freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

互联网边界防护之不同业务类型及其发布方式
2022-12-24 00:03:12
所属地 湖南省

0、前言

以前也时不时会在freebuf上看文章,但是一直没发过。忽然发现freebuf可以自由投稿。先把以前在同名公众号(非典型产品经理笔记)上写的原创内容,挑一部分发一下。

后续新内容会考虑同步在freebuf上发送。

1、互联网边界-最重要的边界

互联网边界,对于绝大多数客户而言,是最危险、最重要的一道边界防护,没有之一。 根据浅析ATT&ck和Cyber Kill Chain)我们可知,攻击者非常关键的一步就是获取到Initial Access初始入口\突破点

对互联网暴露的业务/应用,是攻击者首选攻击途径。

那么通常互联网边界上会开放哪些业务呢?

2、互联网边界上开放的业务类型

2.1、典型业务举例

不同的客户,通常有不同的对互联网开放的业务。我们可以尝试汇总一些和互联网有关的典型业务,再考虑尝试从中提取一些共性:

1)、员工邮箱:部分客户的办公邮箱可以通过互联网直接登录

2)、门户网站:不少客户有门户网站,允许互联网直接访问

3)、针对自身消费者/客户的业务系统、APP:比如说电商公司的商城网站、购物APP

4)、办公门户APP:部分客户在信息化、数字化过程中,将移动端视为重要组成部分,会将部分办公业务APP化

5)、测试类业务系统:一些互联网、金融客户,业务系统持续开发,且通常有测试环境,会需要开放到互联网进行测试联调工作

6)、运维端口:少数客户,或因运维方便、或因管理不慎,将运维端口(如3389、22)直接开放到互联网

7)、开放API接口服务:部分客户会有一些数据共享、服务共享类业务,比如说航空公司的机票对旅行公司开放接口、花呗的征信查询接口对合作方开放、供应链信息业务对关供应商开放以实现数字化等

8)、IPSEC/SD-WAN类边界组网网关:对于存在多数据中心、多办公职场的客户,除专线外,也会通过IPSEC/SD-WAN等方式进行组网,此时,这些组网网关通常也会暴露至互联网

9)、VPN/SDP类边界接入网关:不少客户重视互联网业务发布的安全性,会考虑通过VPN/SDP类边界接入网关进行业务发布,此时,接入网关自身也是一种特殊的业务

2.2、不同维度的业务系统分类

业务系统分类在不同的场景下,有不同的分类方式,如下是我们可能会遇到的一些分类方式

:下述业务、系统、应用均指代业务系统,特指同一含义,请按照各自习惯自行替换):

按行业特征分类:to B业务、to C业务、to G业务

按面向对象分类(1):前台业务、后台业务

按面向对象分类(2):消费者业务、员工业务、合作伙伴业务

按使用主体特征分类:人机交互(UI)业务、非UI业务(

参考等级保护进行分类:设备类(主机设备/网络设备/安全设备/数据库/控制设备等)、应用系统/业务应用、终端和移动终端

按开放性划分:开放应用、内部应用

按内部职能分类:生产业务/系统、办公系统、测试系统、开发系统、运维系统等

按技术实现分类:WEB业务、CS业务

按终端分类:PC业务、APP业务

按敏感度分类:高敏业务、中敏业务、低敏业务

...

2.3、从安全攻防视角选取分类维度

在安全攻防中,暴露面是至关重要的影响因素。所以我们在选取合适的分类维度时,也需要重点考虑其**影响暴露面 **的相关因素。业务的使用者,往往影响业务的开放程度(即暴露面),本文采用了《云原生应用架构:微服务开发最佳实践》中的前台、后台,作为主要分类以辅助理解安全攻防。

前台业务:特指企业或机构面向其终端用户(客户)所使用的系统,是企业与客户进行交互的平台,例如用户直接访问的网站、App等都可以算作前台。

1)、使用者:终端用户。根据业务不同,可能是C端消费者,也可能是B端用户,也可能是G端用户。

2)、包含范围:电子商城、购物APP、门户网站等供终端用户可访问的业务系统。

后台业务:管理企业核心信息资源(数据)的后端系统、计算平台、基础设施。后台不会和终端用户直接交互。

1)、使用者:通常是内部员工、合作伙伴(渠道、供应商等)。

2)、包含范围:设备类(网络设备、安全设备、主机设备、数据库、虚拟化设备平台等)、员工/合作伙伴使用的办公类业务系统 均在此列

============

注:谈起前台、后台,有些读者会关联到中台。中台业务的特征,类似于后台业务,通常是非终端用户访问的(比如说提供给运营人员使用),在此并不对中台做过多阐述。 所以本文所述“后台业务”,也可理解为“中后台业务”,含义一致。

3、应用发布到互联网的多种姿势

3.1、前台业务发布到互联网

前台业务由于其面向对象的开放性,一般会直接暴露到互联网,再通过FW、IPS、WAF、RASP、HIDS等安全防护手段进行保护。

3.2、(中)后台业务发布到互联网

(中)后台业务中,最主要部分是 人机交互业务,即给人使用的业务

3.2章节中的下述方式,均是指 给人使用的人机交互业务。此处的人,可以是自身员工、合作伙伴员工等。

值得注意的是,此处UI包含了CLI(命令行界面)和GUI(图形界面),比如说SSH协议连接后的terminal终端,也是提供给人使用的,也被归纳为人机交互业务的一部分。

