带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第二章软件定义访问体系结构2.5(一)

本文涉及的产品
云防火墙,500元 1000GB
访问控制,不限时长
简介: 带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第二章软件定义访问体系结构2.5

2.5     思科 DNA 软件定义访问提供的服务

 

2.5.1     软件定义访问策略服务

 

1.  传统网络环境下的策略

(1)  策略定义。

在涉及策略和服务的任何讨论中,起点始终应该是由创建需求的业务来驱动。过去,企业网络的唯一业务需求是提供快速、高可用的连接性(也称为访问需求。随着这些年计算和网络的发展,服务和策略都在不断进化。现在,企业网络策略必须满足新的需求,以支持更大的灵活性、敏捷性和不断增加的安全性。

在本节中,我们将重点介绍软件定义访问的首要需求——安全性,讲述软件定义访问策略如何解决企业网络当前面临的一些重大挑战。重要的是,对于其他网络服务和策略,如服务质量(QoS)、数据分组抓取、流量工程等,也存在类似的需求和挑战,软件定义访问以类似的方式来解决这些问题。

(2)  业务驱动因素。

驱动策略部署的业务需求之一是出于行业原因(PCIHIPAA     等)或企业合规原因(降低风险)。企业内可以存在多个需求。例如,一家医疗保健公司不仅必须遵守国家法规,还必须遵守 PCI遵从性要求,同时希望通过隔离医疗设备来减少风险。

策略使用场景。

下面是一组常见的医疗网络的样本需求,用来说明软件定义访问如何满足业务需求,同时可以提供业务的敏捷性、灵活性和较低的运营费用。

如上所述,我们的出发点是评估业务的驱动力和需求,具体如下。

安全的病人护理:只允许经过批准的医疗用户和医疗设备进入医疗网络。

②   安全的关键业务应用程序:在访问企业网络时识别所有用户终端,并且只允许批准的用户和设备访问通用企业网络。

③    法规遵从性要求:只允许批准的用户或设备访问PCI遵从性范围内的特定终端、服务器和应用程序。

提供病人护理:提供与企业通用网络和医疗网络隔离的访客网络。

传统上,下一步是评估网络以了解上面提到的每个主要资源位于何处。例如,

网络中的医疗设备在哪里?

PCI法规遵从范围内的服务器和应用程序在哪里?

网络中的医疗用户在哪里?

如果企业很幸运,则它们能够将所有相关资源与一组清晰的 IP地址子网相互关联。这将允许它们构建表示子网的 IP地址和易于理解的可读名称之间的关联。下面是一些例子。

192.0.2.0/24=核磁共振成像设备

192.16.1.0/24=医疗影像服务器

198.51.100.0/24PCI应用

10.1.100.0/24= 医护人员

101.0.0/24= 访客

(3)  策略构建(如图 2-16所示

网络架构师将需要在这些网络对象和一组权限(环境中的所有子网的访问控制策略)之间建立关系,通常使用安全管理系统来实现。安全管理系统(如防火墙或 ACL管理系统)提IP前缀和网络对象之间关系的易于理解的可读抽象映射。

网络架构师将在网络对象之间针对特定协议IPTCPUDP等)和端口httphttps等)建立访问控制规则,然后在对象之间建立最终的访问权限(允许或拒绝

 

 

image.png

2-16 策略构建实例

为了保证策略执行,网络管理员需要利用将相关流量(针对每个子网)引导到相应的策略执行点(例如,使用ACL的分布层交换机、园区防火墙等)的方式设计网络。然后,管理系统将使用网络对象将 IP地址返回策略执行点。

在大多数情况下,访问控制安全策略执行结果产生的遥测数据表示为日志、流数据、命中计数器等,完全以IP地址项来标识。这意味着策略执行点生成的所有信息都仅与网络结构相关,而不以与策略结构相关的方式生成。这也意味着任何安全管理或网络运维系统必须再次将网络结构转换回策略结构,且需要跨越企业网络中的多个策略实施点。

