数据包级安全技术的共享流程
数据包级别的网络和安全技术,如状态检测防火墙、IPSEC 和负载平衡,对每个数据包所需的 CPU 周期数量的计算要求较低。
此外,每个数据包的处理过程高度一致,简化了性能预测。
在当今形势下,安全功能(如 FWaaS)是由服务提供商作为服务提供的,他们在云/存在点(PoPs)中部署这些功能。
为了满足多个租户的需求,底层安全技术实施利用了虚拟路由和转发(VRF)租户模式。
在这种模式下,来自多个租户的流量会穿越相同的安全设备或容器/进程,从而有效解决租户间 IP 地址重叠的难题。
租户流量通过隧道接口或其他机制进行识别,然后相应地应用针对每个租户的特定配置,如租户特定的安全策略。
为减少任何潜在的 “噪音邻居 “问题,在入口处按租户应用数据包速率限制。
这一策略可确保每个租户的安全性能不受其他潜在问题租户活动的影响。
鉴于按数据包处理的一致性,速率限制被证明可有效确保所有租户的公平处理待遇。
企业的另一个重大担忧是,来自其他租户的恶意数据包利用共享进程或容器中的漏洞,可能导致敏感数据泄漏。
安全服务提供商经常提出的一个论点是,按数据包进行处理非常简单,可以降低漏洞和相应漏洞被利用的可能性。
的确,数据包级安全技术比较简单,这种说法有一定道理。
前面提到的两个挑战,即 “嘈杂邻居 “问题和 “共享资源漏洞”,可能不会对利用共享进程的数据包级安全技术构成重大问题。
但是,我们认为这些挑战对于 SASE(安全访问服务边缘)或 SSE(安全服务边缘)安全技术来说可能会更加明显和严重。
区分 SASE/SSE 安全与数据包级安全技术和挑战
SASE/SSE(安全接入服务边缘/安全服务边缘)安全技术超越了传统的数据包级安全,提供一整套功能:
- 全面的安全功能:SASE/SSE 包含广泛的安全功能,包括 IDPS(入侵检测和防御)、DNS 安全、SWG(安全 Web 网关)、ZTNA(零信任网络访问)、CASB(云访问安全代理)(带 IP/URL/域名/文件信誉防火墙)、带深度流量级属性(如 URI、请求标头、响应标头)的访问控制、反恶意软件和 DLP(数据泄露防护)。 SASE/SSE 中的零信任网络(ZTN)是基础,它确保只有在用户验证和授权后才能访问,对应用资源进行细粒度控制,同时考虑身份和设备上下文。
- 深度内容检查:SASE/SSE 安全性的核心在于深度内容检查。
利用代理来管理客户端连接、启动服务器连接、解密数据流、从流量中提取相关数据、执行安全功能并防止恶意内容的传输。
现在,让我们深入探讨 SASE/SSE 与数据包级安全技术之间的执行差异:
- 从按数据包处理转向基于会话的处理: 在 SASE/SSE 的背景下,安全执行不再在按数据包级别运行,而是在流量会话流级别运行。
与按数据包技术不同,SASE/SSE 安全处理所使用的计算周期数量在不同租户之间存在差异,原因如下:- 应用于流量流的安全功能因租户而异。
- 即使应用了类似的安全功能,所交换数据的性质也可能要求进行更密集的处理。
例如,考虑涉及反恶意软件和 DLP 的情况,这就需要从各种文件类型中提取文本、解压传输的文件、解压缩文件集等。
某些租户可能会传输压缩文件,从而导致大量处理,影响其他租户的吞吐量和延迟。
特定租户产生的噪音,无论是感染还是重大事件期间的高业务流量,都会影响其他租户的流量性能。
- 复杂的安全处理: SASE/SSE 安全处理本身就很复杂,通常包含各种库,包括第三方和开源组件。
这些功能包括用于身份验证的 OIDC(OpenID Connect)客户端、Kerberos 客户端、SAMLv2 客户端、用于执行的复杂策略引擎、来自威胁情报提供商的 SDK、数据提取、JSON/XML 解码、base64 解码、数据解压缩引擎,以及通过 Tika 等开源项目进行的文本提取,还有用于数据级安全(如反恶意软件和 DLP)的其他功能。
