分布式网络策略平台实现企业云安全防护架构

1、分布式网络策略平台实现企业云安全防护架构数据中心边界ServiceServicePCI2WAN/Internet应用级的微分段数据中心边界Service3缺少网络流量的可见性和情境信息P/V/CP/V/C App1DMZP/V/CP/V/C App2P/V/CP/V/C App3P/V/CP/V/C App4P/V/CP/V/CP/V/CP/V/CP/V/CP/V/CP/V/CP/V/CApp1App2App3App4生产环境威胁非常规潜入一旦攻入 畅通无阻48.2.2.1b应实现不同云服务客户虚拟网络之间的隔离8.2.4.2a应保证当虚拟机迁移时，访问控制策略随其 迁移；8.2.4.2b应允

2、许云服务客户设置不同虚拟机之间的访 问控制策略。访问控制8.2.5.1d应根据云服务商和云服务客户的职责 划分，实现各自控制部分，包括虚拟化网络、 虚拟机、虚拟化安全设备等的运行状况的集中 监测。集中管控8.2.2.1e云计算平台应提供开放接口或开放性安 全服务，允许云租户接入第三方安全产品或在 云平台选择第三方安全服务开放性5现状网络分区/网段之间，通过边界物理防火墙防护网络分区内同一网段/VLAN内混杂不同的应 用/虚拟机，之间无法实现访问控制和防护内网安全防护成为常态带来的挑战同一网段内的不同应用之间没有安全防控措 施业界安全攻防演练证明，当安全威胁突破边 界防护后，模拟攻击者很容易通过

3、跳板攻击， 获取更大范围的访问权限，造成极大威胁。有必要在同一网段内实施安全防护网络分区1网络分区3BU1业务系统网络分区2网络分区 4物理边界防火墙BU2业务系统6BU3业务系统BU3业务系统BU2业务系统BU4业务系统BU3业务系统BU4业务系统BU1业务系统BU2业务系统BU5业务系统BU5业务系统虚拟化环境的访问关系应用之间的关联被长期忽视东西向流量无隔离颗粒度太细“没法管”“等保2.0”的新要求依“法”治虚各级有关部门的攻防演练79以NSX为中心的VMware云安全方法论VAPI010203梳理云数据中心内部访问和流量精确整理和制定安全策略构建零信任架构04持续监控、反馈和改进一、梳

4、理应用、虚拟机的流量信息利用vCenter抓取虚拟机信息并归类出应用的名称在NSX以及vRNI中创建应用组应用感知的动态安全组：虚拟机名安全标签IP地址9一、利用vRNI（vRealize Network Insight）梳理应用、虚拟机的流量信息全面收集虚拟化内部信息；根据访问数据流，自动匹配 和发现应用系统内/外部间的 访问关系，并将应用访问关 系可视化；注1：左一图中每个蜂窝代表一个应 用系统；注2：持续一段时间应用系统间 访问关系图应用系统内访问关系图10二、结合应用和系统部门，分析和比对访问关系和安全策略可视化应用/虚拟机的进出流 量；自动化生成每个应用的安全 策略；可用于应用访问策

5、略需求的 核对，保障安全策略的正确 性；（配合人工核对）11人机结合的安全策略制定；将机器生成的安全策略和应 用部门进行比对；安全策略的规划和优化：通 过学习和分析，给管理员推 荐合适的安全策略或优化建 议，加快安全策略的部署二、结合应用和系统部门，分析和比对访问关系和安全策略12三、将人机结合得出的安全策略下发至NSX分布式防火墙通过统一的控制台对所有应用的安全策略进行集中管理和维护以应用系统/虚拟机为单位，从应用的视角/语言进行安全策略控制分布式架构，每个应用系统/虚拟机的安全策略更少，带来更好的性能电力交易管理系统安 全策略组企业网银系统 安全策略组征信数据库管理系统 安全策略组策略只应

6、用到指定的 应用系统，不会存在 其他系统的VM中策略的源和目的的定义非常灵 活，可以是应用、虚拟机、操作系统类型、安全标签、IP地址、MAC地址、AD账户。策略ID唯一性，和日 志平台配合，可快速 定位和排查13四、通过VMware工具对云安全进行持续改进第一时间发现非法访问行为， 让管理员马上介入处理可精确梳理应用系统的正确访 问行为，然后更新其对应的安 全策略，避免错误的阻挡和隔 离日志可筛选、可检索，易于分析统一的日志管理，每条防火墙 的日志均可审计，有据可查利用vRealize Log Insight对虚拟化防火墙日志进行采集和分析防火墙唯一序列号源IP目标IP动 作 ： 允许/拒绝1

7、4基于虚拟机虚拟网卡级别细颗粒度，实现安全管控最小授权访问，仅开放应用互访所需的必要端口，缺省拒绝东西向攻击蔓延管控，即使同一个IP网段内的主机也可轻松控制安全流量转发优化，虚拟机内未经授权的流量无法流入网络环境结合传统边界防护，提供网络分区边界内防护的能力对于现有环境没有侵入性无需额外的硬件不影响已有的南北向防火墙，是现有安全防护的补充和增强网络分区BU1应用系统BU2应用系统BU3应用系统网络分区网络分区15VMware云安全防护架构对客户的价值构建零信任的云安全架构补上云数据中心内部安全的短板，一旦边界被攻破或从内部发起攻击，依 旧有防护；VMware方案的防护颗粒度，极大提高内部被攻击的成本；以“HW行动”为契机，提高安全管理水平使用vRNI和vRLI等工具帮助客户分析流量，彻底梳理、清理应用的访问关 系；联合应用部门、运维部门梳理重要系统的安全策略；以此为起点对云数据中心的流量、访问进行实时监控；为等保2.0，下一年的“HW行动”打好基础1618基于分布式网络策略软件实现的云安全防护