很多企业在上云产品中都会遇到很多问题,比如:东西向访问流量庞大,无法感知业务间访问关系;业务访问关系错综复杂,无法制定精细化的访问控制策略;静态策略无法跟随虚拟机自动迁移等等。那么微隔离产品就是为其产生的一款云安全产品,让我们一起来看看吧。
通过采集主机工作负载(Agent)之间的网络流量,以可视化展示网络访问关系,实现根据业务需求设置访问控制策略,将分段能力扩展到云工作负载和容器,阻止攻击者进入数据中心网络内部后的横向平移,降低攻击面。
经过安全狗团队的不断创新、持续优化,云隙自适应微隔离迎来了V4.0版本的正式发布。在这一版本中,云隙网络隔离能力得到了重大优化,一系列新功能亮点值得关注,如:业务拓扑新增多维度流量合并功能、策略基于流量自学习可自动生成策略规则、采用流量跟踪(conntrack)专利技术采集业务流量、在主机维度网络隔离基础上能够适配容器环境,实现全方位的精细化隔离与防护策略管理,提高网络安全隔离能力,优化用户使用体验。
一、多维度流量合并功能快速梳理业务访问关系
针对东西向访问流量庞大,业务拓扑流量线杂乱无章,无法看清业务间访问关系问题,云隙V4.0推出多维度流量合并功能。通过流量合并功能,展示出来的是具有一定排列规则的业务拓扑,可解决因访问关系过于复杂时,流量线过多造成的遮挡问题,并且有利于对业务关系进行梳理分析,辅助策略规则的设计。
二、工作组维度合并,大大减少视图上流量线数量
工作组合并后视图仅展示组间合并流量线及角色、工作负载和异常流量线数量,大大减少视图上流量线数量。用户只需关注自己所在意的工作组,当需要梳理具体工作组的访问关系时只需展开合并的工作组即可查看组内业务关系的详情。
工作组未合并时
工作组合并后
三、角色合并,梳理组内业务流量
通过将拥有相同位置、应用、环境的节点放置在同一个工作组中,可以区分有相关关系的节点和无关的节点。把组中拥有同一种角色的节点进行合并后,不仅可以减少拓扑图上节点和业务流量的显示,还能对具有相同角色的节点进行统一管理。
角色未合并时
角色合并后
四、流量合并,优化用户使用体验
流量合并是在角色合并与工作组合并的基础上,对角色或工作组进行合并或展开的操作,相关的业务流量会同步进行合并或展开。基于角色流量合并,将访问者和被访问者相同角色之间的流量进行合并,把原本相同角色之间的访问流量,从多条减少成最多两条。基于工作组流量合并,组内流量全部隐藏,两两工作组之间的流量最终都会合并成组到组的2条访问关系。
角色和工作组未合并时
角色合并后
工作组合并后
五、策略自动生成功能快速生成隔离策略
云隙V4.0具备自动生成策略能力。策略生成器通过自动化的方式,根据自学习到的业务流量,从不同维度梳理、设置安全策略。策略生成器的应用可以快速、便捷地批量生成策略规则,减少用户手动梳理策略规则的复杂性,降低人为操作上的失误和安全运维难度,用户使用更加方便,交互上更加友好。
策略自生成五步走:
① 选择流量类型:提供三个维度流量类型,全面覆盖业务流量,支持统计各维度流量规则覆盖率;
② 选择生成方式:支持增量、全量两种生成模式
增量生成:显示覆盖工作组下的所有拒绝的流量,生成的策略添加至原有策略集;
全量生成:显示覆盖工作组下的所有流量,生成的策略会覆盖原有的策略集,原有策略规则将被删除;
③ 选择规则维度:提供三个规则维度,每个规则维度具有不同细粒度的规则级别,可以组合成多种类型,用户可根据实际需要配置不同细粒度的策略规则;
④ 配置规则类型:可配置规则类型包括允许规则、阻断规则及忽略规则
⑤ 预览生成规则:查看即将生成的规则,确认无误后生成规则,如选择全量生成规则,还将显示被删除的规则。
六、流量跟踪专利技术优化工作负载流量采集
云隙V4.0采用流量跟踪(conntrack)专利技术进行流量采集。流量连接跟踪,顾名思义,就是跟踪流量并记录其状态。通过这种方式,可为每一个经过网络堆栈的数据包生成一个新的连接记录项(Connection entry),此后,所有属于此连接的数据包都被唯一地分配给这个连接,并标识连接的状态。连接跟踪是防火墙模块状态检测的基础,同时也是地址转换中实现SNAT和DNAT的前提。采用这项专利技术,更有利于抓取UDP连接,解析的流程更简单、快捷,不会改变用户的防火墙状态和已有的规则,采集的性能更高。
七、适配容器环境 业务访问控制更精细
依托主机维度网络隔离功能基础,新版云隙能够适配容器环境,采用宿主机代理模式将容器成功接入,识别并采集容器信息,运用微隔离技术和K8S的网络策略技术实现可视化的容器业务拓扑及容器安全策略控制。
云隙将主机与容器流量进行统一展示,可绘制主机之间、容器之间、主机与容器之间的业务拓扑,并支持通过流量合并操作,对业务关系进行梳理分析。容器安全策略控制支持命名空间维度与POD维度,从两个角度实现对业务的访问控制,也支持通过策略生成器快速批量创建容器策略规则。
八、云隙助力用户提升网络隔离防护能力
隔离技术能够有效防止泄露情况在数据中心发生和病毒在云中扩散,帮助企业分隔网络,满足了目前国内云安全市场在东西向安全防护产品的需求。微隔离也是零信任的核心技术模块。随着零信任理念的盛行、云计算与大数据平台的大范围部署以及国家十四五期间关于数字化转型的定调,微隔离市场也必将迎来一个爆发式的发展。
云隙自适应微隔离最新版本使用多种创新技术,持续优化系统功能,新增流量合并功能可展示出具有一定排列规则的业务拓扑,策略自生成可实现大规模场景下的策略设置和管理,并且能够适配容器环境。实现全方位的精细化隔离与防护策略管理,精确控制业务流量访问,阻止攻击者进入数据中心网络内部后的横向平移,降低攻击面,助力用户提升网络隔离防护能力。