下一代應用安全網關的實踐與體會

06-25

下一代應用安全網關的實踐與體會

作者：ChrisChen世雄
更多文章，請訪問 --http://www.sec-un.org

前言

近些年來，基於應用的漏洞頻繁曝光、勒索軟體層出不窮，讓廣大用戶和企業防不勝防、深受其害。更令人憂心的是近2年來，通過一些安全組織和網安強國泄漏的0Day和漏洞利用工具更是大大降低漏洞利用成本，這讓當前安全防護工作雪上加霜。如2015年Hacking

Team被黑，2016年美國國安局（NSA）外包商「方程式組織」被「影子經紀人組織」攻破，每次都導致眾多武器級漏洞外泄，其中，席捲全球的「WannaCry」就是利用其中「永恆之藍」漏洞廣泛傳播。

圖片來自網路

然而除了(WindowsLinuxAndroid)系統的漏洞、其他應用如(StrutsOfficeAdobeFlashIE)等應用的廣泛使用，也給各種漏洞傳播提供更廣的空間。但大量未知的漏洞仍未全部公開，每一個未被曝光的漏洞都如一顆定時炸彈，不知道何時、何處會被何人所引爆，這導致當前信息安全威脅態勢日趨嚴重。業內人士一眼便知，以上種種無一不是基於應用層漏洞所引發的安全威脅。因此，十二年前矽谷業界先驅提出基於應用層安全防護的安全網關，時至今日也瓜熟蒂落成為一種可行的應用安全防護技術，被廣泛接受。

應用安全網關（NGFW）的前世：

安全網關也是伴隨互聯網發展應運而生，早的安全網關採用基於IP 五元組的控制，通過對源和目標地址和埠創建訪問控制策略，稱為包過濾防火牆，但是僅能基於數據包固定信息匹配規則，後續衍生出應用代理伺服器（Proxy）作為中間人代理內外數據訪問、以及狀態檢測技術開始有了對數據包的上下文檢測，再到應用安全網關的雛形「統一威脅防護（UTM）」，可以說UTM終於完成作為一個安全網關的使命，即除了基於最初的訪問控制，同時實現了對數據包上下文以及有效載荷部分的安全檢查。但是在如今看來，UTM更像是一個各種安全功能堆砌而成的臨時安全網關方案。但在當時，它滿足了人們對邊界處安全防護的種種期望，既要能訪問控制，還能做安全防護。一時間各大安全廠商紛紛推出統一威脅安全防護網關，可是結果大家都知道UTM最終並未能如願成為一種切實可行的落地方案。據我理解，統一威脅防護產品（UTM）內置的安全功能種類繁多，這在當時沒有哪一家可以完全覆蓋比如防病毒、入侵防禦（IPS）、URL資料庫以及惡意DNS簽名、所以UTM廠商更多依靠尋找市面上單獨的合作夥伴提供特徵庫和更新支持。這些來源於各不相同的供應商也導致UTM先天的硬傷，即提供各種簽名的供應商，對安全威脅檢測也沒有一個統一的簽名格式和檢測機制，就好比犯罪分子欲行不軌前使用黑話高呼攻擊口號，而負責安全的警察卻是英語、法語、俄語、普通話都有卻都不懂此人意欲何為，因此萬國牌安全功能防護在兼容和協同方面會影響檢測效率和防護能力必受影響，這應該是UTM今天走向沒落的實錘之一。

圖片來自網路

其次，更主要的問題來源於硬體性能的支持，由於多種安全功能全部開啟，帶來更多的硬體消耗，一些UTM廠商並沒有很好的解決這些安全模塊全部開啟後設備在網路吞吐、並發和新建的瓶頸，結果開啟安全功能後由於設備性能受到衝擊，開始影響業務穩定、故障頻發，運維人員疲於奔命來解決各種設備問題。此時，相比業務可用性而言，停用部分或全部安全功能也是退而求其次，不得已而為之。

