全文约4000字 10图表 阅读约5分钟
美国国防部把隔离技术用到了极致:1)在涉密网和非密网之间使用网闸隔离;2)在非密网和互联网之间使用互联网隔离;3)在上云过程中使用云隔离;4)在数据中心使用微隔离。
总体来看,云是未来,浏览器是工作入口,所以云和浏览器隔离的结合,也就是云隔离,可以实现隔离技术的普惠化,才可以把隔离的梦想带到现实。
在安全领域,你可能不得不关注四大安全平台:1)网络安全领域中的SSE(安全服务边缘)平台;2)数据安全领域中的DSP(数据安全平台);3)应用安全领域中的CNAPP(云原生应用保护平台);4)事件响应领域的XDR(扩展检测与响应)。
其中,SSE(安全服务边缘)本质就是零信任云访问平台。Gartner将SSE作为四大安全平台之首,是有原因的。而每个SSE头部厂商都将云隔离作为必备功能项,也是有原因的。本文将为你揭秘。
聪明的读者会发现:本文与其说是云隔离的梦想,不如说是云访问的梦想,也就是零信任云访问平台(SSE)的梦想,终究也是企业安全云的梦想。
本文来自2022年8月2日在ISC 2022大会上的演讲《云隔离的梦想》,总共只有10张片子。视频见文末。
目 录
1.安全隔离的梦想
2.何为云隔离平台
3.云隔离平台为何重要
4.美国国防部大力推进RBI项目
5.DISA技术路线图
6.成熟度曲线反映RBI日趋成熟
7.SSE前十厂商全部整合RBI能力
8.SSE的能力构成
9.RBI在正反两个方向同时工作,增强边缘安全方案
10.RBI与浏览器相得益彰
01
安全隔离的梦想
想必大家听说过美国黑人运动领袖马丁·路德·金发表的著名演讲——《I have a dream》(我有一个梦想),呼吁了种族平等。
在安全行业里,也有一个梦想,是关于安全隔离的梦想——即把好的东西放进来,把坏的东西隔离在外。
隔离的强度。值得提醒的是,隔离(Isolation)其实是一种非常强的安全控制措施,通常用于密级不同的网络之间,比如高密级和低密级之间。所以隔离经常会成为军方或涉密部门的强需求。
谁是真隔离。真正敢称为“隔离”的产品和技术并不多。
照亮隔离梦想。正因为云是未来,浏览器是工作入口,所以云和浏览器隔离的结合,也就是云隔离,就可以实现隔离技术的普惠化,也可以把隔离的梦想带到现实。
02
何为云隔离平台
我们先解释云隔离是什么?然后再说明它为何重要。
云隔离=云浏览器隔离=基于云的远程浏览器隔离。
云隔离的基本思想:
这里的关键是:怎么转发内容,怎么屏蔽威胁。也就是图中的第4步。这里存在三种技术路线:
这三种技术路线各有利弊,综合运用时,可以适用于不同安全等级的场景,从而发挥最佳效果。
03
云隔离平台为何重要
这里做了一个梳理,反映云隔离平台为何值得关注:
下面,分别解释下这几个方面。
04
美国国防部大力推进RBI项目
美国国防部的RBI项目名称是CBII(基于云的互联网隔离),本质就是基于云的远程浏览器隔离。
美国国防部采用RBI的一个非常重要的原因,就是他们发现,针对美国国防部网络的攻击中,大约有30%到70%来自浏览器。所以,浏览器成为最大的攻击暴露面。而RBI技术就可以解决此问题。
DISA开展RBI项目的大概过程是这样的:
接下来,再看看DISA战略计划中的RBI内容。
05
DISA技术路线图
在DISA的《2021-2022财年战略计划》图中,我们用以红色字体标记了RBI项目。其中,这个技术路线图中,有三大领域:网络防御、云计算、企业办公。而RBI项目,则同时出现在网络防御和云计算这两个领域中。我们分别来看看:
在网络防御领域,DoD有三层纵深防御:边界防御+区域防御+终端防御;而云隔离属于边界防御的范畴。我来解释一下:美国国防部有涉密网和非密网两类网络,会产生两种连接需求:
