Bảo mật mạng bắt đầu từ ADM

11:57 AM 08/03/2019 In bài viết

Kết quả hình ảnh cho A strong security posture starts with application dependency mapping

Ngày càng có nhiều tổ chức đang chuyển sang văn hóa DevOps nhanh chóng như một phần của sự chuyển đổi kỹ thuật số đang diễn ra sang doanh nghiệp của họ, chuyển từ kiến ​​trúc ứng dụng nguyên khối sang các ứng dụng dựa trên microservice. Đồng thời, cơ sở hạ tầng công nghệ thông tin cũng đang trải qua quá trình chuyển đổi, bao gồm các mô hình điện toán đám mây, tập hợp các tài nguyên tính toán hiệu quả hơn có thể được sử dụng khi cần thay vì cơ sở hạ tầng chuyên dụng cho mỗi ứng dụng. Kết quả là một mô hình phân phối và phát triển ứng dụng hợp lý hơn, nhưng cũng là các ứng dụng năng động và phân tán hơn về bản chất, điều này đặt ra những thách thức cho công nghệ thông tin trong việc hiểu đầy đủ tất cả cá ứng dụng phụ thuộc.

Các công cụ ánh xạ dữ liệu ứng dụng phụ thuộc (application dependency mapping - ADM) không phải là mới nhưng chủ yếu được sử dụng để theo dõi tình trạng và hiệu suất của các ứng dụng, bao gồm một thành phần cốt lõi trong các công cụ quản lý hiệu suất ứng dụng (APM -Application performance management). Nhưng trường hợp sử dụng mới nhất của ADM chính là bảo mật, trong đó khả năng hiển thị dẫn đến việc phân chia và bảo vệ dễ dàng được thực hiện hơn.

ADM là quá trình xác định và ghi lại tất cả các phụ thuộc bên ngoài của một ứng dụng phần mềm. ADM có thể được thực hiện tự động bằng nhiều công cụ khác nhau hoặc có thể được biên dịch thủ công bằng cách kiểm tra mã ứng dụng.

Các nhà phát triển thường sử dụng các công cụ trực quan như Visio để vẽ ra kiến trúc của các ứng dụng của họ. Điều này bao gồm vạch ra tất cả các phụ thuộc và cách chúng giao tiếp với nhau.

Trong thế giới mới với khối lượng công việc lớn và độ co giãn của đám mây, các nhóm bảo mật cần có tầm nhìn sâu vào các thành phần ứng dụng và sự phụ thuộc của chúng để có được sự hiểu biết và bối cảnh thích hợp để bảo vệ đầy đủ các ứng dụng kinh doanh của chúng.

ADM là điều kiện tiên quyết cho chính sách bảo mật chi tiết

ADM đang nhanh chóng trở thành một công cụ nền tảng cho nhiều trường hợp sử dụng bảo mật, đặc biệt là phân đoạn vi mô (Micro-segmentation). Phân đoạn vi mô là phương pháp tạo ra các quy tắc truy cập và vùng bảo mật chi tiết hơn trong trung tâm dữ liệu và triển khai đám mây cho phép cách ly khối lượng công việc và ứng dụng với nhau. Điều này làm giảm bề mặt tấn công và hạn chế khả năng các tác nhân đe dọa di chuyển bên trong các mạng, ngăn chặn hiệu quả các vi phạm trước khi xảy ra thiệt hại lớn.

Trước khi các điều khiển chi tiết như phân đoạn vi mô có thể được áp dụng, các nhóm công nghệ thông tin cần có sự hiểu biết đầy đủ về mạng, ứng dụng và các phụ thuộc và luồng của chúng. ADM còn hơn cả một ảnh chụp nhanh tĩnh của cấu trúc liên kết mạng hoặc tài sản trong trung tâm dữ liệu. Nó cung cấp cho các nhóm công nghệ thông tin một sự hiểu biết và trực quan hóa toàn bộ ứng dụng trung tâm và các dòng chảy phụ thuộc vào môi trường của chúng, ngay cả khi các ứng dụng phân tán trải rộng trên nhiều môi trường hoặc môi trường lai.

Ví dụ: ADM sẽ hiển thị tất cả các thành phần của ứng dụng thương mại điện tử, chẳng hạn như cơ sở dữ liệu, bộ cân bằng tải, máy chủ web và các quy trình và khối lượng công việc có liên quan. Nó cũng sẽ cho thấy trong môi trường nào các thành phần này cư trú và trong trường hợp nào thuộc môi trường sản xuất.