这最终演变为一个非常复杂的操作,因为它通常需要处理多种格式的遥测数据以及这些数据的不同方面,从而使我们需要通过复杂的关联操作来执行相对简单的任务,例如,IP地址1它是网络对象A的一部分当前正在与IP地址2它是网络对象B的一部)通在这个日志中,意味着存在违反安全策略 X的情况。由此可见,将网络对象

VLAN/子网)映射到策略对象并保持相关性是非常复杂的。

(4)  实施策略。

注意,对于上面描述的内容,存在一个固有的假设:如果将设备连接到子网,则该设备将继承所在子网的所有安全访问策略。记住,企业网络要提供快速和高可用的访问,这包含了两个关键的策略:

在园区、数据中心或分支机构内,对连接到网络的不同部分的人都没有网络验证;

如果可以将设备插入正确端口,那么它可以被安全系统正确分类。

无线网络通过引入设备和身份认证改变了这一点,但是并没有改变将 IP子网到网络对象进行传统映射从而获得安全权限的现状。无线网络还引入了用户和设备移动性,带来了网络拓扑与安全策略紧耦合的挑战,因为用户和/或设备可以出现在网络中的任何部分。此外,为了向网络中添加IPv6地址,需要重复上述的所有工作,同时出现了一些新的挑战:

①  IPv6中有更多的网络范围和聚合子网,并且每个用户和/或设备可以使用多个IPv6地址;

由于采用16进制(字母、数字混合)的表示方法且地址长度增加,IPv6地址通常被认为比IPv4更难读取和回溯;

    ③ 安全管理工具需要创建单独的IPv6网络对象和/或升级软件。

当这些策略被创建和应用时,它们通常被锁定在管理工具中。虽然软件定义网络SDN)已经可以通过自动化的方式创建网络和应用,但是这种自动化并不容易扩展到安全策略中。在许多情况下,自动化要么是不完整的(仅针对分支中的用户 /设备等工作负载,要么是特定于供应商的。

在大多数情况下,网络对象和策略无法扩展到多种类型的策略实施点(防火墙、交换机或路由器)中。不同类型的策略执行点通常由不同的管理系统管理,并且需要在系统之间手动同步策略。尽管市场上有一些第三方工具关注于多平台和多供应商管理,但是它们仅限于通用的网络构造,并且带来了另一层面的操作复杂性。

此外,当我们进入应用层面的安全操作时,网络安全对象之间是有关联的。例如,假设网络安全策略允许设备与因特网通信。除非网络安全策略管理控制台和高级恶意软件管理控制台手动共享网络对象与更广泛企业网络的相关性,否则高级恶意软件控制台将不会在其生成的警报中知道终端的业务相关性。因此,除非对业务至关重要的设备被恶意软件破坏,并且恶意软件传感器检测到这一安全威胁,否则网络安全操作者将很可能看不到关于事件的高级警报。

处理策略的另一个挑战是,防火墙和 /或交换机及路由器上的访问控制列表中的许多访问控制项ACE)一直保持不变或未优化,并且随着时间的推移其数量不断增长,因为网络管理员实际上不知道什么是驱动业务的应用以及这些应用需要强制执行的策略是什么。

因此,在传统网络中改变或删除策略可能会带来意想不到的后果,从而造成更大的风险。

(5)  挑战。

当前传统策略方法的主要挑战在于,从对象IP地址)到与业务相关的对象(网络对象然后回到对象(IP地址,这一过程无法携带业务相关性。例如:

与策略相关的遥测结果缺乏易于理解的、可读的业务相关性(日志和流统计仅使用IP地址而不包含用户情境);

很难从网络策略遥测结果中获得可操作的智能;

依赖于多平台或多厂商工具来构建这些结构之间的关联;

耗时、复杂和容易出错的过程可能会导致实施和/或执行策略方面的差距。

当前的企业技术还缺乏在 VLAN/   子网中横向扩展的策略执行方法。由于层出不穷的安全事件,大量涉及 IoT设备和用户设备的安全事件的发生,在 VLAN/子网内缺乏安全控制是导致恶意软件和赎金软件泛滥的主要原因。人们正在重新关注安全策略能否控制企业内部和组成员之间的通信流量。由于局域网天生的行为特性,必须引入新的流量控制机制以将同一VLAN/子网内的设备引导到安全策略实施点(如私有VLAN。这也意味着为了控制子网内的横向扩展,必须为每个 VLAN/子网创建一个新的 ACL策略,即使这些 IP子网的大部分实际上是相同的网络对象。

