一、數據中心環境變遷,網絡安全面臨巨大挑戰
云計算的興起,業務上云成為趨勢,數據中心環境變遷給數據中心的網絡安全帶來了縱多挑戰,比如:東西向訪問流量龐大,無法感知業務間訪問關系;業務訪問關系錯綜復雜,無法制定精細化的訪問控制策略;靜態策略無法跟隨虛擬機自動遷移;容器平臺體量巨大,上下線周期短,容器IP地址變化頻繁,難以適配容器環境等等。這也為網絡安全創造了更多剛性需求,數據中心網絡安全市場也呈現強勢發展的態勢,其中較為顯著的便是“微隔離”。
圖1
二、網絡風險加劇,云隙全方位精細隔離防護
微隔離是通過采集主機工作負載(Agent)之間的網絡流量,以可視化展示網絡訪問關系,實現根據業務需求設置訪問控制策略,將分段能力擴展到云工作負載和容器,阻止攻擊者進入數據中心網絡內部后的橫向平移,降低攻擊面。
經過安全狗團隊的不斷創新、持續優化,云隙自適應微隔離迎來了V4.0版本的正式發布。在這一版本中,云隙網絡隔離能力得到了重大優化,一系列新功能亮點值得關注,如:業務拓撲新增多維度流量合并功能、策略基于流量自學習可自動生成策略規則、采用連接跟蹤(conntrack)方式采集業務流量、主機維度網絡隔離基礎上能夠適配容器環境,實現全方位的精細化隔離與防護策略管理,提高網絡安全隔離能力,優化用戶使用體驗。
圖2 業務訪問拓撲繪制與精細化隔離解決方案
1、多維度流量合并功能快速梳理業務訪問關系
針對東西向訪問流量龐大,業務拓撲流量線雜亂無章,無法看清業務間訪問關系問題,云隙V4.0推出多維度流量合并功能。通過流量合并功能,展示出來的是具有一定排列規則的業務拓撲,可解決因訪問關系過于復雜時,流量線過多造成的遮擋問題,并且有利于對業務關系進行梳理分析,輔助策略規則的設計。
工作組維度合并,大大減少視圖上流量線數量
工作組合并后視圖僅展示組間合并流量線及角色、工作負載和異常流量線數量,大大減少視圖上流量線數量。用戶只需關注自己所在意的工作組,當需要梳理具體工作組的訪問關系時只需展開合并的工作組即可查看組內業務關系的詳情。
圖3-1
圖3-2
角色合并,梳理組內業務流量
通過將擁有相同位置、應用、環境的節點放置在同一個工作組中,可以區分有相關關系的節點和無關的節點。把組中擁有同一種角色的節點進行合并后,不僅可以減少拓撲圖上節點和業務流量的顯示,還能對具有相同角色的節點進行統一管理
圖4-1
圖4-2
流量合并,優化用戶使用體驗
流量合并是在角色合并與工作組合并的基礎上,對角色或工作組進行合并或展開的操作,相關的業務流量會同步進行合并或展開。基于角色流量合并,將訪問者和被訪問者相同角色之間的流量進行合并,把原本相同角色之間的訪問流量,從多條減少成最多兩條。基于工作組流量合并,組內流量全部隱藏,兩兩工作組之間的流量最終都會合并成組到組的2條訪問關系。
圖5-1
圖5-2
圖5-3
2、策略自動生成功能快速生成隔離策略
云隙V4.0具備自動生成策略能力。策略生成器通過自動化的方式,根據自學習到的業務流量,從不同維度梳理、設置安全策略。策略生成器的應用可以快速、便捷地批量生成策略規則,減少用戶手動梳理策略規則的復雜性,降低人為操作上的失誤和安全運維難度,用戶使用更加方便,交互上更加友好。
策略自生成五步走:
選擇流量類型:提供三個維度流量類型,全面覆蓋業務流量,支持統計各維度流量規則覆蓋率;
圖6
選擇生成方式:支持增量、全量兩種生成模式
增量生成:顯示覆蓋工作組下的所有拒絕的流量,生成的策略添加至原有策略集;
全量生成:顯示覆蓋工作組下的所有流量,生成的策略會覆蓋原有的策略集,原有策略規則將被刪除;
圖7
選擇規則維度:提供三個規則維度,每個規則維度具有不同細粒度的規則級別,可以組合成多種類型,用戶可根據實際需要配置不同細粒度的策略規則;
圖8
配置規則類型:可配置規則類型包括允許規則、阻斷規則及忽略規則
圖9
預覽生成規則:查看即將生成的規則,確認無誤后生成規則,如選擇全量生成規則,還將顯示被刪除的規則。
圖10
3、連接跟蹤方式下優化工作負載流量采集
云隙V4.0采用連接跟蹤(conntrack)的方式采集流量。連接跟蹤,顧名思義,就是跟蹤并記錄連接的狀態。通過這種方式,可為每一個經過網絡堆棧的數據包生成一個新的連接記錄項(Connection entry),此后,所有屬于此連接的數據包都被唯一地分配給這個連接,并標識連接的狀態。連接跟蹤是防火墻模塊狀態檢測的基礎,同時也是地址轉換中實現SNAT和DNAT的前提。采用連接跟蹤的方式,更有利于抓取UDP連接,解析的流程更簡單、快捷,不會改變用戶的防火墻狀態和已有的規則,采集的性能更高。
4、適配容器環境
依托主機維度網絡隔離功能基礎,新版云隙能夠適配容器環境,采用宿主機代理模式將容器成功接入,識別并采集容器信息,運用微隔離技術和K8S的網絡策略技術實現可視化的容器業務拓撲及容器安全策略控制。
云隙將主機與容器流量進行統一展示,可繪制主機之間、容器之間、主機與容器之間的業務拓撲,并支持通過流量合并操作,對業務關系進行梳理分析。容器安全策略控制支持命名空間維度與POD維度,從兩個角度實現對業務的訪問控制,也支持通過策略生成器快速批量創建容器策略規則。
圖11
三、云隙助力用戶提升網絡隔離防護能力
隔離技術能夠有效防止泄露情況在數據中心發生和病毒在云中擴散,幫助企業分隔網絡,滿足了目前國內云安全市場在東西向安全防護產品的需求。微隔離也是零信任的核心技術模塊。隨著零信任理念的盛行、云計算與大數據平臺的大范圍部署以及國家十四五期間關于數字化轉型的定調,微隔離市場也必將迎來一個爆發式的發展。
云隙自適應微隔離最新版本使用多種創新技術,持續優化系統功能,新增流量合并功能可展示出具有一定排列規則的業務拓撲,策略自生成可實現大規模場景下的策略設置和管理,并且能夠適配容器環境。實現全方位的精細化隔離與防護策略管理,精確控制業務流量訪問,阻止攻擊者進入數據中心網絡內部后的橫向平移,降低攻擊面,助力用戶提升網絡隔離防護能力。
備注:
