Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27033-4:2014 网络安全——通信安全
使用网关、防火墙和加密协议保护网络间通信的技术与控制措施
ISO/IEC 27033-4 概述
ISO/IEC 27033-4:2014 提供了保护网络间通信安全的详细指南。它解决了不同网络——可能属于不同的管理域——需要安全交换数据的场景。该标准涵盖了广泛的互连类型,包括站点到站点VPN、专线、基于互联网的通信和Extranet链路。它还深入分析了网关安全、防火墙架构和传输数据的加密保护,使其成为任何运营多个网络段或连接到外部合作伙伴和服务的组织的重要参考。
在当今互联的商业环境中,网络到网络的通信无处不在。组织将其分支机构连接到总部,将本地数据中心链接到云环境,并与业务合作伙伴和供应商建立Extranet连接。这些互连场景中的每一个都呈现了独特的安全挑战,必须加以解决以保护敏感数据并维护业务连续性。ISO/IEC 27033-4 提供了一个系统化的框架,用于识别、分析和减轻与网络间通信相关的风险,确保所有连接类型一致地应用安全控制措施。该标准还强调了安全控制措施应根据通信的具体风险状况进行调整,而不是采取一刀切的方式。
对于任何实施多站点连接或混合云架构的组织来说,ISO/IEC 27033-4 都是必读标准,因为在这些场景中,数据穿越可能不在组织直接控制下的网络边界。该指南同样适用于小型企业和大型企业。
网络间通信安全控制
该标准根据安全需求对网络间通信场景进行分类。对每个类别推荐了特定的控制措施。关键类别包括:(1)同一管理域内可信网络之间的通信,可采用基本加密和访问控制;(2)半可信网络之间的通信(如组织网络与云VPC之间),需要强认证和加密隧道;(3)不可信网络之间的通信(如公共互联网),需要全面的安全措施,包括深度包检测、TLS终止和应用层过滤。每个类别都有不同的威胁概况,需要量身定制的安全方法。
该标准提供了在每个类别中实施控制措施的详细技术指南,包括特定的协议建议、配置参数和测试程序。例如,对于半可信网络之间的站点到站点VPN连接,标准建议使用带有IKEv2、AES-256-GCM加密和基于证书认证的IPsec。对于不可信网络之间的基于互联网的通信,标准建议使用带有强密码套件的TLS 1.3、在可能的情况下进行双向认证,以及使用Web应用防火墙和API网关等应用层安全控制措施。标准还建议定期测试这些控制措施的有效性,以确保它们按预期运行。
| 互连类型 | 信任级别 | 安全控制措施 | 典型协议 |
|---|---|---|---|
| 站点到站点VPN | 半可信 | IPsec、IKEv2、证书 | ESP/AH |
| 专线/MPLS | 可信 | MACsec、访问控制 | L2TP、MPLS |
| 互联网/公共 | 不可信 | TLS、双向认证、WAF | HTTPS、TLS 1.3 |
| Extranet/B2B | 半可信 | PKI、专用网关 | IPsec、TLS |
| 云/混合云 | 半可信 | 云VPN、IAM、CASB | IPsec、TLS、WireGuard |
网关安全架构
网关是任何网络间通信架构中的关键组件。ISO/IEC 27033-4 推荐了一种分层网关设计,包括:执行初始包过滤和DDoS缓解的外部防火墙;终止入站连接并执行应用级检查的堡垒主机或反向代理;控制流向内部网络流量的内部防火墙;以及集中式日志记录和监控系统。该标准强调网关应位于具有严格访问控制的专用安全区域(DMZ)中,确保即使网关被攻破,对内部网络的影响也受到限制。
网关冗余是该标准处理的另一个重要考虑因素。组织应以主动-主动或主动-备用配置部署网关对,以确保高可用性。该标准还建议至少每季度测试一次网关故障转移,以验证故障转移机制是否正确工作,以及过渡期间没有流量丢失。对于高安全环境,标准建议在分层架构中使用来自不同供应商的网关,这样某个供应商产品中的漏洞不会危及整个网关基础设施。网关的安全加固应遵循最小化攻击面的原则,禁用所有不必要的服务和端口。
