云防火墙产品到现在已经演进了两年多的时间,我们的产品也渐渐从一开始的摸着石头过河到现在慢慢形成了一套自己的产品演进思路。本文将通过防火墙如何帮用户构建一个“城墙”防御体系来展开我们产品的演进方向。
一、如果把用户的业务想象成一个城池
如果我们正在执行一个城池的保护任务,为了防止外敌入侵我们该如何建设一个稳固的防御体系?我们可以列出下面几个点:
1、首先得建个城墙吧;
2、城墙上开了多少个城门?每个城门的用途是什么?城门是否已存在破损?
3、有些城门是针对过客的,针对进城的过客需要检查他们身上是否携带违禁物品(刀、枪、易燃易爆等);
4、有些城门是针对工作人员的,针对工作人员进城,需要检查其身份令牌,只有合格的身份令牌才能准入;
5、过客的活动范围需要受到限制,不能进入职员、军事等重地;
6、在各个区域设置陷阱,当恶意分子进行踩点勘查时就会触发陷阱引起警报;
7、针对出城的人员对其目的地和随身携带进行检查,防止通敌和私密信息泄露;
8、所有人的进出行为都会被记录。
二、对上述城防体系进行产品演进
防火墙产品的思路实际上也是针对上述构建城防体系的方式进行演进:
1、首先得先有个防火墙吧;
2、云防火墙的漏扫能力和流量分析能力帮用户梳理出云上有哪些资产,哪些资产暴露在公网,使用了什么组件,是否存在漏洞;
3、针对那些需要暴露在公网上向终端用户提供服务的应用,防火墙的职责就是检测入向的流量是否存在一些恶意行为的特征,并对其进行拦截,也就是IPS功能;
4、针对运维或者内部网站,防火墙提供的方案是检查他们的身份信息(比如微信、企业微信),只有身份认证通过后才能访问;
5、云防火墙的VPC间防火墙为DMZ对应的过客区与DB等关键服务器所在的区域之间提供隔离机制;
6、云防火墙的网络蜜罐可以在用户的各个网络中设置陷阱,当潜藏的攻击者在网络中进行探测的时候就可能误踩陷阱而被发现;
7、云防火墙的NAT边界防火墙对用户网络内发起的出向流量进行访问目的和内容检查,并以此判断是否存在主机失陷的情况;
8、所有的访问日志都会被记录,以便后续进行溯源取证 。
三、“知已”&“知彼”
以上是防火墙产品的演进思路,对于防火墙来说安全能力毋庸置疑是最重要的一个点,在安全能力建设上,我们将能力分为知己和知彼两个部分分别进行演进:
知已:
- 帮助用户梳理业务资产与信息收集,哪些资产是暴露在公网,资产是否存在漏洞;
- 资产的流量可视化,对于异常访问的流量将产生告警;
- 识别哪些服务是向公众提供服务的,哪些服务是对内部人员提供服务;
- 主动防御:引入欺骗技术,用户可以选择在自己的各个网络区域中任意放置陷阱,即使恶意攻击者绕过重重检测机制进入内网后,也会因误踩到陷阱而被发觉。
知彼:
“知彼”简单理解就是防火墙需要知道攻击者及其攻击方式并对其实施拦截。这里的核心是访问控制,访问控制一般有两种方式,默认放行的黑名单机制,默认阻断的白名单机制。
如果把检测和攻击都按known和unknow两个维度来划分,可以分为四类:
- known known:我能检测到已知的攻击行为,针对已知攻击提供检测规则;
- unknown known:我不能检测到已知的攻击行为,规则能力不足;
- unknown unknown:我不能检测到未知的攻击行为,超出认知之外;
- known unknown:虽然我不知道具体的攻击行为,但我能检测和防护。
前两类(检测为known)是基于规则的检测,实际上也可认为是黑名单机制,大部分的安全产品都会把重点放在这里,发现攻击实施阻断。
针对未知攻击行为的检测(即unknown),目前市面上有很多方案,包括UEBA、零信任等等,这些方案本质上都是白名单机制,把如何发现异常访问转向如何定义正常访问。黑名单机制的检测集是无限的,白名单机制的检测集是有限的,这里的优势不言而喻。
通过以上四类场景也明确了我们产品的努力方向:
- 针对known known这一类:能自动识别并拦截互联网攻击与漏洞利用,如入侵防御等;
- 针对unknown known这一类:支持手动添加互联网边界规则、NAT边界规则、白名单规则、VPC间规则等,实现流量可视化等功能;
- 针对unknown unknown这一类:能通过将探针暴露在用户的网络中,来记录、追溯攻击者信息和攻击手法,如网络蜜罐等;
- 针对known unknown这一类:能对恶意源IP、危险域名的访问流量进行精准识别、秒级自动更新,如威胁情报等。