻击面,也是企业面临的策略优化的难题。本文重点关注访问控制类安全策略的智能编排技术。
等保2.0关于安全策略的规定
等保2.0标准中对安全策略做了详细要求,下面表格中列出了等保2.0对安全策略的要求,黑色加粗字体表示是针对上一安全级别增强的要求。
表1、等保2.0不同保护级别的安全策略相关要求对比
| 保护级别 | 防护分类 | 安全策略相关要求 |
|---|---|---|
| 一级 | 安全区域边界 | 6.1.3.2 访问控制a) 应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; |
| 二级 | 安全区域边界 | 7.1.3.2 访问控制 a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; |
| 二级 | 安全管理制度 | 7.1.6.1 安全策略 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。7.1.10.6 网络和系统安全管理 c) 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定; |
| 三级 | 安全区域边界 | 8.1.3.2 访问控制 a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; |
| 三级 | 安全计算环境 | 8.1.4.2 访问控制 e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; |
| 三级 | 安全管理中心 | 8.1.5.3 安全管理 b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。8.1.5.4 集中管控 e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理; |
| 三级 | 安全管理制度 | 8.1.6.1 安全策略应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。8.1.6.2 管理制度c) 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。8.1.7.5 审核和检查 b) 应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;8.1.10.6 网络和系统安全管理 c) 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定;j) 应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。 |
| 四级 | 安全区域边界 | 9.1.3.2 访问控制 a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; |
| 四级 | 安全计算环境 | 9.1.4.2 访问控制 e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; |
| 四级 | 安全管理中心 | 9.1.5.3 安全管理 b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。9.1.5.4 集中管控 e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理; |
| 四级 | 安全管理制度 | 9.1.6.1 安全策略应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。9.1.6.2 管理制度 c) 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。9.1.7.5 审核和检查 b) 应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;9.1.10.6 网络和系统安全管理 c) 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定; j) 应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。 |
等保2.0中,对安全策略的管理和优化,主要依赖于安全管理制度的制定和落地实施。在企业中安全管理制度一般是存在的,但这种基于规章制度的安全策略管理和优化,一般很难落地。因此,企业需要具备安全策略智能编排能力的产品。
基于安全策略的安全运营系统模型
本节通过Gartner自适应安全架构模型的发展演进,来阐述安全策略管理和优化的重要性。
Gartner在2014年针对高级别攻击设计了一套自适应安全架构。2015年10大科技趋势中提及了基于风险的安全策略和自安全。
图1、自适应安全架构1.0的模型结构图
自适应安全架构1.0模型是针对于当时市场上的安全产品主要重在防御和边界的问题,安全形势形成了严重的挑战下提出的。它让人们从防御和应急响应的思路中解放出来,相对应的是加强监测和响应能力以及持续的监控和分析,同时也引入了全新的预测能力。