在云计算领域有3项关键工作(右下角浅蓝色框):一是云基础设施(云连接);二是云访问和安全(云访问);三是基于云的互联网隔离(CBII)(云隔离)。正是通过这三个大招(云连接、云访问、云隔离),DoD搞定了安全上云问题。
现在,我来总结一下:1)DoD在涉密网和非密网之间使用网闸隔离;2)在非密网和互联网之间使用RBI,被称为“互联网隔离”;3)在国防部的云中,也使用了RBI,被称为“云隔离”;4)在数据中心中,则使用零信任的微隔离。
所以,我才认为,美国国防部把隔离技术用到了极致,也几乎实现了隔离梦想的普惠化。
06
成熟度曲线反映RBI日趋成熟
Gartner是顶级的咨询机构,其成熟度曲线非常著名。但其实它来自心理学领域著名的达克效应,反映了人类认知事物的过程,主要包括3段:愚昧之山+绝望之谷+开悟之坡:
2017年,浏览器隔离(BI)技术被纳入Gartner 11大顶级安全技术。2018年进入Gartner端点安全和网络安全这两条成熟度曲线。我们对比了近5年的成熟度曲线,发现BI/RBI依次经过上升期、山顶期、低谷期,已经逐步趋于成熟。
07
SSE前十厂商全部整合RBI能力
正是因为RBI在技术上基本成熟,所以相关的国外供应商,开始加速整合RBI能力。在Gartner于2022年2月发布的《安全服务边缘(SSE)魔力象限》,象限中的所有提供商,看起来是11个,但因为有收购关系,正好是10个。我逐个排查了一遍,发现他们全部都整合了RBI能力,当然有各种整合方式,有自研、有收购、有集成、有合作等。
当然了,这只是一个表象和结果。我们会问,原因是什么?只是因为RBI技术成熟了吗?非也。下面进行解读。
08
SSE(安全服务边缘)的能力构成
四大安全平台。在安全领域,你可能不得不关注四大平台:
Gartner把SSE列为四大平台之首,可见对SSE的重视。
SASE背景。我们知道,自Forrester提出来的零信任架构大火之后,Gartner也不甘示弱,在2019年提出SASE(安全访问服务边缘)架构。SASE架构的愿望非常好,融合了网络+安全两个方面,形成一体化安全架构。然而,理想很丰满,现实很骨感。当前大多数大型组织,都有独立的网络团队和安全团队,他们通常做出互相独立的采购决策,难以有效整合网络和安全这两个方面的工作。
SSE概念。于是,Gartner于2021年又提出SSE新概念,SSE由SASE缩减而来,SSE是从SASE中解耦出来的纯安全部分,更加容易落地。本质就是想把安全与网络解耦。所以,这是一个很有意思的现象:SASE用来融合网络和安全;而SSE则用来解耦网络和安全。当然,从某种程度上看,这是对现实的妥协,也算是对企业客户的尊重。
在甩掉网络的包袱后,Gartner对SSE寄予厚望。除了把SSE列为四大平台之首,还把SSE纳入Gartner的4条成熟度曲线:云安全、端点安全、网络安全、应用安全。你觉得4条不够多是吧?Gartner的成熟度曲线的确很多,但是跟咱们安全密切相关的成熟度曲线,总共也就7条(还有身份与访问管理(IAM)、数据安全、安全运营)。
为什么SSE架构要集成RBI能力?如上图所示:
09
RBI在正反两个方向同时工作,增强边缘安全方案
在这里,我们看到了前面SSE平台的三种网关:
而RBI有正反两种工作方式,大家比较熟悉的是正向方式。
RBI在正向工作时:
RBI在反向工作时:
所以,综合上述正反两种工作方式,RBI可以极大地补充和增强SSE的三大支柱能力。这才是RBI真正的价值所在。
10
RBI与浏览器相得益彰
最后,再强调下:RBI与浏览器是相辅相成、相得益彰的:
所以,360企业安全浏览器与360云隔离平台的结合,是一种强强联合。可以为云隔离梦想的实现,贡献力量。
(本篇完)