一、數(shù)據(jù)中心環(huán)境變遷,網(wǎng)絡(luò)安全面臨巨大挑戰(zhàn)
云計(jì)算的興起,業(yè)務(wù)上云成為趨勢,數(shù)據(jù)中心環(huán)境變遷給數(shù)據(jù)中心的網(wǎng)絡(luò)安全帶來了縱多挑戰(zhàn),比如:東西向訪問流量龐大,無法感知業(yè)務(wù)間訪問關(guān)系;業(yè)務(wù)訪問關(guān)系錯(cuò)綜復(fù)雜,無法制定精細(xì)化的訪問控制策略;靜態(tài)策略無法跟隨虛擬機(jī)自動(dòng)遷移;容器平臺(tái)體量巨大,上下線周期短,容器IP地址變化頻繁,難以適配容器環(huán)境等等。這也為網(wǎng)絡(luò)安全創(chuàng)造了更多剛性需求,數(shù)據(jù)中心網(wǎng)絡(luò)安全市場也呈現(xiàn)強(qiáng)勢發(fā)展的態(tài)勢,其中較為顯著的便是“微隔離”。
圖1
二、網(wǎng)絡(luò)風(fēng)險(xiǎn)加劇,云隙全方位精細(xì)隔離防護(hù)
微隔離是通過采集主機(jī)工作負(fù)載(Agent)之間的網(wǎng)絡(luò)流量,以可視化展示網(wǎng)絡(luò)訪問關(guān)系,實(shí)現(xiàn)根據(jù)業(yè)務(wù)需求設(shè)置訪問控制策略,將分段能力擴(kuò)展到云工作負(fù)載和容器,阻止攻擊者進(jìn)入數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向平移,降低攻擊面。
經(jīng)過安全狗團(tuán)隊(duì)的不斷創(chuàng)新、持續(xù)優(yōu)化,云隙自適應(yīng)微隔離迎來了V4.0版本的正式發(fā)布。在這一版本中,云隙網(wǎng)絡(luò)隔離能力得到了重大優(yōu)化,一系列新功能亮點(diǎn)值得關(guān)注,如:業(yè)務(wù)拓?fù)湫略龆嗑S度流量合并功能、策略基于流量自學(xué)習(xí)可自動(dòng)生成策略規(guī)則、采用連接跟蹤(conntrack)方式采集業(yè)務(wù)流量、主機(jī)維度網(wǎng)絡(luò)隔離基礎(chǔ)上能夠適配容器環(huán)境,實(shí)現(xiàn)全方位的精細(xì)化隔離與防護(hù)策略管理,提高網(wǎng)絡(luò)安全隔離能力,優(yōu)化用戶使用體驗(yàn)。
圖2 業(yè)務(wù)訪問拓?fù)淅L制與精細(xì)化隔離解決方案
1、多維度流量合并功能快速梳理業(yè)務(wù)訪問關(guān)系
針對(duì)東西向訪問流量龐大,業(yè)務(wù)拓?fù)淞髁烤€雜亂無章,無法看清業(yè)務(wù)間訪問關(guān)系問題,云隙V4.0推出多維度流量合并功能。通過流量合并功能,展示出來的是具有一定排列規(guī)則的業(yè)務(wù)拓?fù)洌山鉀Q因訪問關(guān)系過于復(fù)雜時(shí),流量線過多造成的遮擋問題,并且有利于對(duì)業(yè)務(wù)關(guān)系進(jìn)行梳理分析,輔助策略規(guī)則的設(shè)計(jì)。
工作組維度合并,大大減少視圖上流量線數(shù)量
工作組合并后視圖僅展示組間合并流量線及角色、工作負(fù)載和異常流量線數(shù)量,大大減少視圖上流量線數(shù)量。用戶只需關(guān)注自己所在意的工作組,當(dāng)需要梳理具體工作組的訪問關(guān)系時(shí)只需展開合并的工作組即可查看組內(nèi)業(yè)務(wù)關(guān)系的詳情。
圖3-1
圖3-2
角色合并,梳理組內(nèi)業(yè)務(wù)流量
通過將擁有相同位置、應(yīng)用、環(huán)境的節(jié)點(diǎn)放置在同一個(gè)工作組中,可以區(qū)分有相關(guān)關(guān)系的節(jié)點(diǎn)和無關(guān)的節(jié)點(diǎn)。把組中擁有同一種角色的節(jié)點(diǎn)進(jìn)行合并后,不僅可以減少拓?fù)鋱D上節(jié)點(diǎn)和業(yè)務(wù)流量的顯示,還能對(duì)具有相同角色的節(jié)點(diǎn)進(jìn)行統(tǒng)一管理
圖4-1
圖4-2
流量合并,優(yōu)化用戶使用體驗(yàn)
流量合并是在角色合并與工作組合并的基礎(chǔ)上,對(duì)角色或工作組進(jìn)行合并或展開的操作,相關(guān)的業(yè)務(wù)流量會(huì)同步進(jìn)行合并或展開。基于角色流量合并,將訪問者和被訪問者相同角色之間的流量進(jìn)行合并,把原本相同角色之間的訪問流量,從多條減少成最多兩條。基于工作組流量合并,組內(nèi)流量全部隱藏,兩兩工作組之間的流量最終都會(huì)合并成組到組的2條訪問關(guān)系。
圖5-1
圖5-2
圖5-3