这种复杂性增加了潜在漏洞的攻击面。
尽管 SASE/SSE 提供商优先考虑迅速解决漏洞,但漏洞利用与解决之间可能存在时间差。
当多个租户采用共享流程时,攻击者可能会利用漏洞,不仅访问目标租户的敏感信息,还访问共享该执行上下文的所有租户数据。 - 自带安全功能:虽然 SASE/SSE 服务开箱即提供全面的安全功能,但它们也为企业提供了使用 Lua 模块或 WebAssembly (WASM) 模块引入自定义安全功能的灵活性。
然而,在这种情况下,共享流程会带来巨大挑战,因为如果管理不慎,有可能导致数据从其他租户外泄。
当采用共享进程时,解决这一问题就会变得更加复杂,而且总有一些潜在的方法可以规避这些控制。
总之,SASE/SSE 安全性提供了超越数据包级安全的全面安全框架,但它也带来了与可变计算使用、复杂处理和共享资源相关的复杂性和挑战。
在这样的环境中保持稳健的安全性对于防范性能挑战、数据泄露和隐私侵犯至关重要。
寻求可提供执行隔离的 SASE/SSE 解决方案
各组织无疑非常重视 SASE/SSE 提供商为多个租户采用共享流程背后的原理。
这种方法有效利用了租户之间的计算资源,有助于提高可持续性和成本效益。
反过来,服务提供商也可以将节省的成本转嫁给客户。
然而,某些细分行业不愿接受与多租户架构和共享流程相关的安全风险。
一些组织可能会预计到未来需要一种更加规避风险的方法。
在这种情况下,企业应寻求具有灵活性的 SASE/SSE 服务,为共享流程和专用流程/容器提供选择。
使用专用流程/容器进行流量处理的专用执行环境可有效解决上一节中概述的挑战:
- 性能隔离:无需担心 “嘈杂租户 “的干扰,实现确定性的性能变得可行。
有了专用的执行上下文,为单个租户分配专用计算资源就变得相对简单。
我们还可以配置资源上限,防止嘈杂的邻居占用计算节点的所有资源。 - 安全隔离:专用执行上下文可确保任何试图利用某个租户的 SASE/SSE 服务的恶意或内部威胁不会导致选择专用执行上下文的租户的数据泄漏。
- 无忧的 “自带安全功能”:专用执行上下文无疑可确保 Lua 脚本/WASM 模块仅在专用进程中执行。
因此,如果服务提供商仅在专用进程中启用该功能,任何处理或数据外泄挑战都仅限于租户自带的安全功能,从而让其他租户在这方面高枕无忧。
预测未来需求:机密计算的重要性
展望未来,一些企业越来越意识到机密计算的重要性与日俱增。
这种意识与 TLS 检查以及 SASE/SSE 服务中大量敏感数据(包括机密和密码)的管理尤为相关。
一个经常出现的问题是,可以访问服务器基础设施的人员(包括服务提供商的员工)可能会在未经授权的情况下访问进程和容器的内存。
此外,即使是能够利用服务器操作系统的攻击者,也有可能侵入这些容器和进程的内存。
如果在不同国家的多个存在点(POPs)提供服务,而这些存在点的法律定义和实施水平各不相同,那么这种担忧就会变得更加明显。
现代处理器(如配备英特尔信任域扩展(TDx)的处理器)为可信执行提供了先进的功能。
这些技术在确保基础架构管理员或拥有高级权限的攻击者也无法破译内存内容方面发挥着至关重要的作用,因为内存内容一直由 TDx 硬件安全加密。
与其他供应商相比,提供专用执行上下文的 SASE/SSE 供应商更有能力提供这一重要的保密功能。
因此,强烈建议企业考虑同时提供共享进程和专用执行上下文灵活性的提供商。
这种灵活性将有助于未来的风险缓解战略,并确保在不断变化的环境中提供最高级别的数据安全。
-
CTO Insights 博客
Aryaka CTO Insights博客系列提供有关网络、安全和SASE主题的思想领导。
有关Aryaka产品规格,请参阅Aryaka数据表。