近年,黑客组织所使用的攻击手段和恶意软件变得越来越复杂和多样化,其攻击所利用的恶意软件(如:病毒、蠕虫、勒索软件、间谍软件)的特点是横向传播,一个内部服务器的感染往往使得全网主机都被控制。被攻陷的组织往往要面对高额勒索赎金、重要数据泄露、核心业务无法提供服务等严重风险。
在虚拟化环境中传统的边界防护方案正在失去作用
随着数据中心发展以及虚拟化的广泛使用,内部东西向流量增多,安全管控变得重要。传统边界部署难以应对内部通信的安全需求,且集中式防火墙可能成为性能瓶颈。同时,虚拟机频繁变动的IP地址要求安全策略不断更新,以适应新的安全挑战。
等保2.0明确要求企业系统满足虚拟机之间配置安全访问控制策略
在 2019 年颁布并实施的《信息安全技术 网络安全等级保护基本要求 GB/T 22239 — 2019》中,明确“虚拟机之间的访问控制”为所有用户均需要满足的要求:6.2.4.1 访问控制
本项要求包括:
应保证当虚拟机迁移时,访问控制策略随其迁移。
应允许云服务客户设置不同虚拟机之间的访问控制策略。
所以,现在用户开始有意识加强内部流量侦测与访问控制能力,而微隔离就是被广泛采用的一种数据中心内部安全防御技术。而且,等保2.0的要求也可以通过微隔离进行满足。
本篇文章将详细解析深信服超融合在微隔离能力上的应用实践,满足用户业务东西向安全防护的要求,也有助于用户在VMware替代过程中提升数据中心安全性。
微隔离技术的应用场景
深信服超融合提供了丰富的微隔离能力,能让IT管理员轻松做好数据中心的流量管理工作。
网络流可视能力:协助IT管理员更方便地掌握所有虚拟机之间的流量关系。
微隔离:能让IT管理员可以轻松配置策略将虚拟机和虚拟机之间做好流量拦截。
智能微隔离策略:可以基于历史流量,自动推荐微隔离策略,让IT管理员可以轻松一键生成微隔离策略。
策略预发布:能让新生成的微隔离策略先试运行5-10天后再正式上线,试运行阶段不会真实拦截流量,便于IT管理员观察准备发布的微隔离策略是否有误拦截正常业务流量的风险。
日常运维时,IT管理员可以通过流可视进行流量分析
云平台的云主机分组可以直接同步至流可视,IT管理员可以进入流可视查看所有云主机的流量关系,可以搜索重要虚拟机直接查看流量是否存在风险。
例如:搜索数据库,查看到存在与公网互访流量,可以点击查看流量详情,并查看是否存在微隔离策略。
针对云主机/云主机组没有策略保护/需要优化策略的可以点击策略生成器,基于历史流量自动生成策略
接着上一步中的示例,数据库如果未配置微隔离策略是非常危险的,代表着所有公网IP可以随意访问数据库。
IT管理员经过梳理流量访问记录后,确认目前的访问无危险访问。但是需要规避后续有危险访问,因此需要配置微隔离策略来进行控制。
可以选择数据库,然后点击策略生成器。策略生成器可以根据历史流量自动生成微隔离策略,仅允许历史访问过的IP及访问过的端口放通,其他均默认拦截。
创新能力:自动生成的策略可以预发布,便于观察是否存在误封流量
基于历史流量生成数据库的策略后,先选择预发布,预发布策略不会真正起到拦截效果,但是可以观察预防护效果。
预发布阶段,如果流量与微隔离策略存在冲突时,会提示建议调整。点击进去可以查看与策略产生冲突的是哪些访问。
IT管理员可以确认与策略冲突的访问是否正常业务访问,针对误封的流量配置策略进行放通。
预发布一段时间后,即可以正式发布策略
IT管理员可以点击推荐策略集查看预发布的微隔离策略,根据业务需求,预发布一段时间后,认为误封风险较低不影响业务后,就可以选择策略点击“立即发布”正式开始对流量起到防护作用。
正式发布后,疑似误封云主机会触发告警,可以持续优化策略
平台默认设置好疑似误封的告警。如果是正常业务访问流量被微隔离策略拦截,业务部门会找IT管理员排查故障,IT管理员也会收到误封告警,进入流可视页面可以查看疑似被误封的云主机详情,可以及时调整微隔离策略避免持续影响业务。如果是非法访问流量被拦截,管理员可选择忽略该告警,并维持当前策略。
云话技术是深信服打造的一档云技术内容专栏,将定期为大家推送云计算相关的技术解析、场景实践等内容,为大家深度解析深信服在云计算领域的创新能力、技术动态、场景应用及前瞻分析等内容。
扫码获取
深信服超融合相关方案
关于微隔离技术的详解,可查看本期上一篇推文:
VMware替代关键技术:以微隔离技术创新,保障云内环境安全
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...