利用分布式防火墻可以把一組虛機跟其他的網(wǎng)絡(luò )環(huán)境隔離開(kāi)來(lái),這些虛機就像連接在同一個(gè)物理網(wǎng)段上,這個(gè)虛擬的網(wǎng)段稱(chēng)之為“微分段 (Micro Segmentation)”,微分段內的虛機才可以相互訪(fǎng)問(wèn)。
實(shí)際上,這些虛機可能是分布在不同物理服務(wù)器上的,這些物理服務(wù)器可能位于不同的物理網(wǎng)段,微分段在虛擬網(wǎng)絡(luò )上把這些虛機與其他網(wǎng)絡(luò )相隔離。我們可以利用微分段在數據中心內部對虛機進(jìn)行隔離,把不同業(yè)務(wù)部門(mén)的虛擬服務(wù)器分隔在不同的微分段里,減少應用的受攻擊面,提高應用的安全性。
微分段有效隔離不同部門(mén)的虛機
微分段是一種很好地保護應用和數據安全的機制,但是防火墻規則還是需要由網(wǎng)絡(luò )管理員手工來(lái)創(chuàng )建的,這就要求管理員對企業(yè)的應用架構比較熟悉,只有了解了應用之間的調用關(guān)系、通訊協(xié)議和端口,才能夠比較準確地配置好微分段。
但是應用一般是由應用組來(lái)負責管理的,管理員一般缺乏應用的相關(guān)知識;另外數據中心往往運行著(zhù)上百個(gè)應用,采用傳統的方法來(lái)配置微分段就顯得尤為挑戰,費時(shí)費力、容易遺漏和出錯。
從 6.3 開(kāi)始,NSX-V 中增加了 Application Rule Manager 工具 (后面簡(jiǎn)稱(chēng) ARM),來(lái)幫助用戶(hù)自動(dòng)識別應用之間的通訊模式。在 NSX 虛擬化網(wǎng)絡(luò )環(huán)境下,任何一臺虛機都可以被置于監控模式下 (monitoring mode),在這一模式下 ARM 可以對虛機之間的網(wǎng)絡(luò )數據包進(jìn)行監控和分析,從而得出虛機之間的通訊模式,并且根據分析的結果來(lái)自動(dòng)生成防火墻規則,來(lái)規定虛機之間哪些端口上的哪些協(xié)議是允許的、哪些是應該被禁止的,由此創(chuàng )建針對該應用的微分段。ARM 也可以用于分析現有的應用環(huán)境,幫助管理員更加深入地了解應用之間的通訊模式,進(jìn)而對現有的防火墻規則進(jìn)行調整和優(yōu)化。
跟 ARM 配套的另一項功能是端點(diǎn)監控工具 EM (Endpoint Monitoring),EM 的分析深入到了虛機內部,它能夠看到虛機內部進(jìn)行網(wǎng)絡(luò )通訊的應用進(jìn)程。有了 EM 工具,管理員就可以看到虛機內部有哪些進(jìn)程在哪些端口上偵聽(tīng)、哪些進(jìn)程正在試圖進(jìn)行網(wǎng)絡(luò )連接;甚至可以看到進(jìn)程的細節,例如進(jìn)程名字、應用名字、版本號等。舉個(gè)例子,EM 工具提供的信息能夠詳盡到:”虛機 VM1 中的一個(gè)版本為 的 SQL client 正在連接虛機 VM2 中的版本為 的 SQL Server”。
ARM 工具和 EM工具配合
可以實(shí)現強大的分析功能:
它可以透過(guò)原始的網(wǎng)絡(luò )數據流 IP 地址,分析出是虛機上哪些應用在進(jìn)行通訊;它也能夠展示虛機的細節屬性:所屬的安全組、附帶的安全標簽等;除了網(wǎng)絡(luò )端口和協(xié)議,ARM 也能夠識別出應用級的網(wǎng)關(guān),從而把多個(gè)網(wǎng)絡(luò )數據流整合為一種通訊模式。ARM 也能夠在應用級的數據流中過(guò)濾掉廣播和組播數據包,去掉重復的信息和合并同樣的通訊模式。通過(guò)一系列的分析,ARM 最終能夠為用戶(hù) 建議需要創(chuàng )建的安全組和防火墻規則,管理員只需要按一個(gè)按鈕就可以發(fā)布這些安全規則。