應用安全網關（NGFW）的今生：

雖然統一威脅防護網關（UTM）日漸式微，但它的誕生從此也將我們對安全防護的需求帶到了一個新的層次，既除了策略的訪問控制，我們的安全還需要做到更多，防病毒、入侵檢測、數據過濾以及惡意網址和郵件攔截，這些都是邊界安全防護的剛需。因為在出口進行統一管控，比在每個終端分別防護要容易，而且收益更高，從此安全網關進入一個全家桶的新時代，統一威脅防護網關（UTM）的出現對安全防護的歷史功績也不容磨滅，其先天存在的效率和性能缺陷終究讓其帶著歷史功勛載入史冊。直到十多年前，在網路安全行業的鬼才猶太人提出下一代應用安全網關（NGFW）的概念後終於破了這個梗，他提出實現對訪問者身份、訪問的應用以及應用包含的威脅進行檢測技術。但真正實現基於應用的安全防護，應該有統一的簽名和檢測模式，以及高效的硬體平台是基礎，不然那還是統一威脅防護網關（UTM）。所以，在為邊界安全網關選型時，需要明確定位自身需求，是以應用安全防禦為主，還是網路訪問控制為主，抑或是其他需求如4層訪問控制兼具VPN接入等。毋庸置疑，如今邊界網關主的代表還是應用安全網關，那麼在使用時就必須讓其實至名歸，把宣稱的安全功能火力全開，能物盡其用實現安全防護效果最大化，這也是校驗應用安全網關性能最好的試金石。

為什麼應用安全網關（NGFW）橫空出世：

一方面歸功於20多年安全網關發展歷史積澱，技術的升級換代是順勢而為。另外一方面，道高一尺、魔高一丈，也是因為對手日益強大倒逼安全防護能力的進化。傳統的安全網關在如今的安全威脅面前不堪一擊，老練的入侵者總是會尋找獵物的弱點發起致命一擊，但是擺在入侵者面前最多的獵物就是企業的業務應用、用戶的各種應用，這些應用存在的各種缺陷漏洞，會被不懷好意的人分析、發掘致命漏洞後發起攻擊，那些應用的漏洞就成了入侵者攻破大門的鑰匙。因此，安全防護的重點也逐漸從傳統的3層、4層網路訪問控制防護，上升到7層應用安全防控，那麼安全網關也必須具備針對應用安全威脅的儘可能多的覆蓋，比如實現基於用戶身份控制（RBAC）、7層應用識別、安全功能過濾（病毒檢測、入侵防護、惡意網址郵件阻斷）、未知威脅防禦、威脅情報集成、安全生態協同阻斷、以及SSL加密流量檢測和安全態勢可視化等功能。與此同時，更多安全功能勢必會對硬體平台的性能提出更高的要求，業內各家都會針對自身硬體平台進行升級，從而達到支撐所有應用安全功能開啟後所需要的性能。這些性能參數不應是停留在實驗室、或者產品白皮書上的數字，而是依據現網環境的測試結果，由於現網業務不同，流量類型差異，如何衡量真實性能是否達標相信實踐是檢測性能的最好標準，所以好的應用安全網關（NGFW），應該是功能和性能完美匹配的產品。

應用層安全網關（NGFW）怎麼防好：

應用安全網關作為以應用安全防護為重點的工具，必然先了解網路攻擊的完整攻殺鏈過程，通常入侵過程首先會偵查目標，然後通過業務應用的0Day、1Day等技術嘗試漏洞利用，或者直接社工一步到位，得手後會建立一個長期的控制通道，使用免殺RAT間諜軟體長期控制主機，建立C2通道後，仍然會不斷自我更新和保護C2控制流量，最後以此為據點長期橫向滲透內網，以便監控和獲取敏感數據，這也是入侵者的套路，雖然看似銜接緊密、環環相扣，如果入侵的每個攻殺鏈條必不可少，那針對這些活動見招拆招，兵來將擋、水來土掩，破壞其攻殺鏈條連接的薄弱環節讓入侵過程無法形成閉環，從而達到終結入侵活動的目的。因此，從應用層部署各種安全功能模塊，集成各種檢測技術，不僅是斬斷攻殺鏈的利刃，也是形成證據鏈的良策。畢竟「凡走過，比留下痕迹「。就如下圖所述入侵的每個階段都匹配到相應的檢測模塊，做到首先可見、其次可控、最後可審計。

圖片來自PaloAltoNetworks

當然，應用安全網關（NGFW）也是一個安全防禦工具，它不能做到固若金湯、萬無一失，但至少讓在邊界安全防護上會更大的提升邊界防控的等級，對惡意侵入者的攻擊活動製造更多的難度和成本。好的工具用好了能為我們增強安全防護等級、快速識別惡意威脅活動起到事半功倍的效果，所以不僅要了解安全設備的特性和配置，也要要熟悉攻防相關技術和知識，從而利用它做好安全防護和事件分析。

