在微隔离的架构中,不再存在内、外网的概念,而是将数据中心网络隔离成了很多微小的计算单元,这里我们简称节点。每个节点要访问其他节点的资源,都需要经过微隔离客户端的认证,如果节点身份认证不通过,或不具备访问权限,会被客户端拦截。
节点可以是门户网站,可以是数据库、审计设备,甚至一个文件服务器,只要具备一定的数据处理能力的单元,都可以成为一个节点。他们不再因处于内网而被认为是“可信的”,所有节点都被逻辑隔离,节点之间的访问都是受控的。节点划分越细致,控制中心对整个数据中心网络的流量可视化就越清晰。
将微隔离技术与零信任架构相结合可以实现进程级别的访问控制与隔离,防止攻击者使用未经批准的连接或恶意代码从已经受到攻击的应用程序或进程横向移动感染其他进程(容器)。零信任架构下的通讯需要认证和授权,并建立安全通讯隧道,这使得事后审计与追溯更加方便。
NIST给出的基于微隔离技术实现的零信任架构如下图。图中业务系统服务器上安装了agent,数据资源前面安装了网关。两者都受到管理平台的统一管理。
从架构图上可以看到,微隔离技术就是把服务器之间做了隔离,一个服务器访问另一个服务器的资源之前,首先要认证身份。
业务系统先通过agent做身份认证,认证通过后,网关才会放行业务系统去获取数据资源。否则,会被网关拦截。
微隔离系统运行流程
●确定业务主体:我们首先要明确微隔离系统需要管理的对象是什么,如何划分节点。节点的划分原则主要有两个,一个是要符合数据中心的业务体系,一个是要尽可能降低策略计算的复杂度。
●客户端收集业务流量信息,上报管理中心,并实时监测业务流量走向。
●管理引擎绘制业务流量拓扑,根据流量数据判断网络结构变化,更新拓扑信息。
●业务节点发送访问申请,客户端接收到申请后上报管理中心。
●策略管理模块分析业务流走向,启动策略运算,下发安全策略至微隔离客户端。
●客户端策略执行,业务认证通过且具有访问权限,流量放行。认证不通过或认证权限不够,执行相应的阻断动作,输出策略匹配日志信息。
微隔离技术路线
微隔离方案落地可选技术路线包括代理隔离、虚墙隔离、混合模式。
代理隔离
通过代理软件实现隔离,需要将代理部署在网络中的每个节点,节点通过代理向微隔离客户端申请认证,客户端通过代理来控制节点用户的网络行为。这种方案不需要考虑底层架构,且方便节点迁移,代理保留节点身份信息,控制中心安全策略计算复杂度相对降低。但劣势也比较明显,需要为数据中心所有节点安装客户端,节点划分最低到主机级别,业务划分粒度有限
虚墙隔离
通过虚拟防火墙实现隔离。基于防火墙技术,具有更好的安全性,且易于扩展虚墙的DPI、AV、IPS、WAF等功能,集成多类型日志信息。其劣势在于虚墙的费用相对较高,且性能优化困难。
混合模式
数据中心网络拓扑情况十分复杂时,可适当结合代理和虚墙两种模式,针对具体情况选择易于实施的技术方案,当然,混合模式也会增加管理难度,增加微隔离客户端的实现开销。
微隔离的实践与应用
我们不再针对传统网络结构中诸如IP地址、域、地区等简单概念创建安全策略,而是建立在权限的基础上,控制网络业务之间的互访,可以基于用户、基于业务类型或是基于分级,通过对业务流量拓扑的分析,用最快的速度给出最合理的、最适于当下的规则集。
要将基于微隔离的解决方案应用到实践中,需要对数据中心业务有足够的了解,对网络模型有个大概的预判,我们最终的实现目的,是要对网络环境有足够的管控力,当然,如今的微隔离技术待解决的难题还有很多,比如:
●业务运行环境越复杂,管控粒度越细,策略的计算难度就越高.在庞大的网络体系下如何最大程度提升性能,实现秒级运算,是当下一大挑战。
●需要做到全方位自适应动态策略生成,包容大范围网络迁移。
●基于可视化的业务网络中,如何确定微隔离部署的最佳位置,才能最大程度降低拓扑的绘制难度,又不易引起网络中断。
●在庞大业务群中如何定义业务的多重认证,做到在提高安全性的同时不提高认证延时。
微隔离控制中心动态策略的生成,可以自适应业务网的拓扑变化,提高策略迁移的效率,全面实现自动化,让策略的管理可以真正从繁琐复杂的人工设计中解放,不再依赖于静态配置,不受大范围网络迁移影响,极大的提高容错率,这是一个值得期待的未来。
1061
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
