Como os princípios do jornalismo ajudam a definir a Política de Confiança Zero

Todos sabem que, para um artigo de jornal, publicação em blog ou artigo técnico ter credibilidade, o autor deve informar "quem, o quê, onde, quando, por que e como". Se esses tópicos não forem incluídos, o leitor ficará com uma história parcial. Podemos nomear Rudyard Kipling como o responsável por definir esses princípios básicos do jornalismo para nós:

Tenho seis servos honestos

Que me ensinaram tudo o que eu sei:

O nome deles é Qual, Por quê, Quando,

Como, Onde e Quem.

-Rudyard Kipling, Just So Stories, 1902

Contudo, a utilidade do "Método Kipling" vai muito além das boas práticas do jornalismo. Por anos eu usei o Método Kipling para ajudar as empresas a definirem as políticas e construírem as redes de Confiança Zero. Ele garante que as equipes de segurança sejam meticulosas nas suas definições e que todos, inclusive executivos não técnicos, possam compreender as políticas de segurança cibernética devido à simplicidade de sua abordagem.

Política na Camada 3 vs. Política na Camada 7

Para realmente implantar o Método Kipling e construir uma arquitetura de Confiança Zero, você precisa entender por que ela não pode ser feita com a tecnologia da Camada 3.

Primeiro, qual a diferença entre a Camada 3 e a Camada 7? A Camada 3 é a camada onde a informação é avaliada com base somente no endereço IP, porta ou protocolo. Geralmente, ela é limitada pela falta de informações que podem ser observadas. O endereço de IP pode ser falso. As varreduras simples de portas irão revelar todas as portas abertas para que o invasor possa encapsular todos os dados roubados e fazer a transferência não autorizada de dados de todas as portas abertas, e o protocolo, na verdade, é apenas uma etiqueta de metadado para ajudar o administrador a compreender o tipo de tráfego que deveria estar passando por uma porta específica. E mais importante que tudo isso, TODOS os adversários sabem como burlar os controles da Camada 3. Você precisa conseguir definir as coisas com mais fidelidade para manter sua empresa protegida.

A Camada 7 é muito mais específica. É nela que as informações são avaliadas com base no aplicativo em que elas estão sendo usadas (por exemplo, definir o Facebook como um aplicativo único em vez do tráfego que está passando pelas portas 80 e 443). Quando estava na Forrester, eu criei uma metodologia de cinco etapas para uma rede de Confiança Zero. A quarta etapa define que você deve escrever as regras da política para o gateway de segmentação com base no comportamento esperado dos dados, e dos usuários ou aplicativos que vão interagir com esses dados. É isso que o firewall de última geração da Palo Alto Networks faz quando serve de gateway de segmentação num ambiente de Confiança Zero, e devido à granularidade da política, isso só pode ser feito na Camada 7.

Como aplicar o Método Kipling usando o firewall de última geração da Palo Alto Networks

Veja como você pode aplicar o Método Kipling ao implementar o firewall de última geração da Palo Alto Networks usando nossas revolucionárias tecnologias User-ID, App-ID e Content-ID:

• O User-ID se torna a afirmação "QUEM": “Quem está acessando um recurso? ”

O User-ID é uma instanciação da Camada 7 da aproximação fornecida pelo endereço IP da fonte. Por exemplo, podemos pegar OUs do Active Directory para extrair os usuários do domínio de um User-ID personalizado. Então, podemos acrescentar coisas como a autenticação multifatorial (sigla em inglês, MFA) ou o Host Information Profile (HIP) para nosso cliente do GlobalProtect melhorar a fidelidade da afirmação “Quem". Também podemos acrescentar a MFA para um User-ID e um atributo adicional, para um controle mais granular.

• O App-ID se torna a afirmação "QUAL": “Qual aplicativo está sendo usado para acessar o recurso? ”

Atualmente, a Palo Alto Networks tem mais de 2.800 App-IDs publicados (visite a Applipedia para ver a lista que continua crescendo) para serem usados na construção dessas regras. Isso significa que os invasores não podem mais usar um aplicativo genérico, como serviços da web (HTTP/HTTPS) para burlarem os controles de segurança.

• O Content-ID se torna a afirmação "COMO": “Como o tráfego do User-ID e do App-ID pode ter permissão para acessar um recurso? ”

O Content-ID conta com regras do Threat Prevention, nosso recurso de prevenção avançada contra intrusão, decriptação SSL para que o tráfego malicioso e os dados roubados não se escondam dentro de túneis criptografados, URL Filtering para que os usuários não visitem domínios maliciosos ou de phishing, WildFire, nossa tecnologia de área limitada de última geração que redefiniu a forma com que o malware é detido, e nosso novo serviço DNS Security que aplica a análise preditiva para que proteções automatizadas impeçam ataques que usem o DNS.