應用規則管理工具 ARM 和端點(diǎn)監控工具 EM 能夠幫助管理員更好地了解應用內部或應用之間的網(wǎng)絡(luò )通訊模式,從信息安全“零信任”的角度來(lái)看:所有應用正常工作情況下沒(méi)有用到的網(wǎng)絡(luò )通訊都應該被禁止,在防火墻中對應的網(wǎng)絡(luò )協(xié)議和端口應該被設置成為阻止。在識別應用間通訊模式的基礎上,ARM 和 EM 工具能夠把識別的結果一鍵轉換為防火墻中的規則。下面展示了防火墻策略模型,在所有的安全規則中,應用間和應用內的通訊規則是 ARM 和 EM 工具能夠實(shí)現的范圍。
- Emergency Rules (緊急規則):用于在緊急情況下隔離或允許某些訪(fǎng)問(wèn);
- Infrastructure Rules (架構規則):讓 AD、DNS、NTP、DHCP、管理服務(wù)等能夠正常工作;
- Environment Rules (環(huán)境規則):用于隔離不同類(lèi)型的環(huán)境,如生產(chǎn)和開(kāi)發(fā)環(huán)境、PCI (Pay Card Industry) 和非 PCI 環(huán)境;
- Inter-Application Rules (應用間規則):應用間的訪(fǎng)問(wèn)規則;
- Intra-Application Rules (應用內規則):不同層次之間 (多層架構),或微服務(wù)之間 (微服務(wù)架構);
- Default Rule (缺省規則):防火墻的缺省規則就是拒絕,以實(shí)現零信任。
自從 ARM 工具推出之后,已經(jīng)在很多客戶(hù)的實(shí)際環(huán)境中得到應用。例如,某個(gè)用戶(hù)使用 ARM 工具監控 Skye 應用20分鐘,總共觀(guān)察到2500個(gè)原始數據流,經(jīng)過(guò)分析后合并為300個(gè);ARM 發(fā)現其中有79個(gè)數據流沒(méi)有被任何防火墻規則覆蓋,最后用戶(hù)創(chuàng )建了幾條新的防火墻規則來(lái)覆蓋這79個(gè)數據流。
下面給大家看一個(gè)利用 ARM 工具來(lái)為應用創(chuàng )建微分段的演示視頻。利用 ARM 工具來(lái)為應用創(chuàng )建微分段只需要三個(gè)步驟:
- 啟動(dòng)一個(gè) ARM 監控 Session 來(lái)對指定的應用的數據流 (Application Flow) 進(jìn)行監控,監控的時(shí)間根據應用而不同,從幾個(gè)小時(shí)到幾天。
- 收集到足夠的網(wǎng)絡(luò )包數據之后停止監控 Session,然后讓 ARM 來(lái)對怍集到的數據進(jìn)行分析,ARM 根據分析的結果推薦安全組和防火墻規則。
- 管理員對 ARM 建議的安全組和防火墻規則進(jìn)行檢查和編輯,確認無(wú)誤后發(fā)布到分布式防火墻,新的防火墻規則開(kāi)始生效。
詳情查看:https://www.bilibili.com/video/av55135774/?redirectFrom=h5
VMware 和 Intel 攜手網(wǎng)絡(luò )和安全轉型,共同打造虛擬云網(wǎng)絡(luò ) (Virtual Cloud Network),為數字化時(shí)代確定網(wǎng)絡(luò )發(fā)展前景。虛擬云網(wǎng)絡(luò )基于運行在 Intel 架構上的 NSX 技術(shù)而構建, 跨數據中心、云、邊緣環(huán)境和任意硬件基礎架構提供無(wú)處不在的基于軟件的網(wǎng)絡(luò )連接,具有以下特點(diǎn):
- 跨云的網(wǎng)絡(luò )架構為用戶(hù)提供端到端的連接
- 內置于基礎架構的原生安全性
- 基于軟件而交付的網(wǎng)絡(luò )具有最大的靈活性
- 利用這一平臺,無(wú)論應用運行在哪里 (現場(chǎng)或是云端),用戶(hù)都能夠保證應用架構的安全;并且統一所有分支機構和邊緣環(huán)境的網(wǎng)絡(luò )連接,以支撐業(yè)務(wù)運行。
