《流量可视与微隔离》由会员分享,可在线阅读,更多相关《流量可视与微隔离(37页珍藏版)》请在金锄头文库上搜索。
1、流量可视与微隔离1. 特性描述对整个数据中心业务微分段隔离,最小化权限访问,缩小攻击面影响。但目前分布式防火墙在使用过程中有一些障碍。在IT运维人员不了解业务流量时难以进行微分段隔离。东西向可视核心价值:梳理业务,让客户看清业务访问关系,通过访问视图,可以直观的看到谁在访问谁以及还未受到保护的区域,最大程度保障策略的正确性。方便客户进行业务梳理与微分段隔离防护。(1)、加快微分段部署。(2)、快速排障,简化运维。本模块的主要功能特性有:2. 业务流量可视2.1 客户存在的问题和原始需求存在的问题:1、 无法知道业务流量访问情况,配置分布式防火墙可能会导致业务故障2、 业务出现问题时,难以定位是
2、哪个虚拟机导致3、 某个虚拟机出现中毒影响整个数据中心业务流量,需要快速定位是哪个虚拟机出了问题。4、法律要求:等保2.0要求可以看到虚拟机间流量。使用者及原始需求典型客户案例:2017勒索病毒爆发,疯狂在全世界扩散。公司内网隔离是使用虚拟机内部防火墙,爆发时无法对200+虚拟机逐一配置防火墙或打补丁。所以IT部使用分布式防火墙配置了拦截规则,有效避免病毒在整个数据中心扩散。从这次安全事件中也可以看公司数据中心东西向防护还是比较薄弱,在这次安全事件爆发后,IT开始对数据中心内部进行安全隔离。组织结构:没有专门安全管理员组织结构职责情况IT部门网络&安全管理员1网络配置,acl、路由等,安全域划
3、分2安全组件配置,如sslvpn、af安全策略配置业务管理员1负责业务的维护2负责服务器本身问题与公开的安全问题,包括杀毒、补丁升级(windows) 、数据备份3企业云内部东西向安全隔离业务部门开发人员/第三方厂商 1业务系统开发2应用本身的安全问题3业务软件升级、系统升级注:由于业务系统是由开发人员或者第三方厂商开发的,所以IT业务管理员不一定知道业务间访问关系;公司环境说明:公司有两个集群,这两个集群的业务是按业务的重要级别划分的,每个集群大概虚拟机数100台,所有虚拟机都是在同一扁平二层。两个集群的虚拟机可能会进行互相通信。比如信息系统部K3Cloud的数据库放在主集群中,前端放在次集
4、群中。主集群次集群物理主机13台物理主机4台物理主机虚拟机分组虚拟机数:108台,虚拟机按部门划分为13个虚拟机分组,每个分组大概10个虚拟机。虚拟机数:113,虚拟机按部门 划分为13个虚拟机分组,每个分组分布不均匀,大概20个虚拟机以内。拓扑图有三个网段,主要业务在0网段与1网段。出口设备网络只是用于拔号上网加入ac,没有跑业务。不同使用者的业务划分在不同的vlan中,研发网段划分了多个子虚拟机分组。有两个网段,分为0网段与1网段两个网段。IT部原始需求:希望对所有虚拟机进行网络隔离,只放开必须放开的端口;简化下模型,比如:信息系统部门服务器:包括销管系统web前端+销管系统数据库;订单系
5、统前端+订单系统数据库;希望只让销管系统web能访问到销管系统数据库,订单系统前端。希望达到的效果:1 IT部信息系统部门能远程登陆各个系统;2 财务能访问订单web和销管系统web;3 订单信息db只开放必要的端口给订单web访问;4 销管系统db只开放必要的端口给销管系统web访问;5 其他都拒绝访问,避免攻击;具体实现效果图如下:场景一、部署微分段:阶段过程中遇到的障碍最终怎么做配置前1、 外网有物理的AF,南北向规则已配置在AF上,担心如果所有规则都在分布式防火墙上,出现问题时不知道是AF的问题还是分布式防火墙的问题。1、 南北向的规则在AF上配置,东西向规则在分布式防火墙上配置/34