3.2.1、直接暴露到互联网

比如说邮箱、ERP等办公类系统,在不考虑安全的情况下,均可以直接暴露至互联网。

3.2.2、通过IP ACL限制后发布到互联网

因为互联网边界都有firewall,所以通过IP ACL方式发布,可以无需依赖其他外部设备。但是IP的方式,因为互联网动态IP会经常变,添加不及时,会导致不可用,删除不及时,则会导致风险;同时如果IP越多,维护起来也越困难。

所以此方案使用起来很不便利,通常可能会在一些很小的场景下使用(如部分公司几个IT人员需要远程运维),或者IP相对固定的场景下使用,比如说合作机构的互联网出口固定不变的情况下可以使用

场景1:部分客户通过互联网直接发布运维端口

场景2:部分客户通过IP ACL将业务开放给合作伙伴、合作机构的访问者访问

3.2.3、VPN/SDP类边界接入网关

场景1:堡垒机也属于一种边界接入网关,有时会被部分客户用作发布资源到互联网边界。当然更多客户会结合VPN/SDP此类互联网边界接入网关整合,以增强其安全性

场景2:VPN/SDP同样属于边界接入网关,且主要针对互联网边界,通常也用于将业务发布到互联网。

3.2.4、4A/SSO系统发布到互联网

还有的客户OA/CRM等系统,是直接映射至互联网。

但是当用户访问 OA或CRM等业务系统时,如果未认证,就会跳转到SSO/4A系统去认证,如果认证不通过,则不能访问。

在此模式下,其实所有业务系统是直接暴露至互联网的。但是认证能力,相当于是公共的,多个业务系统都复用SSO系统的认证机制。

3.3、非UI类型的(中)后台业务发布到互联网

剩下一小部分是给机器、程序调用的非UI业务,比如说开放API服务等。

3.3.1、直接暴露互联网

给机器访问的业务,在不考虑安全的情况下,也可以直接暴露互联网。

3.3.2、IPSEC/SD-WAN类边界组网网关

组网也属于一种特殊的业务。

两个数据中心组网,通常需要有一个数据中心暴露其组网端口,供另外一方去建立连接,组建网络。

3.3.3、通过开放API认证网关发布API服务

API网关有两种使用场景,除了科技型企业内部所需要使用的微服务网关(场景上有点类似于上一个技术时代流行的ESB总线),还有一种是针对开放API提供的API认证网关

所谓开放API,就是将企业/机构自身独有的服务型API提供给合作伙伴进行调用,比如说航空公司,提供票务相关开放接口;证券公司,提供证券服务相关接口给合作机构。

典型开源API网关比如说Kong、apisix,其最原始的出发点是为了提供微服务网关场景使用。但是两者的基础能力是一致的,只是发展方向会有所差异。此处不再赘述。

3.3.4、基于IP ACL发布到互联网

非UI业务,当访问者IP比较固定时,也可以通过IP ACL进行发布。

比如说开放API服务,如果合作伙伴机构是固定的,也可以约束仅合作伙伴调用。

3.3.5、通过负载均衡设备/安全认证网关使用双向SSL证书认证发布业务

还有一种常用非UI业务的方式,是通过双向SSL证书。比如说给合作伙伴机构,颁发一张证书,合作伙伴调用时,通过该证书进行双向SSL校验身份,确保安全。

mTLS(https://en.wiki敏pedia感.org/wiki/Mutual\_authentication[1]),双向证书认证,是一种典型的双向认证实现方式,典型的负载均衡设备或专门的安全认证网关都具备相应能力。

3.4、应用发布到互联网的模式总结

1、前台业务由于其访问IP的开放性、访问主体身份的不确定性,通常是通过IPS、WAF等威胁检测类设备进行安全发布。

2、中后台业务需要区分 人机交互业务和非UI业务。

其中,人机交互业务是提供给身份更为确认的自身员工、合作伙伴员工进行访问,网络环境、人员位置、终端类型、人员角色岗位、业务系统多种多样,风险高,从安全角度,较优方式是采用专门针对于互联网边界的VPN/SDP类边界接入网关对访问过程进行安全保护。

非UI业务主要包含网络组网、开放API,较优方式是通过边界组网风关、API认证网关等针对性手段进行安全保护。

image-20220614092917710image-20220614092917710

参考资料

[1]

https://en.wiki敏pedia感.org/wiki/Mutual_authentication: https://en.wiki敏pedia感.org/wiki/Mutual_authentication

相关:

#13 HVV-Learning-004-区域边界网络下的攻击链路与攻击事件(BLA&UKC)

HVV-Learning-003-浅析ATT&CK和Cyber Kill Chain

#7 HVV-Learning-002-攻防演练的典型网络以及攻防现状(2021)

HVV-Learning-001-初步了解网络安全攻防演练

# xss
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录