微分隔:越細致越安全
網絡分隔是減小數據中心網絡攻擊面的最佳實踐策略。就像輪船上的水密隔艙應能在船體受損時阻隔海水灌入一樣,網絡分隔也應將各類服務器和系統區隔在單獨區域中以限制入侵者或惡意軟件橫向移動,控制潛在的安全風險或破壞。
從2013年對塔吉特百貨的攻擊到最近的Equifax數據泄露,人們普遍認為這些重大數據泄露的背后原因包括缺乏有效的網絡分隔。但是,盡管網絡分隔可強化企業的安全形勢,卻也增加了復雜性和開銷,尤其是對傳統現場數據中心而言。
在這些基于硬件的環境中,創建內部區域通常意味著要安裝額外的防火墻設備來管理各個域之間的流量,而這些的設備的購置、安裝和維護是耗時耗財的。因此,傳統數據中心的網絡分隔往往流于只創建少數幾個域。
微分隔趨勢
最近,向采用軟件定義網絡(SDN)的虛擬數據中心的遷移,推動了內部網絡分隔的采納。SDN的靈活性讓數據中心網絡得以進行高級細粒度區域劃分,被分成成百上千個微網絡都可以。以往代價高昂且難以實現的安全層級如今也可以輕易達到了。所以,去年ESG分析師喬·奧爾??瞬趴梢猿錆M自信地說,有68%的企業采用某種形式的軟件微分隔技術遏制黑客在網絡上橫向探索,更便捷地保護他們的應用和數據。
但盡管SDN大大便利了網絡分隔的實現,想要達到有效微分隔卻也面臨2個主要挑戰:數據中心里到底在哪兒布置微區域間的邊界呢?怎樣設計和管理每個區域的安全策略呢?
各種應用想要正常工作,數據中心里的網絡和應用流量就需要跨越多區域安全控制措施。所以多個區域控制措施中的策略必須允許這些流量通過,否則應用就沒辦法發揮功用了。而網絡分隔越細,微區域越多,這些安全控制策略也就要越復雜,不然就無法支持在業務應用的同時還阻隔掉非法流量。
開始微分隔過程
不過,只要方法用對,上述挑戰都是可以解決的。起點就在于發現數據中心里的所有應用流量。想要做到這一點,使用流量發現引擎是個不錯的辦法。這個引擎要能發現并分組相互間有邏輯聯系的流量,比如共享IP地址的那些——共享IP地址代表著這些流量可能支持的是同一個業務應用。
此類信息不單單局限在IP地址上,設備標簽或相關應用名稱這些額外的數據也可以添加進來。這樣就能構建一張標記了數據中心里支持業務應用正確運行的流量、服務器和安全設備的完整視圖了。
設立區域邊界
有了這張視圖就可以創建分隔規劃,根據所支持的業務目的或應用來確定哪些服務器和系統應該放到哪個網絡區域。支持同一業務意圖或應用的服務器相互間的通信會很頻繁,往往會共享類似的數據流,應放入同一分隔區域以更好地互動。
規劃好后就可以在數據中心網絡上挑選最適合放置安全過濾器的地方了,用虛擬防火墻或其他安全控制措施為各個區域筑牢安全邊界。
在設置這些過濾設備或啟用虛擬化微分隔技術創建各區域間邊界時,一定要記得有些應用流量是需要跨越這些邊界的??邕吔缌髁啃柙O置顯式的規則來允許它們,否則就會被封,導致依賴這些流量的應用無法正常工作。所以,一旦引入過濾措施,必須確立各種流量的處置辦法。
設置邊界規則
想要明確是否需要添加或修改特定規則,明確這些規則應該怎么設置,就得去檢查最初的發現過程中識別出來的應用流量,弄清流量是否已經流經某現有安全控制了。如果給定應用流量當前未流經任何安全控制,而你又想要創建一個新的網絡區域,那就得知道新區域的邊界設立起來后該未過濾的數據流會不會被封了。如果會被新邊界阻隔,那就得新設置一條顯式規則來允許該應用流量通過邊界。
如果給定流量已經被安全控制措施過濾,那通常就沒必要在開始分隔網絡時再添加什么顯式規則了。這一判斷和設置過程可以不斷重復,直到你將網絡分隔成可以提供所需隔離及安全層次為止。
全面管理
微分隔規劃完成后,接下來的工作就是確保微分隔與網絡上的安全措施和諧相處了。應用流量需要無縫流經SDN、現場設備和云環境,必須保證你的策略和規則支持該無縫流轉。
能夠全面管理SDN環境中所有安全控制及現有傳統現場防火墻的自動化解決方案,是達成應用流量無縫流轉的最有效方式。自動化解決方案可以確保支撐網絡分隔策略的那些安全策略能夠統一應用在整個網絡資產上,同時又能夠集中監視管理,任何改動都能被跟蹤到,方便審計。
想要實現有效微分隔,必須經過審慎的規劃和細致的配置。但一旦正確實現,微分隔將帶來更強的安全態勢和更高的業務敏捷度。有時候,確實是越細致越好。