同時在有些場景中，應用安全網關（NGFW）也歸類於網路設備屬於網路部門運營，作為網路工具它也承載了邊界路由的功能，而且其網路層的功能不遜於路由交換設備，甚至有公司使用安全網關當做核心網路設備部署「零信任」架構。但考慮應用安全網關（NGFW）怎麼用時，必先考慮主次功能需求，如果以安全防禦為主就減少比如VPN、流量控制甚至是抗Dos等工作，一方面是輔助功能增加設備性能開銷，另一個就是運維負擔。比如，VPN連接出現了問題，會有各種調試排錯，會嘗試各種配置修改或者Debug，如果設備調試出故障到底算安全故障還是網路故障？這是一個容易推諉、扯皮、誰背鍋的問題。所以我們對應用安全網關（NGFW）的主要需求定位，對用好它非常關鍵，因為「複雜是安全的天敵」。

應用安全網關（NGFW）與安全生態的聯動：

前幾節中描述了應用安全網關具備的安全功能，以及如何破解攻殺套路的防禦對策，這些可以被認為是下一代應用安全網關的必備技能。但是當前的網路安全威脅可能不按套路出牌，所謂知己知彼、百戰不殆，狡猾的入侵者總是想著如何更快的抓到獵物並一擊必殺，因此單靠應用安全網關具備的三頭六臂還不行，還必須具有千里眼、順風耳的事態預先感知能力，以及與友軍優良協同作戰的能力。單打獨鬥肯定是玩不過躲在黑暗中的對手，所以聯動、集成以及響應速度對處於邊界的安全網關來說，變得很重要，畢竟「天下武功、唯快不破」。主流的應用安全網關玩家肯定會有自己的威脅情報來源，而且情報的來源具有範圍廣、雜訊低、質量高的特點，既然是威脅情報，肯定是剔除雜訊後的信息，如果每天1萬條威脅情報源，邊界安全網關是阻止還是不阻止呢？因此個人認為威脅情報的來源不在於多，而在於精，以此幫助應用安全網關防禦做到即快、又准、還狠，給對手沒有可乘之機。威脅情報信息除了來源精準，如果具備與友商互通有無，聯手共享的可靠來源，那無異於如虎添翼。因此建立統一的威脅情報聯盟是大勢所趨，如2017年初網路威脅聯盟

(Cyber Threat Alliance, CTA)，便是為了應對日益嚴峻的網路安全威脅而組建，好的威脅情報來源，不僅能快速匹配和識別自身網路中是否存在威脅，還能通過威脅情報平台看到與此威脅相關聯的其他安全網關防護的系統是否已被攻陷。因此能獲取業內一流的情報信息，無疑對保護邊界安全第一道防線來說十分必要。

圖片來自網路

除了威脅情報的利用，與安全友商的協同防護也是應用安全網關的重要價值，雖然應用安全網關能防護自身安全功能檢測到的威脅，以及阻斷威脅情報提供的威脅信息，同時還需具備與其他安全友商集成的借口，對來自內網其他友商的阻斷請求按需阻斷。如下圖所述，網路中任何組件，通過匯總事件信息到日誌分析平台，根據事件威脅程度定義的策略為高風險的，可以直接通過應用安全網關阻斷，這就是安全協同、聯防聯控，雖然不是什麼新概念，但是能落地的方案應該不多。因為不僅涉及到各種系統、安全組件、還有大數據日誌分析平台和應用安全網關，把一堆的模塊集成進來做同一件事情也眾口難調，所以還需要大家有開放的相互兼容的介面，因此API的開放程度對應用安全網關來說是安全協同的第一步，也決定了安全聯動的效果。

應用安全網關通常部署於網路邊界，或者是內網，在應對威脅時一部分通過特徵簽名防範已知威脅，同時集成雲端或者本地沙盒來識別未知威脅，因此未知威脅能檢測的操作系統類型，應用種類以及版本，以及支持的文件格式都將有效提升應用安全網關的防護能力，還有重要的一點就是未知威脅檢測響應速度，由於沙盒本身通常只做檢測，不做阻斷，所以應用安全網關（NGFW）與沙盒聯動，根據沙盒檢測反饋結果作出操作。沙盒的檢測速度與網關的響應速度對0Day的防護意義重大，因為兇猛的獵豹總想著吃掉跑的慢的羔羊。

