2.5 思科 DNA 软件定义访问提供的服务
2.5.1 软件定义访问策略服务
1. 传统网络环境下的策略
(1) 策略定义。
在涉及策略和服务的任何讨论中,起点始终应该是由创建需求的业务来驱动。过去,企业网络的唯一业务需求是提供快速、高可用的连接性(也称为访问需求)。随着这些年计算和网络的发展,服务和策略都在不断进化。现在,企业网络策略必须满足新的需求,以支持更大的灵活性、敏捷性和不断增加的安全性。
在本节中,我们将重点介绍软件定义访问的首要需求——安全性,讲述软件定义访问策略如何解决企业网络当前面临的一些重大挑战。重要的是,对于其他网络服务和策略,如服务质量(QoS)、数据分组抓取、流量工程等,也存在类似的需求和挑战,软件定义访问以类似的方式来解决这些问题。
(2) 业务驱动因素。
驱动策略部署的业务需求之一是出于行业原因(PCI、HIPAA 等)或企业合规原因(降低风险)。企业内可以存在多个需求。例如,一家医疗保健公司不仅必须遵守国家法规,还必须遵守 PCI遵从性要求,同时希望通过隔离医疗设备来减少风险。
策略使用场景。
下面是一组常见的医疗网络的样本需求,用来说明软件定义访问如何满足业务需求,同时可以提供业务的敏捷性、灵活性和较低的运营费用。
如上所述,我们的出发点是评估业务的驱动力和需求,具体如下。
① 安全的病人护理:只允许经过批准的医疗用户和医疗设备进入医疗网络。
② 安全的关键业务应用程序:在访问企业网络时识别所有用户终端,并且只允许批准的用户和设备访问通用企业网络。
③ 法规遵从性要求:只允许批准的用户或设备访问PCI遵从性范围内的特定终端、服务器和应用程序。
④ 提供病人护理:提供与企业通用网络和医疗网络隔离的访客网络。
传统上,下一步是评估网络以了解上面提到的每个主要资源位于何处。例如,
① 网络中的医疗设备在哪里?
② 在PCI法规遵从范围内的服务器和应用程序在哪里?
③ 网络中的医疗用户在哪里?
如果企业很幸运,则它们能够将所有相关资源与一组清晰的 IP地址子网相互关联。这将允许它们构建表示子网的 IP地址和易于理解的可读名称之间的关联。下面是一些例子。
192.0.2.0/24=核磁共振成像设备
192.16.1.0/24=医疗影像服务器
198.51.100.0/24=PCI应用
10.1.100.0/24= 医护人员
101.0.0/24= 访客
(3) 策略构建(如图 2-16所示)。
网络架构师将需要在这些网络对象和一组权限(环境中的所有子网的访问控制策略)之间建立关系,通常使用安全管理系统来实现。安全管理系统(如防火墙或 ACL管理系统)提供 IP前缀和“网络对象”之间关系的易于理解的可读抽象映射。
网络架构师将在网络对象之间针对特定协议(IP、TCP、UDP等)和端口(http、https等)建立访问控制规则,然后在对象之间建立最终的访问权限(允许或拒绝)。
图 2-16 策略构建实例
为了保证策略执行,网络管理员需要利用将相关流量(针对每个子网)引导到相应的策略执行点(例如,使用ACL的分布层交换机、园区防火墙等)的方式设计网络。然后,管理系统将使用网络对象将 IP地址返回策略执行点。
在大多数情况下,访问控制安全策略执行结果产生的遥测数据表示为日志、流数据、命中计数器等,完全以IP地址项来标识。这意味着策略执行点生成的所有信息都仅与网络结构相关,而不以与策略结构相关的方式生成。这也意味着任何安全管理或网络运维系统必须再次将网络结构转换回策略结构,且需要跨越企业网络中的多个策略实施点。
这最终演变为一个非常复杂的操作,因为它通常需要处理多种格式的遥测数据以及这些数据的不同方面,从而使我们需要通过复杂的关联操作来执行相对简单的任务,例如,“IP地址1(它是网络对象A的一部分)当前正在与IP地址2(它是网络对象B的一部分)通信”,在这个日志中,意味着存在违反安全策略 X的情况。由此可见,将网络对象
(VLAN/子网)映射到策略对象并保持相关性是非常复杂的。
(4) 实施策略。
