本文探讨如何在SDN(软件定义网络)的数据中心有效设计和实现微分隔
网络分隔是减小数据中心网络攻击面的最佳实践策略。就像轮船上的水密隔舱应能在船体受损时阻隔海水灌入一样,网络分隔也应将各类服务器和系统区隔在单独区域中以限制入侵者或恶意软件横向移动,控制潜在的安全风险或破坏。
从2013年对塔吉特百货的攻击到最近的Equifax数据泄露,人们普遍认为这些重大数据泄露的背后原因包括缺乏有效的网络分隔。但是,尽管网络分隔可强化企业的安全形势,却也增加了复杂性和开销,尤其是对传统现场数据中心而言。
在这些基于硬件的环境中,创建内部区域通常意味着要安装额外的防火墙设备来管理各个域之间的流量,而这些的设备的购置、安装和维护是耗时耗财的。因此,传统数据中心的网络分隔往往流于只创建少数几个域。
微分隔趋势
最近,向采用软件定义网络(SDN)的虚拟数据中心的迁移,推动了内部网络分隔的采纳。SDN的灵活性让数据中心网络得以进行高级细粒度区域划分,被分成成百上千个微网络都可以。以往代价高昂且难以实现的安全层级如今也可以轻易达到了。所以,去年ESG分析师乔·奥尔希克才可以充满自信地说,有68%的企业采用某种形式的软件微分隔技术遏制黑客在网络上横向探索,更便捷地保护他们的应用和数据。
但尽管SDN大大便利了网络分隔的实现,想要达到有效微分隔却也面临2个主要挑战:数据中心里到底在哪儿布置微区域间的边界呢?怎样设计和管理每个区域的安全策略呢?
各种应用想要正常工作,数据中心里的网络和应用流量就需要跨越多区域安全控制措施。所以多个区域控制措施中的策略必须允许这些流量通过,否则应用就没办法发挥功用了。而网络分隔越细,微区域越多,这些安全控制策略也就要越复杂,不然就无法支持在业务应用的同时还阻隔掉非法流量。
开始微分隔过程
不过,只要方法用对,上述挑战都是可以解决的。起点就在于发现数据中心里的所有应用流量。想要做到这一点,使用流量发现引擎是个不错的办法。这个引擎要能发现并分组相互间有逻辑联系的流量,比如共享IP地址的那些——共享IP地址代表着这些流量可能支持的是同一个业务应用。
此类信息不单单局限在IP地址上,设备标签或相关应用名称这些额外的数据也可以添加进来。这样就能构建一张标记了数据中心里支持业务应用正确运行的流量、服务器和安全设备的完整视图了。
设立区域边界
有了这张视图就可以创建分隔规划,根据所支持的业务目的或应用来确定哪些服务器和系统应该放到哪个网络区域。支持同一业务意图或应用的服务器相互间的通信会很频繁,往往会共享类似的数据流,应放入同一分隔区域以更好地互动。
规划好后就可以在数据中心网络上挑选最适合放置安全过滤器的地方了,用虚拟防火墙或其他安全控制措施为各个区域筑牢安全边界。
在设置这些过滤设备或启用虚拟化微分隔技术创建各区域间边界时,一定要记得有些应用流量是需要跨越这些边界的。跨边界流量需设置显式的规则来允许它们,否则就会被封,导致依赖这些流量的应用无法正常工作。所以,一旦引入过滤措施,必须确立各种流量的处置办法。
设置边界规则
想要明确是否需要添加或修改特定规则,明确这些规则应该怎么设置,就得去检查最初的发现过程中识别出来的应用流量,弄清流量是否已经流经某现有安全控制了。如果给定应用流量当前未流经任何安全控制,而你又想要创建一个新的网络区域,那就得知道新区域的边界设立起来后该未过滤的数据流会不会被封了。如果会被新边界阻隔,那就得新设置一条显式规则来允许该应用流量通过边界。
如果给定流量已经被安全控制措施过滤,那通常就没必要在开始分隔网络时再添加什么显式规则了。这一判断和设置过程可以不断重复,直到你将网络分隔成可以提供所需隔离及安全层次为止。
全面管理
微分隔规划完成后,接下来的工作就是确保微分隔与网络上的安全措施和谐相处了。应用流量需要无缝流经SDN、现场设备和云环境,必须保证你的策略和规则支持该无缝流转。
能够全面管理SDN环境中所有安全控制及现有传统现场防火墙的自动化解决方案,是达成应用流量无缝流转的最有效方式。自动化解决方案可以确保支撑网络分隔策略的那些安全策略能够统一应用在整个网络资产上,同时又能够集中监视管理,任何改动都能被跟踪到,方便审计。
想要实现有效微分隔,必须经过审慎的规划和细致的配置。但一旦正确实现,微分隔将带来更强的安全态势和更高的业务敏捷度。有时候,确实是越细致越好。
本文转自 nana 安全牛,原文链接:https://mp.weixin.qq.com/s/3sC4ceadeMCoJlRiIRti3g