面对企业中愈演愈烈的网络安全问题,“微分段”作为一种新兴的安全技术出现,它将数据中心划分为逻辑单元并采用高级安全策略进行管理。我们在《解读微分段》文章中介绍了什么是微分段,以及它的优势。
然而,任何事物都有两面性。在实际应用中,IT专业人士还需要注意微分段的一些预设置条件以及潜在的陷阱。本文将继续介绍如何应用微分段,以及在应用过程中需要注意的问题,以帮助管理员避免错误的发生。
使用微分段
与常规虚拟化一样,部署微分段的方法并不唯一。在大多数情况下,使用新技术包如软件定义的网络、虚拟防火墙等,将现有的遗留基础设施及保护机制进行系统性地扩张。但采用微分段技术需要考虑几个问题。
第一个问题就是可见性。潜在的采纳者必须对进出数据中心的网络流量以及通信模式有深入的理解。这往往需要分析工具能够识别流量模式以及重要的相互关系——采用人工方式将正确的服务以及防火墙策略映射给单个工作负载几乎是不可能实现的。例如,分析工具能够发现具备通用特性的相关工作负载集合,比如位于同一个物理子网中的工作负载;并能够识别共享服务比如组织的域名系统(DNS)。分析工具还应该能够识别不通应用之间的相互关系和潜在易受攻击的网络区域,以及网络效率低下的原因(比如发卡)。
分析模型构成了新安全规则以及微分段策略的基础,同时将可能会打破重要关系的错误以及疏忽降至最低。类似地,策略定义及编排系统对创建微分段所需要的策略并将其推送给基础设施是至关重要的。6Connect公司的Sclafani指出,并非所有应用都适合采用微分段策略。仔细检查并评估分析模型有助于在部署微分段之前暴露可能存在问题的工作负载或者网络元素。
接下来,使用零信任方式,即完全锁定通信来部署安全规则以及策略,并在整个微分段部署过程中遵循零信任原则。网络间的通信基于之前的分析结果有选择性地通过。这是确保应用连通性及安全性的最佳实践。
定期重复该过程。分析流量并提取规则并非一蹴而就,但应该经常开展持续性检查以确保工作负载及策略没有发生出乎意料的改变,而且任何新的分析结果(可能是由于新应用或者流量模式的改变)可以被用于调整微分段规则。
上述所有注意事项都明确强调了要选择适用于微分段的hypervisor及工具。一家体育用品零售商的IT主管说:“我们实现了SDN层与需要被虚拟化的物理层之间的交互。你需要一款理解SDN以及物理层的工具。你还需要一款适用于云团队、存储团队、网络团队及运营的工具。”
VMware与Palo Alto Networks就微分段战略建立了和合作伙伴关系,将NSX与hypervisor平台(vSphere)以及管理工具比(vCenter)协作。同时,Cisco通过其以应用程序为中心的基础设施(Application CentricInfrastructure,ACI)来支持微分段。另外市场上还存在一些第三方工具,如Arkin的Visibility Platform能够为微分段的规划、分析、监控以及故障诊断提供帮助,CA Spectrum工具能够用于管理物理、虚拟、云环境以及网络虚拟化。
微分段注意事项
微分段是一个很强大的概念,将为新兴的软件定义的环境提供更好的安全性与敏捷性,但微分段并不能解决所有的网络问题。企业与IT管理员在计划采用该技术之前必须权衡微分段部署带来的一些潜在的负面影响。
复杂性可能是最大的陷阱。“建立应用行为模型以及正确的防火墙规则可能变得很复杂,”Arkin Net公司的市场主管Mahesh Kumar说,“粒度过小会变得难于管理,粒度过大可能达不到目标。”此外有必要将所有工作负载——即使是空闲或已关闭的虚拟机考虑在内。否则空闲工作负载上线后可能被锁定无法正常通信。问题复杂化肯定会导致企业应用面临潜在的连通性及可用性问题。
一致性引发了另一个问题。由于微分段将安全策略及规则分配给工作负载,这些策略以及规则遵从一致的准则是很重要的。在没有指导方针或者最佳实践情况下,策略在工作负载之间或不同位置发生转换也是有可能的。一致性问题可能导致性能或可用性问题,给排除故障带来了挑战。
用于部署微分段而增加的管理与控制层可能会影响网络及应用性能。Kumar的观点与6connect的Sclafani类似,可能并非所有的应用都适合微分段——尤其是对低延迟和性能敏感的应用(比如实时交易工具)。
最后不要忽视微分段给组织带来的影响,其往往跨越计算、网络以及安全领域。不同的团队可能要做出影响安全性的改变,这可能会导致通信故障、冲突以及来自传统团队的反对。因此不同团队之间进行互动并达成一致的理解对于微分段的长期应用及成功至关重要。一家体育用品零售商的IT主管说:“人们需要时间来理解微分段,你需要用非常规方式思考,乐于接受新观点,还需要组织培训。”
本文转自d1net(转载)