配置不当的网关可能成为单点故障,并危及所有连接网络的安全。务必实施网关冗余、定期进行渗透测试,并为所有网关设备维护严格的配置管理。在生产环境中,网关的任何变更都应经过正式的变更管理流程。
传输数据的加密保护
ISO/IEC 27033-4 为选择用于保护传输数据的加密协议提供了广泛指南。该标准涵盖了TLS配置(推荐使用TLS 1.2或更高版本配合强密码套件,新部署优先使用TLS 1.3)、IPsec/IKE设置(推荐使用基于证书认证的IKEv2和AES-256-GCM加密)以及用于端到端安全的应用层加密。密钥管理部分详细介绍了证书生命周期管理、密钥轮换策略以及用于高安全环境的硬件安全模块(HSM)集成。该标准还提供了基于被保护数据的安全分类来选择加密算法的指南。
该标准还涉及新兴的加密考虑因素,例如向后量子密码学的过渡。虽然该标准承认抗量子算法尚未完全成熟,但它建议组织开始规划过渡,确保其加密基础设施能够支持算法敏捷性——即能够在没有重大基础设施变更的情况下切换到新的加密算法。这包括维护加密清单,记录整个组织中使用的所有算法、密钥长度和协议,并监测后量子密码学标准的演变。在实施加密时,工程师还需要考虑性能影响,因为加密操作会消耗CPU资源并可能引入延迟,特别是在高吞吐量连接中。
通过遵循ISO/IEC 27033-4中的加密指南,组织可以确保传输中的数据受到保护,防止窃听、篡改和中间人攻击,即使在穿越公共互联网等不可信网络时也是如此。正确的加密实施是网络间通信安全的基础。
工程设计见解
实施ISO/IEC 27033-4的工程师应:(1)建立加密标准策略,定义最低协议版本和密码套件;(2)部署能够检测加密降级攻击和证书异常的网络监控工具;(3)使用ACME协议或等效协议实施自动证书续期,以防止证书过期导致的服务中断;(4)使用专用硬件或虚拟设备进行VPN终止,而不是在共享基础设施上运行VPN服务;(5)记录所有网络间连接的安全要求、责任方和审查计划。此外,组织应实施定期的加密审计,以验证所有网络间通信是否符合所需的安全标准。
网络工程师还应考虑加密保护对性能的影响。加密和解密操作消耗CPU资源,并可能引入延迟,特别是对于高吞吐量连接。该标准建议在可用的情况下使用硬件加速进行加密操作,如现代处理器中的AES-NI指令集或网络设备中的专用加密加速器。对于超高吞吐量连接,标准建议考虑在第2层使用MACsec作为IPsec的低开销替代方案,同时承认MACsec提供不同的安全属性,可能不适用于所有场景。在设计和选择加密方案时,应在安全性、性能和运营复杂性之间取得适当的平衡。
常见问题
Q: ISO/IEC 27033-4 是否适用于云到本地连接?
当然适用。关于网关安全和加密保护的指南直接适用于混合云连接。云VPN服务应遵循与传统站点到站点VPN相同的原则进行配置,并且应集成额外的云特定控制措施,如安全组和云WAF。
当然适用。关于网关安全和加密保护的指南直接适用于混合云连接。云VPN服务应遵循与传统站点到站点VPN相同的原则进行配置,并且应集成额外的云特定控制措施,如安全组和云WAF。
Q: 推荐的最低TLS版本是什么?
该标准推荐TLS 1.2作为可接受的最低版本,对于新部署优先使用TLS 1.3。SSL 3.0和TLS 1.0/1.1被视为已弃用,不应再使用。组织应定期进行扫描以检测和修复任何遗留协议的使用。
该标准推荐TLS 1.2作为可接受的最低版本,对于新部署优先使用TLS 1.3。SSL 3.0和TLS 1.0/1.1被视为已弃用,不应再使用。组织应定期进行扫描以检测和修复任何遗留协议的使用。
Q: 加密密钥应多久轮换一次?
该标准建议至少每年轮换一次密钥,对于高安全环境应更频繁地轮换(如每季度一次)。短生命周期证书(如90天)越来越被推荐,因为它们限制了密钥泄露后的暴露窗口。自动证书管理对于维持短证书生命周期至关重要。
该标准建议至少每年轮换一次密钥,对于高安全环境应更频繁地轮换(如每季度一次)。短生命周期证书(如90天)越来越被推荐,因为它们限制了密钥泄露后的暴露窗口。自动证书管理对于维持短证书生命周期至关重要。