注意,对于上面描述的内容,存在一个固有的假设:如果将设备连接到子网,则该设备将继承所在子网的所有安全访问策略。记住,企业网络要提供快速和高可用的访问,这包含了两个关键的策略:
① 在园区、数据中心或分支机构内,对连接到网络的不同部分的人都没有网络验证;
② 如果可以将设备插入正确端口,那么它可以被安全系统正确分类。
无线网络通过引入设备和身份认证改变了这一点,但是并没有改变将 IP子网到网络对象进行传统映射从而获得安全权限的现状。无线网络还引入了用户和设备移动性,带来了网络拓扑与安全策略紧耦合的挑战,因为用户和/或设备可以出现在网络中的任何部分。此外,为了向网络中添加IPv6地址,需要重复上述的所有工作,同时出现了一些新的挑战:
① 在IPv6中有更多的网络范围和聚合子网,并且每个用户和/或设备可以使用多个IPv6地址;
② 由于采用16进制(字母、数字混合)的表示方法且地址长度增加,IPv6地址通常被认为比IPv4更难读取和回溯;
③ 安全管理工具需要创建单独的IPv6网络对象和/或升级软件。
当这些策略被创建和应用时,它们通常被锁定在管理工具中。虽然软件定义网络(SDN)已经可以通过自动化的方式创建网络和应用,但是这种自动化并不容易扩展到安全策略中。在许多情况下,自动化要么是不完整的(仅针对分支中的用户 /设备等工作负载),要么是特定于供应商的。
在大多数情况下,网络对象和策略无法扩展到多种类型的策略实施点(防火墙、交换机或路由器)中。不同类型的策略执行点通常由不同的管理系统管理,并且需要在系统之间手动同步策略。尽管市场上有一些第三方工具关注于多平台和多供应商管理,但是它们仅限于通用的网络构造,并且带来了另一层面的操作复杂性。
此外,当我们进入应用层面的安全操作时,网络安全对象之间是有关联的。例如,假设网络安全策略允许设备与因特网通信。除非网络安全策略管理控制台和高级恶意软件管理控制台手动共享网络对象与更广泛企业网络的相关性,否则高级恶意软件控制台将不会在其生成的警报中知道终端的业务相关性。因此,除非对业务至关重要的设备被恶意软件破坏,并且恶意软件传感器检测到这一安全威胁,否则网络安全操作者将很可能看不到关于事件的高级警报。
处理策略的另一个挑战是,防火墙和 /或交换机及路由器上的访问控制列表中的许多访问控制项(ACE)一直保持不变(或未优化),并且随着时间的推移其数量不断增长,因为网络管理员实际上不知道什么是驱动业务的应用以及这些应用需要强制执行的策略是什么。
因此,在传统网络中改变或删除策略可能会带来意想不到的后果,从而造成更大的风险。
(5) 挑战。
当前传统策略方法的主要挑战在于,从对象(IP地址)到与业务相关的对象(网络对象),然后回到对象(IP地址),这一过程无法携带业务相关性。例如:
① 与策略相关的遥测结果缺乏易于理解的、可读的业务相关性(日志和流统计仅使用IP地址而不包含用户情境);
② 很难从网络策略遥测结果中获得可操作的智能;
③ 依赖于多平台或多厂商工具来构建这些结构之间的关联;
④ 耗时、复杂和容易出错的过程可能会导致实施和/或执行策略方面的差距。
当前的企业技术还缺乏在 VLAN/ 子网中横向扩展的策略执行方法。由于层出不穷的安全事件,大量涉及 IoT设备和用户设备的安全事件的发生,在 VLAN/子网内缺乏安全控制是导致恶意软件和赎金软件泛滥的主要原因。人们正在重新关注安全策略能否控制企业内部和组成员之间的通信流量。由于局域网天生的行为特性,必须引入新的流量控制机制以将同一VLAN/子网内的设备引导到安全策略实施点(如私有VLAN等)。这也意味着为了控制子网内的横向扩展,必须为每个 VLAN/子网创建一个新的 ACL策略,即使这些 IP子网的大部分实际上是相同的网络对象。
最后,随着移动性的引入,网络管理员不能假定任何给定的静态 IP子网 /VLAN结构可以精确地表示为用于策略目的的给定终端用户 / 设备的集合。网络管理员也不能手动跟上移动用户 / 设备的添加和改变的速度。后面,读者将了解软件定义访问如何以独特而有效的方式解决上述挑战。