逐渐弱化后的企业安全边界，漫谈IoT与微服务威胁风险

　　在传统IT时代，企业和机构都将安全重心侧重在网络边界防御，如何加强服务器、计算机和网络设备的安全性。随着SDN、微服务、BYOD等的普及，攻击面不断扩大，企业需要跳出传统网络层概念，并考虑以下问题：

　　1.当企业的网络边界被打破，攻击面扩大，现有的安全措施是否已无法满足现在的需求?

　　2.企业或机构应采取哪些措施应对快速变化的安全威胁?

　　早在2015年，Google就在自身企业安全实践方面迈出了大胆的一步，启动了BeyondCrop计划。该计划的基本假设是——内部网络实际上与在互联网网络一样危险，其认为的原因主要有两点：

　　一旦内网边界被渗透，攻击者很容易访问到内部的企业应用

　　现在的企业越来越多的采用移动办公和云技术，边界的保护变的越来越难，所以干脆用一致的手段对待内外网

　　当然，这种模式下信任关系从网络信任变更到设备信任，员工只能通过公司提供和管理(MDM)的设备访问企业应用，以保证必须是企业授权后的设备和用户才能访问企业内网，该计划组件如下：

　　Google通过一个用户级群组数据库来跟踪和管理所有员工，这个数据库还会与公司人力资源系统管理挂钩，员工在企业内的全生命周期的身份管理均在此系统内完成。IAM系统则可以跟踪用户权限，以生成对特定资源的短期授权。对用户或者设备的访问级别也可以随时改变，比方说，如果某用户的操作系统未及时更新补丁, 其信任级别将会下降。同样的，基于地理位置、IP地址等信息判断员工访问可信度可能会拒绝他访问某些资源。

　　从Google自身实践来看，由于需要保护的攻击面急剧扩大，企业仅靠做好网络层和端点访问是远远不够的，新IT时代的安全防护需要新的措施来解决。而这一点在最近的《全球风险管理调查》(GlobalRisk Management Survey)得到证实。调查发现，如今84%的攻击针对的是应用层而非网络层。企业需要扩大安全保护面，将新的内容囊括进来。而现在有两个新的攻击点经常给业务造成重大威胁，也有越来越多的黑客开始利用其中的漏洞，但恰好这两个点常常被企业忽视：即IoT和微服务。

　　IoT风险

　　随着物联网的普及，全球范围内的众多企业面对的安全威胁也明显增加，而企业内关于物联网设备管理权责往往不清晰，难以认定该贵于IT管理人员还是属于运维人员，以致于给了黑客趁机而入的大好机会。

　　高达1.2Tbps流量的DDoS攻击、250万个IoT僵尸集群、5亿个IP发动DNS查询请求、全球75家大型影音、社交网站沦陷，近百万台德国家用电信路由器停机，这些统计数字是去年下半年横行全球的僵尸网络Mirai所带来的巨大IoT安全风险挑战。趋势全球认为，今年下一波受到攻击的国家很有可能就是中国和东南亚国家。

　　以上是从IoT僵尸集群角度来考虑，因为设备24小时开机且获取的价格低廉得到黑客们的青睐。但反过来从内网渗透的角度讲，随着BYOD的普及，企业的风险管控措施应该进一步扩大。比如说，如果员工的只能手表可以联网，那么设备可以被利用来嗅探企业WiFi密码，智能家居联网后可以被用来渗透，这些都需要纳入企业的风险评估范畴。以上两种情况下，如何将IoT设备纳入管理，以及纳入管理后产生的大量数据，要如何存储、追踪、分析及理解，将成为企业必须面对的挑战。

　　唯一合理解决IoT设备安全问题的办法，是树立企业内标准、安全的规范和准则，要求设备使用单独的受信网络和操作系统，并需要考虑对这些外部采购设备进行渗透和完整的测试。

　　微服务风险

　　根据451 Research最近的一份调查报告，有45%的企业已经实现或在将来的一段时间内实现微服务的架构或基于容器的应用程序。这一数字也证明了市场上DevOps的火爆程度。微服务其实就是将较大的应用拆分为较小的、特征明显的服务，在这种情况下，容器自然而然成为了微服务的基础架构计算平台。

　　微服务中每种服务通过API Gagteway交互组成整个应用程序，而引入的新的架构和程序都将会引入新的攻击面，因为应用不再集中分布在几个独立的服务器上。此外，容器可以在数秒内启动和销毁，要人工追踪和记录容器内的操作基本不可能。

　　去年的docker swarm集群未授权漏洞带来的容器沙箱逃脱就是对传统IT的挑战。引进基于微服务的应用，这些新的挑战就要求企业重新思考安全假设和策略，需要企业有新的更全面的企业风险管理方法来避免和解决这些问题。举例来说对于传统企业的内网是大的二层网络，尽管每个网络之间有防火墙还有不同的网络区域隔离，但同段内网无法隔离流量，若有防火墙被渗透则危害更大。在SDN网络下启用vxlan隔离，将风险扼杀在每个租户自己的内网内则不失为一种好的解决方案。

　　本文来自海航《明见》科技内刊2017年第9期。