Com essas três tecnologias definindo QUEM, QUAL e COMO, é fácil definir uma regra básica do Método Kipling na Camada 7 e implementá-la usando nosso sistema de gerenciamento Panorama. Além disso, o PAN-OS permite a inclusão de uma afirmação QUANDO (uma regra delimitada pelo tempo), uma afirmação ONDE, que é o local onde o recurso está (geralmente ela pode ser colocada automaticamente no Panorama através de um API), ou uma afirmação POR QUÊ com a leitura do metadado de uma ferramenta de classificação de dados e usando isso na regra.

O método Kipling foi desenvolvido para ajudar os líderes de negócios e os administradores de segurança definirem políticas granulares para a Camada 7 usando a simples metodologia quem, qual, quando, onde, por que e como que nos foi apresentada pelo Rudyard Kipling. As pessoas que nunca pensaram em escrever uma política de firewall podem compreender essa metodologia com facilidade e ajudar a definir os critérios necessários para criar um conjunto de regras para o seu gateway de segmentação.

저널리즘의 원리가 제로 트러스트 정책을 정의하는 데 얼마나 유용한가

뉴스 기사, 블로그 게시물 또는 백서가 신뢰감을 주려면 글쓴이가 주제와 관련하여 "누가, 무엇을, 어디서, 언제, 왜, 어떻게”라는 육하원칙을 따라야 한다는 사실을 누구나 알고 있습니다. 이 육하원칙을 따르지 않는 글은 독자에게 완성되지 않은 이야기로 남게 됩니다. 루디야드 키플링(Rudyard Kipling)은 다음과 같은 저널리즘의 필수 요소를 명확하게 정의한 것으로 유명합니다.

저는 정직하게 일하는 6명의 남자를 고용하고 있습니다.

(이들은 내가 아는 모든 것을 가르쳐 주었습니다.)

이들의 이름은 무엇을, 왜, 언제,

그리고 어떻게, 어디서, 누가입니다.

-루디야드 키플링(Rudyard Kipling), 1902년 Just So Storys

그러나 이 "키플링 방법"의 유용성은 저널리즘 모범 사례를 훨씬 뛰어넘습니다. 수년간 저는 키플링 방법을 사용하여 기업들이 정책을 정의하고 제로 트러스트 네트워크를 구축하도록 도왔습니다. 따라서 보안팀은 철저한 정의 과정을 거칠 수 있으며, 이 접근법의 단순성 덕분에 기술을 잘 모르는 기업 임원을 포함하여 누구나 사이버 보안 정책을 이해할 수 있게 되었습니다.

레이어 3의 정책과 레이어 7의 정책 비교

키플링 방법을 실제로 적용하고 실제 제로 트러스트 아키텍처를 구축하려면 레이어 3 기술을 사용할 수 없는 이유를 이해해야 합니다.

먼저, 레이어 3과 레이어 7의 차이점은 무엇일까요? 레이어 3은 IP 주소, 포트 또는 프로토콜만을 기반으로 정보를 평가하는 레이어입니다. 볼 수 있는 정보가 부족하여 상당히 제한적입니다. 그리고 이 레이어에서는 IP 주소를 스푸핑할 수 있습니다. 단순한 포트 검색은 공격자가 개방된 포트 전반에서 도난당한 데이터를 캡슐화하고 빠져나갈 수 있도록 개방된 포트 전체를 검색하며, 프로토콜은 관리자가 특정 포트를 통과해야 하는 트래픽 유형을 이해할 수 있는 메타데이터 태그일 뿐입니다. 가장 중요한 것은 모든 악의적인 사용자가 레이어 3 컨트롤을 우회하는 방법을 알고 있다는 것입니다. 회사의 보안을 유지하기 위해서는 보다 높은 충실도로 상황을 정의할 수 있어야 합니다.

레이어 7은 훨씬 더 구체적입니다. 여기서는 사용 중인 실제 애플리케이션을 기반으로 정보를 평가합니다(예: Facebook을 포트 80 및 443에서 실행되는 트래픽이 아닌 고유한 애플리케이션으로 정의). Forrester에 있는 동안 저는 제로 트러스트 네트워크에 대한 5단계 방법을 고안했습니다. 네 번째 단계에서는 데이터의 동작 및 이 데이터와 상호 작용하는 사용자나 애플리케이션의 예상 동작을 기준으로 분할 게이트웨이에 대한 정책 규칙을 작성해야 합니다. 따라서 Palo Alto Networks 차세대 방화벽은 제로 트러스트 환경에서 분할 게이트웨이로 사용되며, 정책의 세분화로 인해 레이어 7에서만 실행될 수 있습니다.

