1. 软件定义访问策略体系结构
如前所述,软件定义访问网络交换矩阵提供了两个关键的分段结构——用于宏分段的虚拟网络和用于微分段的用户组——两者可以组合在一起使用,以满足策略定义的需求。
软件定义访问中的策略是基于用户、设备、事物或应用的逻辑分组以及组和组之间的关系来定义的,并且可以进一步基于网络三层和四层分类器来定义访问控制规则。例如,可以创建策略来定义“物理安全摄像头”组无法访问“门卡阅读器”组,或者“医疗设备”组仅能被“医生”组访问。
有线和无线策略均使用 DNA中心集中定义和管理。在拓扑结构不可知的情况下,基于用户 /设备标识的策略在网络交换矩阵边缘和边界节点上执行(如图 2-17所示)。针对终端的组分类被嵌入网络交换矩阵的数据平面中,并且被软件定义访问网络交换矩阵端到端地承载,因此,软件定义访问可以执行针对业务的策略,而无须关心其源地址。对于需要基于状态检查的策略,基于组的策略也可以应用于SGT感知防火墙或 Web代理。
图 2-17 软件定义访问中的策略执行
(1)接入终端分组。
思科身份服务引擎(ISE)通过各种机制建立连接到网络的端点的标识,这些机制包括802.1x、MAC地址、客户端类型、活动目录登录和强制门户认证。一旦建立端点的标识,思科ISE还将定义端点标识与组的关联规则。活动目录组中的属性可用于定义ISE中的组分类,以便在软件定义访问架构中使用。这些组被自动导入 DNA中心,以便用户从 DNA中心用户界面统一查看和管理策略(如图2-18所示)。
图 2-18 软件定义访问中基于组策略的用户访问
DNA中心还能够从外部 NAC和 AAA系统收集端点身份信息,并使用外部派生的身份将端点映射成组。对于不能通过上述任何机制进行基于身份访问的环境,DNA 中心允许网络管理员静态地定义访问端口和组之间的关联。
(2)应用群组。
可以通过基于外部应用程序的 IP地址或子网将外部应用程序分组来为DNA中心的用户或应用程序的端点定义和实现策略。这在数据中心中尤其相关,应用程序出于安全原因分组到预定义的子网中。
对于基于思科以应用为中心的基础设施(ACI)架构来构建的数据中心,来自软件定义访问的端点组可以由 ACI中的 APIC控制器导入,然后可以基于从用户访问应用程序的端到端的相同组策略模型来定义策略。这一互通性可实现高度可扩展、自动化、简化的策略,迎合了用户或工作负载移动性的需求。
思科的云策略平台使公有云环境(如AWS)以及混合云环境中的工作负载能够映射到可以导入 DNA中心的组中。DNA中心因此可以使用相同的基于组的策略构造来定义和实现用户 /设备终端与公共 /混合云中的应用程序之间的访问控制策略。这些组策略可以在策略执行点(如网络交换矩阵边界或兼容防火墙上)实例化。
2. 通过思科 DNA中心的 API实施安全策略
考虑到安全运营团队利用软件定义访问策略模型来响应用户访问之外的不同级别的漏洞的能力,例如,假设已为主机操作系统识别出新的漏洞,并且该主机的用户登录网络,通过管理代理,该主机操作系统被识别为尚未修补漏洞。根据这一条件,管理代理可以将漏洞识别为“威胁”级别,并通过 API 将“威胁”级别策略应用于软件定义访问网络交换矩阵中。
该策略可以立即拒绝用户访问整个企业网络中的任何关键业务系统,同时仍允许他们访问非关键系统和外部网络(如因特网)。此示例突出显示了软件定义访问中策略模型的强大功能。来自 DNA中心的集中控制(从网络拓扑中抽象出来的策略模型)应用需要每个网络元素执行操作策略,如果没有网络运营者花费大量时间来完成任务,是很难实现的,即使实现也需要花费几天时间。
软件定义访问还为第三方应用程序提供了灵活性,可通过 DNA中心的一组开放 API接口来创建、实例化并将策略推送到网络交换矩阵中。客户可以利用安全信息和事件管理器
(SIEM)系统等应用环境使用这些 API。虽然 SIEM系统可能无法配置网络,但将其与可以推动网络中的策略更改的软件定义访问网络交换矩阵集成,可以帮助安全运营者加速对SIEM识别出来的事件的响应速度。当在 SIEM中检测到高风险事件时,它可以调用 API到 DNA中心请求创建或修改软件定义访问策略以“隔离”特定的一组用户 / 端口,快速隔离威胁,或者创建 ERSPAN流量复制会话以用于进一步的流量分析。
如图 2-19所示,对 DNA中心 API的调用可以触发流量复制策略,并协同 ISE对用户进行隔离。
图 2-19 第三方应用程序调用 DNA 中心和 ISEAPI
4. 软件定义访问策略的优点
除了降低操作网络的复杂性和总体成本之外,软件定义访问的自动化和网络保障功能还为网络操作实现了策略驱动的模型,该模型减少了引入新服务所需的时间,并提高了整体网络的安全性。下面将进一步讨论这些好处。
(1) 从网络基础设施设计中解耦策略。
类似于软件定义访问通过 VXLAN叠加网络对网络连接进行抽象的方式,软件定义访问抽象了策略的概念,并将其与底层网络拓扑解耦。即使网络设计发生改变,也不需要操作者手动逐个定义和更新策略元素。由于软件定义访问利用网络交换矩阵的网络基础设施来执行策略,因此,不再需要复杂的流量工程机制将流量转发到防火墙来执行安全策略,从而减少IP-ACL在防火墙中的极速蔓延。策略与网络拓扑的解耦使操作更加简单有效,并使网络能够更有效地用于执行策略。这为以更快的时间实现新的业务服务、无缝网络移动性以及全面减少日常网络管理工作等方面带来了许多好处。
(2) 简化策略定义。
在逻辑、业务相关和易于理解的用户组的基础上管理访问控制策略简化了持续运营流程并降低了安全风险。它还减少了证明网络安全合规性所需的时间和精力,并简化了审计流程。
(3) 策略自动化。
终端基于其身份与用户组的动态关联减少了确保端点位于适当网段上所需的操作开销,还可以增强企业整体的安全性,尤其是在用户和设备移动的环境中。传统方法所需的复杂性和时间成本与企业网络中的设备数量和每个设备上执行的任务呈线性关系。在软件定义访问中,策略制订更简单,执行速度更快,更易于设计、部署、操作和理解。
(4) 基于策略的企业网络编排。
软件定义访问策略模型提供了一个平台,客户可以在其中开发大量的应用程序,包括网络分段、安全性、合规性和对实时安全威胁的响应等用例,以及在网络交换矩阵内部提供各种服务的能力。
通过在 DNA中心使用 API、丰富的网络遥测源和智能机器学习,软件定义访问可以利用“闭环”模型的概念支持多种用例,每种用例都可以利用软件定义访问策略模型将“可操作 的”业务意图部署到软件定义访问网络交换矩阵中。