2、策略自動(dòng)生成功能快速生成隔離策略
云隙V4.0具備自動(dòng)生成策略能力。策略生成器通過自動(dòng)化的方式,根據(jù)自學(xué)習(xí)到的業(yè)務(wù)流量,從不同維度梳理、設(shè)置安全策略。策略生成器的應(yīng)用可以快速、便捷地批量生成策略規(guī)則,減少用戶手動(dòng)梳理策略規(guī)則的復(fù)雜性,降低人為操作上的失誤和安全運(yùn)維難度,用戶使用更加方便,交互上更加友好。
策略自生成五步走:
選擇流量類型:提供三個(gè)維度流量類型,全面覆蓋業(yè)務(wù)流量,支持統(tǒng)計(jì)各維度流量規(guī)則覆蓋率;
圖6
選擇生成方式:支持增量、全量兩種生成模式
增量生成:顯示覆蓋工作組下的所有拒絕的流量,生成的策略添加至原有策略集;
全量生成:顯示覆蓋工作組下的所有流量,生成的策略會(huì)覆蓋原有的策略集,原有策略規(guī)則將被刪除;
圖7
選擇規(guī)則維度:提供三個(gè)規(guī)則維度,每個(gè)規(guī)則維度具有不同細(xì)粒度的規(guī)則級(jí)別,可以組合成多種類型,用戶可根據(jù)實(shí)際需要配置不同細(xì)粒度的策略規(guī)則;
圖8
配置規(guī)則類型:可配置規(guī)則類型包括允許規(guī)則、阻斷規(guī)則及忽略規(guī)則
圖9
預(yù)覽生成規(guī)則:查看即將生成的規(guī)則,確認(rèn)無誤后生成規(guī)則,如選擇全量生成規(guī)則,還將顯示被刪除的規(guī)則。
圖10
3、連接跟蹤方式下優(yōu)化工作負(fù)載流量采集
云隙V4.0采用連接跟蹤(conntrack)的方式采集流量。連接跟蹤,顧名思義,就是跟蹤并記錄連接的狀態(tài)。通過這種方式,可為每一個(gè)經(jīng)過網(wǎng)絡(luò)堆棧的數(shù)據(jù)包生成一個(gè)新的連接記錄項(xiàng)(Connection entry),此后,所有屬于此連接的數(shù)據(jù)包都被唯一地分配給這個(gè)連接,并標(biāo)識(shí)連接的狀態(tài)。連接跟蹤是防火墻模塊狀態(tài)檢測的基礎(chǔ),同時(shí)也是地址轉(zhuǎn)換中實(shí)現(xiàn)SNAT和DNAT的前提。采用連接跟蹤的方式,更有利于抓取UDP連接,解析的流程更簡單、快捷,不會(huì)改變用戶的防火墻狀態(tài)和已有的規(guī)則,采集的性能更高。
4、適配容器環(huán)境
依托主機(jī)維度網(wǎng)絡(luò)隔離功能基礎(chǔ),新版云隙能夠適配容器環(huán)境,采用宿主機(jī)代理模式將容器成功接入,識(shí)別并采集容器信息,運(yùn)用微隔離技術(shù)和K8S的網(wǎng)絡(luò)策略技術(shù)實(shí)現(xiàn)可視化的容器業(yè)務(wù)拓?fù)浼叭萜靼踩呗钥刂啤?/p>
云隙將主機(jī)與容器流量進(jìn)行統(tǒng)一展示,可繪制主機(jī)之間、容器之間、主機(jī)與容器之間的業(yè)務(wù)拓?fù)洌⒅С滞ㄟ^流量合并操作,對(duì)業(yè)務(wù)關(guān)系進(jìn)行梳理分析。容器安全策略控制支持命名空間維度與POD維度,從兩個(gè)角度實(shí)現(xiàn)對(duì)業(yè)務(wù)的訪問控制,也支持通過策略生成器快速批量創(chuàng)建容器策略規(guī)則。
圖11
三、云隙助力用戶提升網(wǎng)絡(luò)隔離防護(hù)能力
隔離技術(shù)能夠有效防止泄露情況在數(shù)據(jù)中心發(fā)生和病毒在云中擴(kuò)散,幫助企業(yè)分隔網(wǎng)絡(luò),滿足了目前國內(nèi)云安全市場在東西向安全防護(hù)產(chǎn)品的需求。微隔離也是零信任的核心技術(shù)模塊。隨著零信任理念的盛行、云計(jì)算與大數(shù)據(jù)平臺(tái)的大范圍部署以及國家十四五期間關(guān)于數(shù)字化轉(zhuǎn)型的定調(diào),微隔離市場也必將迎來一個(gè)爆發(fā)式的發(fā)展。
云隙自適應(yīng)微隔離最新版本使用多種創(chuàng)新技術(shù),持續(xù)優(yōu)化系統(tǒng)功能,新增流量合并功能可展示出具有一定排列規(guī)則的業(yè)務(wù)拓?fù)洌呗宰陨煽蓪?shí)現(xiàn)大規(guī)模場景下的策略設(shè)置和管理,并且能夠適配容器環(huán)境。實(shí)現(xiàn)全方位的精細(xì)化隔離與防護(hù)策略管理,精確控制業(yè)務(wù)流量訪問,阻止攻擊者進(jìn)入數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向平移,降低攻擊面,助力用戶提升網(wǎng)絡(luò)隔離防護(hù)能力。
備注: