工業技術研究院 資訊與通訊研究所 劉哲豪
Janus為零信任自動化的微網段網路控管技術,可自動化收集網路封包側錄及網路防火牆日誌,提供可視化無人值守的智能網路防護技術。
前言
「零信任自動化網路控管技術」著眼於運用自動化網路控管來達到無人值守的目的,同時可以做好網路安全隔離的工作。在這篇文章中,我們將討論何謂零信任自動化網路控管技術,並介紹這種技術的優點與微網段網路的搭配應用,以及該技術如何簡易部署並保護場域網路安全。
精彩內容
1. 微網段及網路防護技術介紹
2. 無人值守自動化網路控管技術介紹
3. 無人值守自動化網路控管技術特點與應用 |
微網段概述
微網段(Micro segmentation)是一種零信任網路安全管理技術 [1],主要概念是將區域網路劃分為更小的區段或區域,其目的在於限制資訊安全漏洞的攻擊範圍。該技術允許網路管理員在更細粒度的級別上實施網路安全策略,並限制使用者對敏感資訊和資產設備的網路訪問。
微網段網路中的每個網段都被切分成彼此相互隔離,這使得惡意攻擊者即便已成功入侵其中一台主機設備,也很難接著在區域網路內橫向移動擴散並攻擊入侵其他多個重要系統或主機設備。此外,微網段網路提供了對網路流量的可視化,使網路管理員能夠更快地檢測與識別有問題的主機設備及網路流量,以便更快速地處理應變可能的安全威脅。
微網段網路的優點
與傳統的網路架構相比,微網段網路具有許多的優勢,使其成為有效提高網路安全性的解決方案。具體的優勢有以下幾點:
- 更好的控制性和可視化:如同上段敘述中提到的,微網段網路為網路管理員提供了更好的網絡流量控制性和可視化,使管理員可以在更精細的層級上實施安全策略並限制使用者對敏感資訊和資產設備的網路訪問。
- 可擴展性和靈活性:可以使用軟體定義網路(Software Define Network,SDN) 和網路虛擬化技術實現微網段網路,使網路管理員能夠動態的創建和管理網段。這種方法為保護現代複雜網路提供了一種靈活且可擴展的解決方案。
- 限制攻擊者攻擊範圍:通過將網路劃分為更小的網段,微網段使攻擊者難以在網路內橫向移動並破壞多個系統。如果確實發生攻擊事件,該攻擊事件的影響範圍會被限縮在單個網段,而不是整個區域網路。
- 提高合規性:微網段網路可以幫助組織滿足資安合規性的要求,例如通用數據保護條例(GDPR)和支付卡行業數據安全標準(PCI DSS)中概述的要求。通過實施嚴格的訪問控制和對網路流量的可視化,組織可以證明他們已採取適當的措施來保護敏感信息。
- 降低總體擁有成本(TCO):防火牆和入侵檢測系統等傳統安全解決方案的維護和管理成本可能很高。通過將網段切得更細小,可以更精確地區分每個網段設備所需的安全性層級,進而調配並減少所需的安全設備數量或是規格,因此達到降低網路安全解決方案的 TCO。
總而言之,微網段網路是提高網路安全性和降低數據洩露風險的技術。透過微網段技術的應用,企業可以有效的為自身網路環境製造更好的安全防護,以及更好的管理與控制。
網路防護技術
網路安全策略是保護電腦設備避免經由網路受到未經授權的存取、使用、中斷、修改或破壞的防護機制。
綜合網路安全策略有幾個關鍵組成部分,包括:
- 防火牆:防火牆是網路安全的重要組成部分,旨在防止未經授權訪問網路。它們充當受信任的內部網路和不受信任的外部網路(例如 Internet)之間的屏障。
- 加密:加密是將明文轉換為密文以保護敏感資訊免遭未經授權存取的過程。加密可用於保護聯網設備之間的通訊,以及保護靜態敏感資料。
- 存取控制:存取控制系統用於根據用戶的身份和權限授予和撤銷對網路資源的存取權限,這是網路安全的重要組成部分,因為它有助於防止未經授權存取敏感資訊。
- 入侵偵測/預防系統(IDS/IPS):入侵偵測和預防系統旨在檢測和防止未經授權的網路存取 [2]。 它們的工作方式是監控網路流量是否存在惡意活動跡象,例如未經授權的存取嘗試或基於網路的攻擊。