2016年自适应安全架构的原作者,Gartner两位王牌分析师Neil MacDonald和Peter Firstbrook对此架构进行了勘误和改版,变动并不大,但是同年自适应安全架构在全球范围内得到了广泛的认可。在2017年进入了自适应安全架构的2.0时期,在1.0的基础上进行了相关的理论丰富。
图2、自适应安全架构2.0的模型结构图
在自适应架构2.0的时候加入了一些额外的元素,主要是三点变化:第一、在持续的监控分析中改变成持续的可视化和评估,同时加入了UEBA相关的内容;第二、引入了每个象限的小循环体系,不仅仅是四个象限大循环;第三、在大循环中加入了策略和合规的要求,同时对大循环的每个步骤说明了循环的目的,到保护象限是实施动作,到检测象限是监测动作,到响应和预测象限都是调整动作。自适应架构2.0将策略和合规的问题囊括进来,就将自适应安全架构的外延扩大了,在此架构提出的时候主要是针对于高级攻击的防御架构,相当于此架构的普适性增强了。
在2018年十大安全趋势中,正式确认了“持续自适应风险与信任”的安全趋势,也即是自适应安全架构3.0。
图3、自适应安全架构3.0的模型结构图
比之前最大的变化即是多了关于访问的保护内环,把之前的自适应安全架构作为攻击的保护外环。
通过Gartner自适应安全架构模型的演进,我们发现安全策略的管理和优化在安全运营系统模型中的作用越来越重要。
安全策略智能编排技术简介
安全策略的智能编排技术,包括但不限于:策略自动生成、策略命中与收敛分析、策略优化梳理、策略冲突检测与消解、策略智能开通等。
安全策略种类繁多,本文重点关注访问控制类的安全策略,如ACL策略。
策略自动生成技术
针对新部署防火墙或是防火墙设备迁移场景时,由于业务复杂性,管理员很难规划和设计防火墙的访问控制策略,而是希望能通过对防火墙一段时间的流量监控,从流量会话信息中梳理出ACL策略列表建议,从而选择性的实施到防火墙策略列表中。
策略自动生成技术,可以通过学习现网中真实流量信息与互联关系,自动梳理出防火墙策略建议,具备根据目标、时间、汇聚颗粒度等过滤条件梳理策略的能力,同时可将策略建议转换成策略脚本,便于策略的维护和添加。
策略命中与收敛分析技术
策略命中分析技术,通过对进出防火墙设备的流量会话数据监控和统计,针对防火墙上每条策略实现历史一段时间的命中流量总数呈现,同时可查看对应的历史命中流量会话信息详情。通过策略命中,调整策略顺序,命中数多的策略优先级高,提升防火墙效率;同时找出长期无用策略,针对性进行缩紧和删除,以实现最小化访问策略原则,从而提升网络的整体安全防御能力。
策略收敛分析技术,通过策略收敛度比值的方式呈现目标防火墙上每条策略的宽松程度,策略收敛度值越小策略越宽松,同时可以查看实际命中原子策略信息。策略收敛度比值=实际命中原子策略数/策略最小原子策略数*100%。通过策略收敛分析,找出宽松策略和长期无效策略,针对性进行缩紧和删除,以实现最小化访问策略原则,从而提升网络的整体安全防御能力。
策略优化梳理技术
通常防火墙策略由于频繁变更、日积月累会造成很多垃圾无用策略,一方面影响防火墙运行效率,另一方面也会存在一定安全隐患。
策略优化梳理技术,可定期针对防火墙对象(包括地址对象、时间对象)和策略(包括安全策略、ACL策略、NAT策略、路由策略等)进行优化检查分析,梳理出各类空对象、未被应用对象、冗余策略、隐藏策略、过期策略、可合并策略、空策略等,管理员可根据分析结果再对策略进行精简和优化调整。
表格2、安全策略配置检查表
| 策略检查类型 | 详细描述 |
|---|---|
| 冗余策略 | 同一策略集内,一条低优先级策略的源地址、目的地址、服务对象、时间对象、老化对象(长短链接)完全包含高优先级另外一条策略的源地址、目的地址、服务对象、老化时间,并且动作相同。 |
| 隐藏策略 | 同一策略集内,一条高优先级策略的源地址、目的地址、服务对象、时间对象完全包含或等于另外一条低优先级策略的源地址、目的地址、服务对象、时间对象,不管动作是否一致或相反。 |
| 过期策略 | 策略中会包含时间对象,当时间对象过期后,该策略会显示为过期策略。 |
| 可合并策略 | 同一策略集内,两条及以上策略源域、目的域以及动作相同的策略,源地址、目的地址、服务对象、时间对象四个元素只有一项不相同,其余均相同。 |
| 空策略 | 策略引用的源地址对象、目的地址对象或服务对象有为空的对象,此类策略在实际应用中是不会被匹配。 |
策略冲突检测与消解技术
策略冲突检测主要用于检测新增策略是否会与现有的策略产生冲突。
策略冲突检测与消解技术方法众多相对专业,本文仅简介不深究。
图4、策略冲突检测与消解的流程图
策略冲突检测与消解技术,包括但不限于:基于决策树、基于规则集、基于矩阵化的访问控制策略冲突检测与消解技术。
◇ 基于决策树的策略冲突检测与消解技术
决策树技术是利用信息论中的信息增益寻找数据库中具有最大信息量的字节,建立决策树的一个节点,再根据字段的不同取值建立树的分枝。在每个分枝子集中重复建立下层节点和分枝,由此生成一棵决策树。然后再对决策树进行剪枝处理,最后将决策树转化为规则。
本方案可以运用这些规则,对现有的访问控制策略进行优化,提高网络的安全性和访问效率。同时,所生成的决策树可在新规则加入时进行调整,为后续工作的开展做好基础性工作,从宏观上管理访问控制策略。