應用安全可視化的必要性：

過去我們部署安全網關後，也許就很少再登錄上去瞧它一眼，對我而言其實不是不想看，而是沒法看。一個是安全事件鋪天蓋地，海量的信息讓人無處下手，再一個就是可視化太差，不忍直視慘淡的界面。不知道看什麼和怎麼看。這讓我們在過去很長時間並不關注安全網關，除非是修改策略、取證安全事件才會有幸登陸一回。但是今天應用安全網關正在改變這一現狀，因為主流玩家都意識到安全事件日誌是寶貴的資源，從最原始的安全日誌里能挖掘出有規律和有價值的信息。這就好比人物畫像一樣，通過檢測到過去一月、或者更久的流量，將具有異常的網路訪問行為定義為入侵事件，並且呈現出來。比如，應用識別模塊發現3個月前入侵者正常訪問過門戶網站，同時IPS模塊檢測到針對門戶網站的埠登陸嘗試80，443，8080。然後1個月前，有精心構造的SQL查詢，並且在1周前未知威脅防護髮現在北美檢測到的最新的漏洞利用技術，在此被利用發起1Day攻擊，緊接著昨天互聯網上曝光了公司上市計劃和股權分配等敏感信息。如果單獨從孤立的時間點肯定無法判斷入侵者正在實施攻擊，畢竟前後的事件記錄還沒關聯起來。與此同時，狡猾的獵人總會想辦法刷掉日誌記錄，比如通過DOS製造海量的雜訊日誌，將高危的漏洞利用掩蓋在毫無價值的雜訊流量里，從而隱藏自己的痕迹。而此時，管理員在疲於奔命處理異常流量時根本無暇顧及還有針對業務的高風險入侵，而且還是從海量的日誌里大海撈針，想要第一時間定位入侵活動可謂鞭長莫及。因此如何快速定位，精準識別以及通過GUI友好的呈現，是將安全事件變成可視化的前提。以前經常困惑於我知道有問題，可不知道問題在哪裡，現在總算是能撥開迷霧現雲天。目前的安全可視化並非定位攻擊的靈丹妙藥，不應有過高期待，但比起密密麻麻的日誌字元串看的頭大要來的賞心悅目了，而且針對日誌的匯總和深度挖掘也讓我們能更快搜索到想要的信息。

對應用安全網關（NGFW）的輔助功能的看法：

應用安全網關除了上述主要的安全功能，其實眾所周知，它還具有傳統的VPN功能，QoS流控功能，甚至是抗Dos功能，以及數據防泄密（DLP）和SSL解密功能。坦誠來講，我更傾向把這些功能當作是輔助功能需求，更多原因是為了滿足競標需求，投標的業界規矩都懂，如果大家都有的功能，你要沒有就容易被排他條款踢出去，這是個不好的現象。因為應用安全網關主要是從應用安全的角度做防護，如果需要做QoS流控、或者啟用其抗D，這對設備的性能會帶來很大挑戰，有點捨本逐末。我相信這些功能選項並非應用安全網關強項。老話說「術業有專攻」，做流控或是做DLP的專業廠商有很多，他們做的比應用安全網關廠商也強很多。如有專門的需求，指望使用應用安全網關解決小部分需求也許可以，但是必須評估對現有平台的影響，切勿盲目開啟影響主要安全功能。當然，這些輔助功能也並非完全擺設，如果我們對這些功能期待不多，只求基本能用且性能可控的前提下，輔助使用也是可以的。在眾多輔助功能中，有一項值得注意的是，在互聯網上使用的流量中，目前已有將近50%的流量使用SSL加密傳輸，今後SSL加密傳輸將更廣泛，所以應用安全網關對SSL流量的威脅檢測需求將會日益增長，這個功能也將會對應用安全網關的性能提出新的挑戰。

全文總結：

前文繁冗篇幅介紹了應用安全網關（NGFW），各位讀者堅持到此實屬不易，對於您的關注在此我深表感謝。文中所寫內容皆是自己這些年從業生涯所見、所學、所想而有感而發，發表一些初略見解以資拋磚引玉。鑒於時間倉促，文中存在的不足之處或謬誤還請眾看官海涵和指導。

回首十幾年前首次接觸安全網關，是當時風頭正勁的以色列廠商，憑藉當時狀態檢測技術一招鮮、吃遍天，時至今天整整輝煌了20多年仍餘威不減當年，此後又在各大廠里有幸接觸最新的安全網關技術，包括紅極一時的UTM產品，到今天已成昨日黃花。作為當前仍然奮戰在安全網關的一線技術人員，親身經歷了數次技術變革，領閱了城頭變幻大王旗，深知這是技術發展的必然。大浪淘沙始得金，安全行業就是要求變，求快，在技術上不斷自我突破才能緊跟主流，立於高處。這就是某位前輩所說「這是一個大魚吃小魚，快魚吃慢魚的時代。」以後技術發展還會出現新概念，新品牌，俱往矣，數風流「網關」，還看今朝—應用安全網關（NGFW）。