Cách tốt nhất để đảm bảo hiểu nhanh về các phụ thuộc là khi dữ liệu trích xuất được hiển thị bằng bản đồ tương tác và trực quan. Điều này sẽ bao gồm cả quan điểm thời gian thực và lịch sử, do đó, những thay đổi trong ứng dụng và luồng của chúng dễ dàng được biểu thị theo thời gian. Phân loại tài sản và ghi nhãn tài sản, một thành phần chính của bản đồ phụ thuộc, cho phép quản trị viên bảo mật xác định các tài sản có vai trò tương tự và phân chia trách nhiệm chung để chúng có thể được tạo nhóm dễ dàng cho mục đích thiết lập các chính sách bảo mật.

Cuối cùng, khi ADM được tích hợp tốt với các kiểm soát bảo mật như phân đoạn vi mô, nó cho phép các nhóm bảo mật xem trực quan các chính sách bảo mật được áp dụng, giúp giám sát và kiểm soát lưu lượng dễ dàng hơn và nhanh chóng thực hiện thay đổi khi áp dụng.

Chọn một phương thức và xác định tài sản

Khi áp dụng ADM cho trường hợp sử dụng phân đoạn vi mô, có một số yếu tố quan trọng cần tìm hiểu khi đánh giá các công cụ. Một số thuộc tính quan trọng bao gồm:

Thu thập dữ liệu dựa trên mạng hoặc tác nhân: Việc thu thập dữ liệu cho ADM thường bắt đầu bằng cách triển khai các cảm biến (hoặc tác nhân) dựa trên mạng và máy chủ. Chúng thu thập thông tin cần thiết để xây dựng một bức tranh đầy đủ về môi trường của bạn. Nhưng một số công cụ chỉ cung cấp khả năng hiển thị và bản đồ ở cấp độ mạng. Ví dụ, chúng chỉ cung cấp chế độ xem vào địa chỉ IP, Vlan và máy chủ. Khi áp dụng các chính sách phân đoạn vi mô chi tiết hơn, khả năng hiển thị và bản đồ của các thành phần lớp ứng dụng, chẳng hạn như các quy trình chạy trên các máy chủ cụ thể hoặc khối lượng công việc được thực hiện, là một cân nhắc quan trọng.

Tự động phát hiện: Điều này quan trọng không chỉ đối với việc lập bản đồ ban đầu, mà đối với chế độ xem liên tục và chính xác khi môi trường, các luồng và ứng dụng thay đổi. Đây là cách duy nhất để đảm bảo rằng bạn có khả năng hiển thị chính xác và cập nhật trong môi trường động. Một số công cụ chỉ cung cấp chế độ xem thời gian thực thành các luồng. Việc hiểu toàn bộ bối cảnh và lịch sử, thường cả quan điểm thời gian thực và lịch sử đều được ưu tiên.

Dữ liệu phối hợp: ADM nâng cao không chỉ dựa vào dữ liệu được thu thập từ các cảm biến hoặc các tác nhân ADM, mà còn tự động cập nhật siêu dữ liệu từ trung tâm dữ liệu và nền tảng điều phối đám mây khác. Điều này cung cấp bối cảnh bổ sung và quan trọng. Điều này có thể bao gồm tên của máy chủ VM mà tài sản cư trú bên trong (ví dụ: vSphere), các thẻ được gán cho nội dung và hơn thế nữa. Điều này cung cấp bối cảnh bổ sung về các tài sản hữu ích cho việc phân loại tài sản theo các điều khoản mà các nhóm ứng dụng hoặc bảo mật công nghệ thông tin đã quen thuộc.

Bối cảnh lớp 7: Khi sử dụng ADM cho phân đoạn ứng dụng vi mô, khả năng hiển thị càng chi tiết thì càng tốt. Điều này bao gồm dữ liệu chính được thu thập và hiển thị tại L7. Điều này cung cấp khả năng hiển thị ngoài các địa chỉ IP và cổng, hiểu rõ hơn về các chi tiết như quy trình cụ thể, tên người dùng, dòng lệnh, đường dẫn tệp và tổng kiểm tra.

Phân loại tài sản linh hoạt: Sử dụng ngôn ngữ của riêng doanh nghiệp của bạn giúp hiểu rõ hơn về các phụ thuộc. Một số công cụ có thể buộc người dùng lựa chọn giữa một bộ nhãn được xác định trước, tuy nhiên không có tiêu chuẩn nào bao gồm tất cả các kịch bản. Đối với một nhà hoạch định chính sách, phân nhãn phù hợp có thể là ‘môi trường’, trong khi đối với người khác, nó sẽ là ‘tuân thủ’. Một nhà hoạch định chính sách khác có thể thích sử dụng ‘ứng dụng’, trong khi một người khác sẽ chọn nhãn ‘dịch vụ’. Các công cụ cung cấp cấu trúc nhãn linh hoạt và có thể tùy chỉnh cho phép các nhóm công nghệ thông tin xem và hiểu tài sản và phụ thuộc theo các điều khoản của riêng họ.