(1)利用树的优化算法进行策略简化,消除冗余。
(2)利用树的优化算法进行策略冲突检测,消除冲突。
◇ 基于规则集的策略冲突检测与消解技术
系统在实施保护资源的过程中,由于系统中存在大量安全策略以及不同的安全策略可能涉及到相同的主体、客体和权限,因此可能产生冲突,从而导致不一致的系统行为,造成访问控制系统执行效率及准确性低下。为解决这一问题,通过对安全策略的形式化分析定义了基于规则集的访问控制策略的一般特性,并给出了安全策略所描述实体内在的关系,使安全策略的描述在该领域内具有一定的通用性。以此为基础,本方案给出了冲突的静态分析检测与消解方法及动态分析检测方法。
1、静态分析检测
静态方法是对策略声明进行语法分析以期发现冲突,针对的是与系统即时状态无关的冲突。
(1)模态冲突
模态冲突:模态冲突是指策略的描述不一致,两条策略具有重叠的主体和客体,却分别执行了肯定授权与否定授权而发生的策略冲突行为。
模态冲突处理方法:模态处理方法采取否定优先法,为了保证系统的安全性,通常习惯是要求系统禁止执行某些行为。
(2)行为冲突
行为冲突:行为冲突是指两条策略中的行为存在某种顺序关系或依存逻辑关系且授权模式相反,一个肯定授权另一个否定授权。如果两条策略规定的行为存在顺序关系而相应的行为标记却和行为逻辑相反,则存在行为冲突。
行为冲突处理方法:否定优先法。
(3)职责分离冲突
职责分离冲突是指同一个用户被指派给了互斥的角色。
职责分离冲突处理方法:去除最早策略。
2、动态分析检测
由于静态检测是静态的对策略声明进行语法分析,以发现策略内存在的冲突,没有考虑由于进程间的调用所导致的权限传递,而造成策略冲突。通过进程调用导致权限传递出现的策略冲突是静态检测无法检测的。
动态检测提供了解决的方法,所谓动态检测方法则是指在系统运行期间,通过对系统所有可能出现的状态进行检查分析来发现冲突。
◇ 基于矩阵化的策略冲突检测与消解技术
在基于矩阵的描述中策略被描述成
,其中变换矩阵是将策略由简单策略集合的形式变换为矩阵形式的关键,在A_(n×k)中n、k的取值和变换矩阵中每个元素的之间的关系反映的是变换矩阵的线性相关性,而另一方面也反映着简单策略集中每个元素之间的关系,从而决定了复杂策略的类型。
获取到变换矩阵后,通过判定矩阵列向量间的关系来进行策略类型判断。变换矩阵的求解是利用线性表达式中,策略子集和简单策略集合中元素的包含关系得到的,得到变换矩阵能够利用对变换矩阵的检测,从而检测出复杂策略的类型。得到了复杂策略的变换矩阵,就可以对策略进行冲突检测。
本方案利用将复杂访问控制策略进行简化,用策略行向量和变换矩阵乘积的形式来表示复杂策略,然后利用对变换矩阵中的元素的检测来对复杂策略进行冲突检测,也就是说,复杂策略的变换矩阵的元素决定了策略类型和冲突类型,那么在进行冲突消解时,只需要对复杂策略的变换矩阵进行消解即可。
策略智能开通技术
策略智能开通技术,通过结合工作流、用户权限、合规检查和策略仿真,综合梳理业务、权限、资产、策略和数据的关系,实现安全策略变更申请、自动分析、自动设计、审批与自动验证的全生命周期管理,全面提升企业安全运营的管理能力。
图5、策略智能开通流程图
当安全策略变更时,首先通过工作流提交业务申请,包括允许策略或拒绝策略的详细信息。
系统通过基于路径可达与策略合规检查的自动化分析技术来判断业务风险,合规检查采用了策略基线矩阵模型。风险审核员根据业务风险的识别结果来进行风险审核。
风险审核通过后,系统通过基于策略模拟仿真的技术自动检测冗余策略、可合并策略,提供策略冲突消解或策略优化的配置建议。技术审核员根据技术风险的识别结果来进行技术审核。
技术审核通过后,系统会调用策略自动化变更模块对相应的变更配置进行下发,实现策略下发验证。
◇ 路径可达分析技术
图6、路径可达分析示意图
路径可达分析技术,可实现任意源地址到目的地址的访问路径及数据流分析,包括是否有可达路径、可达路径经过的节点及命中的路由及策略信息、允许或拒绝的数据流详情等;访问路径分析时,通过源地址定位到对应的网关设备,再通过网关设备上的路由逐一寻找下一网关,直到目的地址;期间需匹配网关设备上的ACL策略、NAT策略、路由、安全策略等信息。
◇ 策略基线矩阵模型
基于策略基线矩阵模型,建立从安全域到安全域的访问策略,从业务到业务的访问策略,从安全域到业务的访问策略,从业务到安全域的访问策略。
通过基线矩阵来模拟实际网络环境中各安全域之间、业务之间等的访问情况,并设定一个合规标准进行访问控制策略合规检查和告警。
图7、业务到业务的访问策略基线矩阵示意图
◇ 策略模拟仿真技术
选定防火墙等设备,模拟新增策略或策略调整,进行策略仿真。
策略模拟仿真的计算结果如下:
√ 是否已有相同策略或更加宽松策略,如果有则不需要再新增;
√ 新增策略是否会与现有的策略产生冲突;
√ 策略变更或调整后是否会带来与访问控制规则相违背的路径;
√ 策略调整对全网路径和数据流分析会带来什么样的影响。
小 结
安全策略是企业整个安全管理与安全防御体系建设的基础与灵魂。通过安全策略的智能编排技术,可以解决安全策略的自动生成、命中与收敛分析、优化梳理、冲突检测与消解、智能开通等难题,实现基于安全策略全生命周期管理的安全运营,让等保2.0关于安全管理制度的规定真正落地,解决企业安全策略管理不落地、不可见等策略管理难题。