Palo Alto Networks 차세대 방화벽을 사용한 키플링 방법 적용

혁신적인 User-ID, App-ID, Content-ID 기술을 사용하여 Palo Alto Networks 차세대 방화벽을 구축할 때 키플링 방법을 적용하는 방법은 다음과 같습니다.

• User-ID는 다음과 같은 WHO(누가) 문이 됩니다. “누가 리소스에 액세스하고 있는가?”

User-ID는 소스 IP 주소로 제공되는 근사치의 레이어 7 인스턴스화입니다. 예를 들어 Active Directory에서 OU를 가져와서 도메인 사용자를 사용자 지정 User-ID로 가져올 수 있습니다. 그런 다음 GlobalProtect 클라이언트에서 MFA(multifactor authentication)나 HIP(Host Information Profile)와 같은 항목을 추가하여 "Who(누가)" 문의 충실도를 높일 수 있습니다. 또한 User-ID에 MFA를 추가하고 속성을 추가하여 보다 세분화된 제어를 할 수 있습니다.

• App-ID는 다음과 같은 WHAT(무엇) 문이 됩니다. "리소스에 액세스하는 데 사용되고 있는 애플리케이션은 무엇입니까?

Palo Alto Networks는 현재 2800개 이상의 게시된 App-ID를 보유하고 있습니다(계속 추가되는 이 목록을 보려면 Applipedia 참조). 즉, 공격자는 더 이상 웹 서비스(HTTP/HTTPS)와 같은 일반 애플리케이션을 사용하여 보안 제어를 우회할 수 없습니다.

• Content-ID는 다음과 같이 HOW(어떻게) 문이 됩니다. "User-ID와 App-ID 트래픽이 리소스에 액세스하도록 허용하려면 어떻게 해야 합니까?

Content-ID에는 최첨단 침입 방지 기능인 선제 방어 규칙, 암호화된 터널 내부에 악성 트래픽과 도난당한 데이터를 숨길 수 없는 SSL 복호화, 사용자가 악성 또는 피싱 도메인으로 이동하지 않도록 해주는 URL Filtering, 멀웨어 차단 방법을 재정의하는 첨단 샌드박스 기술인 WildFire, 자동 보호를 위해 예측 분석을 적용하여 DNS를 사용하는 공격을 차단하는 새로운 DNS 보안 서비스가 포함되어 있습니다.

WHO, WHAT, HOW 문을 정의하는 이 세 가지 기술을 통해 Panorama 관리 시스템을 사용하여 기본 키플링 방법 레이어 7 규칙을 쉽게 정의하고 구현할 수 있습니다. 또한 PAN-OS에는 WHEN(언제) 문(시간 설명 규칙), 리소스의 위치인 WHERE(어디서) 문(흔히 API를 통해 자동으로 Panorama로 가져올 수 있음), 또는 데이터 분류 도구에서 메타데이터를 읽고 규칙에서 이를 사용하여 WHY(왜) 문을 추가하는 기능이 있습니다.

키플링 방법을 사용하면 비즈니스 리더와 보안 관리자 모두가 루디야드 키플링(Rudyard Kipling)이 제시한 누가, 무엇을, 언제, 어디서, 왜, 어떻게라는 육하원칙을 토대로 세부적인 레이어 7 정책을 정의할 수 있습니다. 방화벽 정책 작성을 고려해 본 적이 없는 사용자도 이 방법을 쉽게 이해할 수 있으며 분할 게이트웨이에 대한 규칙 세트를 작성하는 데 필요한 기준을 정의할 수 있습니다.