Áp dụng ADM vào chính sách bảo mật

Khi bạn có bản đồ chính xác về hệ sinh thái công nghệ thông tin của mình theo thời gian thực, được xác định bởi ngôn ngữ của doanh nghiệp của bạn - các bề mặt tấn công cụ thể cũng như rủi ro tổng thể của doanh nghiệp với công nghệ như phân đoạn vi mô sẽ giảm xuống. Bằng cách xây dựng các quy tắc di chuyển với nhãn của doanh nghiệp chứ không phải trên máy chủ, chính sách của doanh nghiệp có thể thích ứng với môi trường năng động của họ.

Không có khả năng hiển thị mà ADM cung cấp, việc tạo quy tắc hoặc thậm chí hiểu hệ sinh thái của bạn là gần như không thể. Các doanh nghiệp sẽ phải dành hàng giờ để tham khảo với các nhà phát triển, xem qua hàng ngàn dòng nhật ký và tham gia vào hàng loạt thử nghiệm lãng phí thời gian để tạo ra chính sách thậm chí rất bình thường.

Ngược lại, tự động phát hiện các phụ thuộc lẫn nhau trong trung tâm dữ liệu của doanh nghiệp, cùng với siêu dữ liệu phối hợp từ các nguồn của bên thứ ba, hợp lý hóa trực quan hóa một cách thực tế. Với khả năng hiển thị trong thời gian thực, hiển thị thông tin liên lạc xuống mức xử lý, bạn có thể xác định mọi thứ từ tài sản chính, ứng dụng dễ bị tổn thương và thay đổi mạng cho các cơ hội phân khúc. Tất cả bắt đầu với bản đồ.

Xác định rủi ro và thắt chặt chính sách bảo mật

Ngoài việc hợp lý hóa các chính sách phân đoạn vi mô ban đầu, ADM cũng đóng một vai trò quan trọng trong việc quản lý an ninh và các chính sách đang diễn ra. Nó có thể cho phép các quản trị viên công nghệ thông tin tìm các yếu tố rủi ro mới và thắt chặt các chính sách bảo mật khi môi trường và ứng dụng thay đổi. Dưới đây là một số lĩnh vực mà ADM có thể hữu ích:

Xác định các lỗ hổng chính sách bảo mật: Đảm bảo rằng những bảo mật thiết yếu được đặt đúng chỗ khi có vấn đề. Một ví dụ sẽ là khả năng xác định các tài sản không tuân thủ DSS PCI hoặc các quy định khác. Áp dụng nhãn cụ thể cho các tài sản liên quan đến tuân thủ cho phép xác định nhanh các tài sản nằm trong hoặc ngoài chính sách tuân thủ.

Các thành phần ứng dụng được thể hiện: ADM đang thực hiện có thể giúp xác định các thành phần ứng dụng chính đang chạy bên ngoài các vùng bảo mật được xác định hoặc khi chính sách bảo mật không được áp dụng cho một lưu lượng truy cập hoặc tài sản cụ thể. Điều này cho phép các nhóm công nghệ thông tin giảm thiểu phơi nhiễm trước khi hệ thống có thể bị vi phạm.

Tăng tốc thời gian để giải quyết các sự cố bảo mật: ADM với cả chế độ xem thời gian thực và lịch sử có thể tăng tốc thời gian để giải quyết. Các quan điểm lịch sử rất hữu ích để hiểu các thay đổi đối với cơ sở hạ tầng, ứng dụng, luồng và chính sách, có thể cung cấp những hiểu biết có giá trị về một thay đổi có thể dẫn đến một lỗ hổng cho kẻ tấn công.

Biến ADM thành điểm khởi đầu cho phân khúc

Các ứng dụng phân tán, DevOps và việc chuyển sang kiến trúc dựa trên đám mây đã tạo ra khoảng cách về khả năng hiển thị cho các nhóm bảo mật công nghệ thông tin. Nhưng với việc sử dụng ADM làm điều kiện tiên quyết để xác định các chính sách phân khúc chi tiết, giờ đây đã có các phương pháp và công cụ hữu ích để thu hẹp khoảng cách này.

Để có thể triển khai các kiểm soát bảo mật chi tiết trên từng khối lượng công việc đòi hỏi khả năng hiển thị vô song. Các công cụ ADM được tích hợp vào các điều khiển phân đoạn hoặc vi phân đoạn có thể cung cấp khả năng tập trung vào ứng dụng, và khả năng hiển thị liên tục vào các thành phần ứng dụng quan trọng và giúp bảo vệ những tài sản quan trọng nhất trong khi công việc thay đổi liên tục.

Ngọc Huyền