- 虛擬私人網路(VPN):VPN 用於在遠端設備和專用網路之間建立安全、加密的連線。 它們允許用戶從組織的物理網路外部安全地存取內部網路的資源。
- 安全訊息和事件管理(SIEM):SIEM 系統用於從多個來源收集和分析與安全相關的數據,以檢測和應對安全威脅 [3]。
網路安全是任何組織整體安全策略的重要組成部分。透過分析自身網路環境的弱點,並採用相對應的技術組合,例如:企業較缺乏針對機敏資料的存取控管,則可以採用防火牆與存取控制;企業較缺乏惡意攻擊的偵測及記錄,則可以採用入侵偵測/預防系統(IDS/IPS)與安全訊息和事件管理(SIEM),透過使用自身所需的技術組合,組織可以更好地保護其內部網路及其包含的機敏資料。
零信任自動化網路控管技術
「Janus自動化網路控管技術」為一零信任自動化的微網段網路控管技術,可利用網路封包側錄及網路防火牆日誌,來收集設備網路流量之輸入及輸出資訊;包括TCP/IP、MAC Address、通訊協定、來源IP、來源埠、目的IP、目的埠及封包大小……等資訊,接著利用AI演算法、統計學、經驗法則等方法予以分析,可自動化的識別盤點場域內運行中之設備主機,針對個別主機設備之網路傳輸情況自動化產生網路防火牆之白名單規則並自動化應用,達到完全無需人工介入。
本技術將收集到的網路活動與分析結果,以網頁畫面的方式呈現,提供給已配有資安網管人員的企業,使網管人員可以清楚地了解到目前的微網段裡有哪些設備、設備的狀態、設備存取的網路服務數量等資訊,同時本技術亦會針對各個設備的連線狀況、存取服務、連線時間、與過往連線紀錄比對等資訊予以評分,提供網管人員了解個別設備的安全性,分數愈高表示該設備連線相對固定,大部分的網路活動皆為固有之行為,表示相對較為安全;分數愈低則表示該設備連線相對複雜不固定,網路活動多為新型態之行為,表示相對風險較高。此設備網路活動可視化網頁可提供網管人員更為全面的了解微網段底下的設備活動狀況,以及風險狀況,使網管人員在管理上可以更為輕鬆。
圖1 網路活動可視化網頁
技術特點與應用
「Janus自動化網路控管技術」之特點在於其智能及自動化的網路控管,使用者僅需將搭載本技術之網通設備(可以是簡易防火牆、路由器等),部署於微網段網路內欲受保護之設備前方,即會自動化的收集相關的資訊並產生相對應的網路防火牆規則,阻擋一切規則以外的網路流量。本技術無須耗費額外的網管人力,亦無須要求使用者具備相關的網路控管技術及背景知識,以網頁畫面的方式呈現微網段網路內各設備的網路使用情況與行為分析,使管理者全面的掌握自身網路環境內各個設備的網路活動情形,優於市面上的網路防火牆技術。
零信任自動化網路控管技術特別適用於醫療、工業、關鍵基礎設施等保護,圖2為一種常見的工控場域網路架構,每一台工業設備或IoT設備各自與上層的路由器或交換器連接,而搭載本技術的設備可以在每一個設備與路由器的中間部署。如此一來每一個工業設備的網路流量便會先經過搭載本技術的設備,提供我們學習分析所需的網路流量,並自動化產生符合該台工業設備的白名單防火牆規則,如此便能全面性的對微網段下的每個設備起到防護作用,同時也保護該微網段底下各個設備間的交互通訊;此外圖3亦為一種常見的網路架構,場域內設備用微網段技術分群切開,每個微網段的設備先連接到一台主要的交換器,隨後才連到核心路由器,在此架構下可以在每一個微網段的主要交換器與核心路由器的中間部署本技術的設備,以各個微網段為保護對象,保護整個微網段的網路流量,而對於微網段底下的設備間通訊,則不列入保護,端看組織的防護需求及資安合規要求而定。
圖2 零信任自動化網路控管技術於個別設備之應用
圖3 零信任自動化網路控管技術於微網段網路之應用
結論
本文章介紹「工研院自動化網路控管技術-Janus」,可利用網路封包側錄及網路防火牆日誌,來收集設備網路流量之輸入及輸出資訊,接著利用相關演算法分析,自動化的針對個別主機設備之網路傳輸情況產生網路防火牆之白名單規則,達到完全無需人工值守的智能網路防護技術;為管理者提供網路環境內設備活動的可視化管理服務。