新聞原則如何進一步肯定零信任政策的定義

我們都知道，記者和作者在寫作時，必須在文章中涵蓋「何人、何事、何地、何時、為何及如何」，才能讓新聞報導、部落格文章或白皮書具有可信度。如果缺少這幾個部分，讀者就無法得知完整的內容。Rudyard Kipling 針對新聞撰寫要點為我們提供了下列清楚的定義：

我有六個誠實的導師

(他們教我學會所有的知識)；

這六個導師的名字是「何事、為何、何時」

以及「如何、何地、何人」。

-Rudyard Kipling《原來如此故事集》(Just So Stories) 1902

此「Kipling 方法」的實用程度遠超過新聞撰寫的最佳做法。多年以來，我使用 Kipling 方法協助企業為政策下定義和建置零信任網路。這個方法能確保為企業的安全性團隊提供完整定義。由於這個方法非常簡單易用，因此也可以確保每人 (包括非技術部門的業務主管) 都能瞭解網路安全政策。零信任政策的首要設計原則就是將重點放在業務目標，所以這個方法特別實用。

三層的政策與七層的政策

若要實際應用 Kipling 方法來建置真正的零信任架構，您必須先瞭解為什麼不能透過三層的技術來執行。

首先必須瞭解三層和七層的區別。若以三層的技術來執行，資訊的評估只以 IP 位址、連接埠或通訊協定為根據。由於缺乏可見資訊，資訊的評估受到相當大的限制。攻擊者可能會偽造 IP 位址。攻擊者只要進行簡單的連接埠掃描，就可以發現所有開放的連接埠，可以藉此封裝竊取的資料，並在開放的連接埠上洩漏。而且，通訊協定就只是中繼資料標籤，幫助管理員瞭解應該經過特定連接埠的流量類型。最重要的是，所有的攻擊者都知道如何避開三層控制。您必須更精確地進行定義，才能確保企業安全。

七層技術更加具體。在七層技術中，資訊的評估是以實際使用的應用程式為根據。例如，將 Facebook 定義為實際運行的應用程式，而非流經連接埠 80 和連接埠 443 的流量。我之前為 Forrester 建立了零信任網路的五步驟方法。其中第四個步驟是，您必須根據資料的預期行為以及與該資料互動的使用者或應用程式，撰寫區隔閘道的政策規則。這就是您可以透過 Palo Alto Networks Next-Generation Firewall (新世代防火牆) 執行的項目 (Palo Alto Networks Next-Generation Firewall 在零信任環境中做為區隔閘道)。政策的細微度相當精細，因此只能在七層技術中執行。

應用 Kipling 方法使用 Palo Alto Networks Next-Generation Firewall

以下說明如何在部署 Palo Alto Networks Next-Generation Firewall 時應用 Kipling 方法，您需要使用我們創新的 User-ID、App-ID 和 Content-ID 技術：

• User-ID 代表何人陳述式：「誰正在存取資源？」

User-ID 是將來源 IP 位址提供的約略資料在七層技術中做出具現化。例如，您可以從 Active Directory 取得 OU，將網域使用者轉換為自訂的 User-ID。然後，您就可以從 GlobalProtect 用戶端新增多重因素驗證 (MFA) 或 Host Information Profile (主機資訊設定檔 - HIP) 等項目，增加「何人」陳述式的精確性。您也可以將 MFA 新增到 User-ID，並加上其他屬性，以進行更精細的控制。

• App-ID 代表何事陳述式：「正在使用哪一個應用程式存取資源？」

Palo Alto Networks 目前有超過 2800 個已發佈的 App-ID 可用於建置這些規則 (請造訪 Applipedia (應用程式百科) 查看持續增加的清單)。這代表攻擊者無法再使用如 Web 服務 (HTTP/HTTPS) 等一般應用程式避開安全性控制。

• Content-ID 代表如何陳述式：「應該如何允許 User-ID 和 App-ID 流量存取資源？」

Content-ID 包括我們的進階入侵防禦功能 Threat Prevention 規則；SSL 解密可以防止惡意流量和竊取的資料隱藏於加密通道中；URL Filtering 可防止使用者前往惡意或釣魚網域；WildFire 是我們先進的沙箱技術，重新定義阻擋惡意軟體的方式；新的 DNS 安全性服務可以應用預測分析進行自動化保護，以阻擋使用 DNS 的攻擊。

有了這三項定義何人、何事及如何陳述式的技術後，您就可以使用我們的 Panorama 管理系統，輕鬆定義並實作基本的 Kipling 方法七層規則。此外，PAN-OS 還能加入何時陳述式 (以時間分隔的規則)、何地陳述式 (資源的位置，通常可以透過 API 自動加入 Panorama)，或為何陳述式 (透過讀取資料分類工具的中繼資料，並在規則中使用該中繼資料)。

Kipling 方法的設計宗旨是協助企業領導人和安全管理員使用 Rudyard Kipling 提供的何人、何事、何時、何地、為何及如何的簡易方法，來定義精細的七層模式。從未撰寫過防火牆規則的人也能輕鬆瞭解這個方法，並協助定義用來建立區隔閘道規則集的必要準則。

