利用分布式防火墻可以把一組虛機跟其他的網絡環(huán)境隔離開來,這些虛機就像連接在同一個物理網段上,這個虛擬的網段稱之為“微分段 (Micro Segmentation)”,微分段內的虛機才可以相互訪問。
實際上,這些虛機可能是分布在不同物理服務器上的,這些物理服務器可能位于不同的物理網段,微分段在虛擬網絡上把這些虛機與其他網絡相隔離。我們可以利用微分段在數據中心內部對虛機進行隔離,把不同業(yè)務部門的虛擬服務器分隔在不同的微分段里,減少應用的受攻擊面,提高應用的安全性。
微分段有效隔離不同部門的虛機
微分段是一種很好地保護應用和數據安全的機制,但是防火墻規(guī)則還是需要由網絡管理員手工來創(chuàng)建的,這就要求管理員對企業(yè)的應用架構比較熟悉,只有了解了應用之間的調用關系、通訊協(xié)議和端口,才能夠比較準確地配置好微分段。
但是應用一般是由應用組來負責管理的,管理員一般缺乏應用的相關知識;另外數據中心往往運行著上百個應用,采用傳統(tǒng)的方法來配置微分段就顯得尤為挑戰(zhàn),費時費力、容易遺漏和出錯。
從 6.3 開始,NSX-V 中增加了 Application Rule Manager 工具 (后面簡稱 ARM),來幫助用戶自動識別應用之間的通訊模式。在 NSX 虛擬化網絡環(huán)境下,任何一臺虛機都可以被置于監(jiān)控模式下 (monitoring mode),在這一模式下 ARM 可以對虛機之間的網絡數據包進行監(jiān)控和分析,從而得出虛機之間的通訊模式,并且根據分析的結果來自動生成防火墻規(guī)則,來規(guī)定虛機之間哪些端口上的哪些協(xié)議是允許的、哪些是應該被禁止的,由此創(chuàng)建針對該應用的微分段。ARM 也可以用于分析現有的應用環(huán)境,幫助管理員更加深入地了解應用之間的通訊模式,進而對現有的防火墻規(guī)則進行調整和優(yōu)化。
跟 ARM 配套的另一項功能是端點監(jiān)控工具 EM (Endpoint Monitoring),EM 的分析深入到了虛機內部,它能夠看到虛機內部進行網絡通訊的應用進程。有了 EM 工具,管理員就可以看到虛機內部有哪些進程在哪些端口上偵聽、哪些進程正在試圖進行網絡連接;甚至可以看到進程的細節(jié),例如進程名字、應用名字、版本號等。舉個例子,EM 工具提供的信息能夠詳盡到:”虛機 VM1 中的一個版本為 的 SQL client 正在連接虛機 VM2 中的版本為 的 SQL Server”。
ARM 工具和 EM工具配合
可以實現強大的分析功能:
它可以透過原始的網絡數據流 IP 地址,分析出是虛機上哪些應用在進行通訊;它也能夠展示虛機的細節(jié)屬性:所屬的安全組、附帶的安全標簽等;除了網絡端口和協(xié)議,ARM 也能夠識別出應用級的網關,從而把多個網絡數據流整合為一種通訊模式。ARM 也能夠在應用級的數據流中過濾掉廣播和組播數據包,去掉重復的信息和合并同樣的通訊模式。通過一系列的分析,ARM 最終能夠為用戶 建議需要創(chuàng)建的安全組和防火墻規(guī)則,管理員只需要按一個按鈕就可以發(fā)布這些安全規(guī)則。
應用規(guī)則管理工具 ARM 和端點監(jiān)控工具 EM 能夠幫助管理員更好地了解應用內部或應用之間的網絡通訊模式,從信息安全“零信任”的角度來看:所有應用正常工作情況下沒有用到的網絡通訊都應該被禁止,在防火墻中對應的網絡協(xié)議和端口應該被設置成為阻止。在識別應用間通訊模式的基礎上,ARM 和 EM 工具能夠把識別的結果一鍵轉換為防火墻中的規(guī)則。下面展示了防火墻策略模型,在所有的安全規(guī)則中,應用間和應用內的通訊規(guī)則是 ARM 和 EM 工具能夠實現的范圍。
- Emergency Rules (緊急規(guī)則):用于在緊急情況下隔離或允許某些訪問;
- Infrastructure Rules (架構規(guī)則):讓 AD、DNS、NTP、DHCP、管理服務等能夠正常工作;
- Environment Rules (環(huán)境規(guī)則):用于隔離不同類型的環(huán)境,如生產和開發(fā)環(huán)境、PCI (Pay Card Industry) 和非 PCI 環(huán)境;
- Inter-Application Rules (應用間規(guī)則):應用間的訪問規(guī)則;
- Intra-Application Rules (應用內規(guī)則):不同層次之間 (多層架構),或微服務之間 (微服務架構);
- Default Rule (缺省規(guī)則):防火墻的缺省規(guī)則就是拒絕,以實現零信任。
自從 ARM 工具推出之后,已經在很多客戶的實際環(huán)境中得到應用。例如,某個用戶使用 ARM 工具監(jiān)控 Skye 應用20分鐘,總共觀察到2500個原始數據流,經過分析后合并為300個;ARM 發(fā)現其中有79個數據流沒有被任何防火墻規(guī)則覆蓋,最后用戶創(chuàng)建了幾條新的防火墻規(guī)則來覆蓋這79個數據流。
下面給大家看一個利用 ARM 工具來為應用創(chuàng)建微分段的演示視頻。利用 ARM 工具來為應用創(chuàng)建微分段只需要三個步驟:
- 啟動一個 ARM 監(jiān)控 Session 來對指定的應用的數據流 (Application Flow) 進行監(jiān)控,監(jiān)控的時間根據應用而不同,從幾個小時到幾天。
- 收集到足夠的網絡包數據之后停止監(jiān)控 Session,然后讓 ARM 來對怍集到的數據進行分析,ARM 根據分析的結果推薦安全組和防火墻規(guī)則。
- 管理員對 ARM 建議的安全組和防火墻規(guī)則進行檢查和編輯,確認無誤后發(fā)布到分布式防火墻,新的防火墻規(guī)則開始生效。
詳情查看:https://www.bilibili.com/video/av55135774/?redirectFrom=h5
VMware 和 Intel 攜手網絡和安全轉型,共同打造虛擬云網絡 (Virtual Cloud Network),為數字化時代確定網絡發(fā)展前景。虛擬云網絡基于運行在 Intel 架構上的 NSX 技術而構建, 跨數據中心、云、邊緣環(huán)境和任意硬件基礎架構提供無處不在的基于軟件的網絡連接,具有以下特點:
- 跨云的網絡架構為用戶提供端到端的連接
- 內置于基礎架構的原生安全性
- 基于軟件而交付的網絡具有最大的靈活性
- 利用這一平臺,無論應用運行在哪里 (現場或是云端),用戶都能夠保證應用架構的安全;并且統(tǒng)一所有分支機構和邊緣環(huán)境的網絡連接,以支撐業(yè)務運行。