6、层在分布式防火墙上配置,7层在af上配置配置中不知道业务内部跑了什么流量,担心规则下发后会影响业务正常流量对核心虚拟机进行抓包分析有哪些流量,然后发邮件给业务部门确认不知道要先从哪些虚拟机进行规则配置,也不知道哪些虚拟机已配置了规则了分为三种流量,一种是web流量、一种是数据库流量、一种是运维流量。web的流量是允许所有人访问的,数据库需要严格限制访问,运维流量也需要严格限制访问。但是还是不知道哪些虚拟机配置了规则了。由于整个平台业务100+,每个业务至少三条规则,如果按每个业务分开配置会导致规则数很多,后期要找到相关的规则很困难。同一类型的业务系统只配置一条规则。最终配置结果1 在两个集群分
7、别配置同网段系统默认不能访问2、 在两个集群分别配置信息系统部中的有的服务器可以互相访问指定端口配置的规则存在的问题:1、 订单web也可以访问到销管系统的数据库。这就加大了攻击面。2、 需要两个集群同时放通相同的规则,操作比较麻烦。3、 场景二、规则检查:担心配置出错导致有异常流量访问,比如研发部门是不能访问这些财务系统与销管系统的。需要定期对规则进行检查。目前没有比较好的办法以解决,不知道配置是否正确,是否有异常流量;另外由于规则数量比较多,无法快速对规则进行检查,不知道到底配置了哪些规则,是否配置正确综上,IT部在配置分布式防火墙的需求有:需求功能点客户价值需要知道要怎么配置规则,在边界
8、af上配置还是在分布式防火墙上配置1、 说明四层隔离统一使用分布式防火墙,简化配置选项引导客户正确使用分布式防火墙能快速、清晰地展示所有业务访问关系情况 ,避免配置规则出错影响业务2、 保留1个月流量,并支持选择时间段展示业务流量具体情况3、 配置规则时进行规则预览与影响预览让客户更方便的看清业务流量情况并极大保障业务安全配置,避免配置影响业务可用性能快速对虚拟机规则进行检查1 虚拟机业务组 规则可视化2 支持过滤指定的流量能快速进行规则检查,避免配置出错或者漏配2.2 期望的操作步骤特性用户场景一、主场景1:单个用户场景l 部署环境和主要应用10台物理主机,应用包括:web、oa、db等l
9、相比竞争对手所具有的优势(或对比)l 场景步骤描述,及期望效果/带给客户的价值步骤一:admin进入“流量可视”中心,能看到所有资源分区下所有业务组和虚拟机的流量访问关系。 步骤二:admin可以根据虚拟机、业务组、时间、流量类型过滤流量,查看异常流量,并进行放通或拒绝操作。客户价值:全网流量可视,让用户能查看到未收保护区域,并快速定位异常流量。二、主场景2:多租户场景l 部署环境和主要应用10台物理主机,应用包括:web、oa、db等l 相比竞争对手所具有的优势(或对比)l 场景步骤描述,及期望效果/带给客户的价值步骤一:组织管理员进入“流量可视”中心,能看到其组织下的资源分区、业务组、虚拟
10、机的流量访问关系。 步骤二:组织管理员可以根据虚拟机、业务组、时间、流量类型过滤流量,查看异常流量,并进行放通或拒绝操作。客户价值:组织下的业务流量可视,让用户能查看到组组内部未收保护区域,并快速定位异常流量,注:组织管理员只能看到该组织内部的业务流量关系,所有不在该组织内的对象(如资源分区、业务组、虚拟机)都显示为外部网段,在流量列表中只显示这些对象的IP地址,组织是不知道这些对象是否为虚拟机的。3. 规则预览配置3.1 客户存在的问题及原始需求存在的问题:1、 在对某个业务进行配置,一般需要配置多条规则,如:a、 配置全部拒绝b、 允许IT部可以访问这个业务的3389端口c、 允许其他人访
11、问这个业务的80端口d、 允许这个业务访问数据库如果一开始配置全部拒绝,在配置过程中会影响到该业务的正常业务访问。2、 管理员在配置规则时,可能不知道有一些正常流量,如果直接下发规则可能会影响到正常流量。3、 规则配置后,客户并不知道规则与当前已配置的哪些规则冲突,由于业务没有运行没有相关流量,用户不知道有这个流量存在,影响到旧的规则。使用者及原始需求:1、 能尽量确保规则下发后不影响正常业务3.2 期望的操作步骤/特性用户场景1、 主场景1:首次初始化部署【场景标题】l 部署环境和主要应用10台物理主机,应用包括:web、oa、db等l 背景流量内容和大小此场景的客户,其背景数据内容和流量大
12、小客户虚拟机数:100个, 连接在物理出口上l 配置情况划分八个端口组,不同部门通过不同的vlan访问业务组销管业务要求:1 IT部信息系统部门能远程登陆各个系统;2 财务能访问订单web和销管系统web;3 销管系统db只开放必要的端口给销管系统web访问;4 其他都拒绝访问,避免攻击;l 客户端信息不涉及l 相比竞争对手所具有的优势(或对比)1、 Vmware:显示不同分组、租户间的流量访问关系。无法进行直接配置规则2、 阿里云:判断现有流量是否都是合法流量,红色为有流量,但没有相应的规则允许该流量,绿色为合法流量,即存在流量且有相应的规则允许该流量。3、 Illumio:基本类似阿里云,
13、红色为不合法流量,对流量配置相应规则后,变为绿色。l 场景步骤描述,及期望效果/带给客户的价值IT业务管理员首次配置安全策略:步骤一:进入安全拓扑,新建业务区、IP段初始化时,所有100台虚拟机在默认业务组里,处于未防护状态,避免客户不知道哪些配置了,哪些还未进行安全配置。客户可以业务重要性,选择关键的业务系统新增业务组开始进行东西向安全防护。如创建“销管系统”。步骤二:对业务区进行流量分析流量线说明:客户选择了销管系统web,此时会出现两条最近一天的流量,连接到默认分组与默认IP组。默认都是放通的。点击web连接到默认组时显示web正在访问销管的db,把db也加入业务区中;点击web连接到默
14、认IP组的,显示财务部门正在访问销管系统。这个时候客户可以清晰知道,这个业务系统是财务在访问哪个端口,web与db通讯是哪些端口。步骤三:进入预览模式,开始进行规则配置为了避免规则配置出错,影响业务运行,配置时使用预览模式,下发的规则只是在页面上显示规则下发后的效果,但没有真正发下。启用规则防护,默认下发三条规则,即销管系统里所有虚拟机不能互访,不允许所有访问销管系统,不允许销管系统访问所有。此时所有流量变成红色虚线。客户开始配置web允许访问db的3306端口;配置财务IP段,允许财务访问web 80端口;红色虚线变成绿色虚线,客户确定没有问题后点击提交;启用规则防护后,自动下发三条拒绝规则,有流量通过时,规则预览的效果显示为拒绝状态。客户新增规则放通流量。为业务区配置完规则后,当有流量通过时,在界面上显示放通后的效果。点击发布规则,此时规则真正下发,显示下发后实际流量的效果。步骤四、提交规则时,可视化检查为了避免虚拟机规则影响到其他规则情况,提交规则时,会展示规则所影响的已配置规则步骤五、完成业务区安全防护配置,继续完成其他业务区配置给客户带来的价值:未使用可视化之前使用可视化之后不知道哪些业务区配置了,哪些没有配置可以直观知道哪些业务未进行安全防护IT业务维护人员不知道业务情况,担心配置出错影响业务正常运行支持1个月内业务流量可视,让客户看清业务访问关系再进行规则配置;