新闻界的原则如何帮助定义零信任策略

众所周知，不论是新闻文章、博客帖子还是白皮书，要具有可信度，作者需要叙述主题的“何人、何事、何地、何时、为何与如何”。如果没有涵盖这些内容，读者就只能看到一部分的故事。拉迪亚德·吉卜林清楚地定义了这些新闻要素：

我有六名忠实的仆人

（我所知道的都是他们教的）；

他们的名字是：何事、为何、何时

如何、何地与何人。

——拉迪亚德·吉卜林，《原来如此的故事》，1902 年

而这种“吉卜林方法”的用途已经延伸到了新闻的最佳实践之外。多年以来，我使用吉卜林方法帮助企业定义策略，并构建零信任网络。这能够确保安全团队获得明确的定义，并且所有人（包括非技术的业务主管）能够通过这种简单的方法理解网络安全策略。

第 3 层策略与第 7 层策略

为了实际地应用吉卜林方法，并构建真正的零信任架构，您需要了解为何不能通过第 3 层技术实现这一点。

首先，第 3 层与第 7 层之间存在什么区别？第 3 层仅根据 IP 地址、端口或协议评估信息。由于缺乏能够查看的信息，因此严重受限。IP 地址可以伪装。简单的端口扫描就能发现所有的开放端口，这样攻击者能够封装窃取的数据，并通过这些开放的端口泄露。协议只是一种元数据标记，用于帮助管理员了解本应遍历特定端口的流量类型。最重要的是，所有的攻击者都知道如何规避第 3 层控制。您需要使用更高的精准度进行定义，从而保证企业的安全。

相比之下，第 7 层更加具体。在这里，根据实际使用的应用评估信息（例如，将 Facebook 定义为唯一的应用，而不是通过端口 80 和 443 的流量）。在 Forrester 时，我创造了构建零信任网络的五步法。在第四步提出，需要根据数据、与数据交互的用户或应用的预期行为编写分段网关的策略规则。作为零信任环境中的分段网关，Palo Alto Networks 新一代防火墙能够帮助您实现这些，鉴于策略的细粒度要求，只能在第 7 层实现这一点。

利用 Palo Alto Networks 新一代防火墙实现吉卜林方法

以下展示了如何应用吉卜林方法部署 Palo Alto Networks 新一代防火墙，同时使用我们创新性的 User-ID、App-ID 和 Content-ID 技术：

• User-ID 代表何人声明：“何人正在访问资源？”

User-ID 是源 IP 地址给出的近似值的第 7 层实例化。例如，我们能够从 Active Directory 中获取 OU，从而将域用户拉取到自定义 User-ID 中。然后，我们可以从 GlobalProtect 客户端添加诸如多重身份验证 (MFA) 或主机信息配置文件 (HIP) 之类的内容，以增强“何人”声明的准确性。我们还可以将 MFA 添加到 User-ID 和附加属性中，从而提供更加精细的控制。

• App-ID 代表何事声明：“使用什么应用访问资源？”

Palo Alto Networks 目前有 2800 多个已发布的 App-ID（请访问 Applipedia 查看不断丰富的列表），用于构建这些规则。这意味着攻击者无法再使用像 Web 服务 (HTTP/HTTPS) 一样的常规应用规避安全控制。

• Content-ID 代表如何声明：“应如何允许 User-ID 和 App-ID 流量访问资源？”

Content-ID 中包含 Threat Prevention 规则，这是我们的高级入侵防护功能；通过 SSL 解密使恶意流量和被窃取的数据无法藏匿于加密隧道中；通过 URL Filtering 避免用户访问恶意域或网络钓鱼域；WildFire 是我们最先进的沙盒技术，该技术重新定义了阻止恶意软件的方法；我们全新的 DNS Security 服务为自动保护应用了预测分析，从而阻止使用 DNS 的攻击。

通过这三种定义了何人、何事以及如何声明的技术，可以轻松地定义基本的吉卜林方法第 7 层规则，并使用我们的 Panorama 管理系统实施。此外，PAN-OS 能够添加何时声明（描述时间的规则）；何地声明（与资源位置有关，通常由 Panorama 通过 API 自动获取）；或为何声明（方法是从数据分类工具中读取元数据并用于规则中）。

吉卜林方法通过拉迪亚德·吉卜林提供的“何人”、“何事”、“何时”、“何地”、“为何”以及“如何”这种简单的方法，帮助业务领导者和安全管理员定义精细的第 7 层策略。从未考虑过编写防火墙策略的人也很容易理解这种方法，并通过定义必要的条件来为分段网关创建规则集。