最后,随着移动性的引入,网络管理员不能假定任何给定的静态 IP子网 /VLAN结构可以精确地表示为用于策略目的的给定终端用户 /   设备的集合。网络管理员也不能手动跟上移动用户 /   设备的添加和改变的速度。后面,读者将了解软件定义访问如何以独特而有效的方式解决上述挑战。

相关文章
|
8天前
|
存储 监控 安全
单位网络监控软件:Java 技术驱动的高效网络监管体系构建
在数字化办公时代,构建基于Java技术的单位网络监控软件至关重要。该软件能精准监管单位网络活动,保障信息安全,提升工作效率。通过网络流量监测、访问控制及连接状态监控等模块,实现高效网络监管,确保网络稳定、安全、高效运行。
37 11
|
7天前
|
运维 监控 安全
公司监控软件:SAS 数据分析引擎驱动网络异常精准检测
在数字化商业环境中,企业网络系统面临复杂威胁。SAS 数据分析引擎凭借高效处理能力,成为网络异常检测的关键技术。通过统计分析、时间序列分析等方法,SAS 帮助企业及时发现并处理异常流量,确保网络安全和业务连续性。
29 11
|
1天前
|
Kubernetes 网络协议 应用服务中间件
Kubernetes Ingress:灵活的集群外部网络访问的利器
《Kubernetes Ingress:集群外部访问的利器-打造灵活的集群网络》介绍了如何通过Ingress实现Kubernetes集群的外部访问。前提条件是已拥有Kubernetes集群并安装了kubectl工具。文章详细讲解了Ingress的基本组成(Ingress Controller和资源对象),选择合适的版本,以及具体的安装步骤,如下载配置文件、部署Nginx Ingress Controller等。此外,还提供了常见问题的解决方案,例如镜像下载失败的应对措施。最后,通过部署示例应用展示了Ingress的实际使用方法。
14 2
|
5天前
|
数据采集 监控 安全
公司网络监控软件:Zig 语言底层优化保障系统高性能运行
在数字化时代,Zig 语言凭借出色的底层控制能力和高性能特性,为公司网络监控软件的优化提供了有力支持。从数据采集、连接管理到数据分析,Zig 语言确保系统高效稳定运行,精准处理海量网络数据,保障企业信息安全与业务连续性。
26 4
|
26天前
|
存储 人工智能
从零到一打造知识网络:你选对文档软件了吗?
在信息爆炸时代,学术工作者面临高效管理知识的挑战。传统文档管理软件难以满足“知识动态积累”与“多领域交叉”的需求。动态结构化看板通过多维度卡片化管理,以标签、层级和网状关联方式动态呈现文档和笔记,实现知识的系统化整合。例如多维标签系统和文档流动视图,能够帮助快速检索和关联资料,成为学术研究的“第二大脑”。
|
28天前
|
网络协议 数据安全/隐私保护 网络虚拟化
计算机网络的体系结构
OSI模型,即开放系统互连模型,由ISO于1984年提出,是计算机网络通信的参考模型,将网络功能划分为七层:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。各层负责不同的通信任务,使网络设计与管理更加模块化和高效。
67 1
|
8天前
|
SQL 安全 网络安全
网络安全与信息安全:知识分享####
【10月更文挑战第21天】 随着数字化时代的快速发展,网络安全和信息安全已成为个人和企业不可忽视的关键问题。本文将探讨网络安全漏洞、加密技术以及安全意识的重要性,并提供一些实用的建议,帮助读者提高自身的网络安全防护能力。 ####
46 17
|
18天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
|
19天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
40 10
|
21天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的代码示例。通过阅读本文,您将了解到如何保护自己的网络安全,以及如何提高自己的信息安全意识。
46 10