什么是网安融合?
网安融合可以还原安全分区子网划分,并通过预置网安互访矩阵以及同步获取的防火墙上存量安全策略,可以在新业务上线时,自动检查用户安全意图的合规性、存量安全策略匹配度,并支持自动推荐符合用户安全意图的安全策略规则,多分区策略协同开通分钟级,提升安全策略变更效率,简化运维。
为什么需要网安融合
在数据中心场景,防火墙安全策略的管理占平时网络运维工作的50%以上。随着业务量的增加,安全策略的开通和变更变得越来越复杂,这主要体现在:
- 在接到业务侧请求后,安全团队分析定位所涉及的IP地址归属位置、查找防火墙的具体位置困难,往往需要人工维护网安互访矩阵。
- 分析业务请求时,需要在大量已存在的安全策略中分析当前的满足度。在有NAT的场景,生成安全策略配置方案耗时需要考虑地址转换前、后的变化关系。
- 当安全设备存在异构厂商时,安全策略配置方案还需要根据不同厂商的配置来分别做适配。
- 策略配置下发困难,安全设备位置分散,多分区多个防火墙阻塞点开通策略需要由人工更新不同的脚本,耗时长,容易有遗漏。
- 安全策略生成后验证耗时。
基于上述一系列痛点,华为推出了基于iMaster NCE网络数字地图的网安融合功能。在新业务上线时,在iMaster NCE上自动推荐并下发满足用户意图的安全策略,多分区策略协同开通分钟级,提升安全策略变更效率,简化运维。支持三方集成,节省三方防火墙适配的资本支出。
网安融合工作原理
基于地图的海量数据还原安全分区子网划分,并通过预置网安互访矩阵以及同步获取的防火墙上存量安全策略,可以在新业务上线时,自动检查用户安全意图的合规性、存量安全策略匹配度,并支持自动推荐符合用户安全意图的安全策略规则,多分区策略协同分钟级开通。网安融合的总体工作流程如下图所示。
网安融合配置流程
网安融合主要包含以下几部分能力。
- 防火墙设备策略采集同步/还原/管理
从防火墙设备上采集同步策略配置信息,包含安全策略、NAT策略、服务集、地址集、安全域等。可设置定时任务采集同步或手工触发即时采集同步。
将采集到的策略配置,解析转换为统一安全模型入库,并在Web界面上还原出来,方便管理员高效管理。
预置华为防火墙和部分款型的三方防火墙设备的采集解析脚本(支持原始命令行配置到统一模型),支持动态增加未预置的新款型和厂商适配的能力。
- 安全分区管理
安全分区是一个逻辑概念,通常根据业务之间互通流量是否需要经过防火墙来进行隔离或互访控制来划分安全分区,例如:将需要过墙互通的业务划分到不同安全分区,不需要过墙可以直接互通的业务划分到一个安全分区中。一个安全分区可以包含一个或多个Fabric区,一个Fabric区也可以划分成多个安全分区。
网安融合中让管理员直观地查找并增删安全区域,并将区域/设备/VPN(VPC)/BD(ACI场景)作为安全区下辖的成员来管理。同时,可以自动还原安全分区内的子网(基于设备的vbdif/VLANIF网关信息、基于ACI BD关联子网信息)和用户手工添加管理安全分区的子网。
- 网安互访矩阵管理
网安融合可以管理安全区之间的通断关系,即支持选择安全分区管理网安互访矩阵。
指定网安互访矩阵中任意两个安全分区间互访的安全大纲,包含:源和目的安全区、安全规范以及对应策略路径。- 针对策略路径中的策略节点上的存量策略进行安全合规检查。
- 手动编排策略路径,自动显示对应安全分区所属的VAS,通过选择实施策略的多个VAS的策略节点以及执行顺序来编排策略路径。
- 自动还原策略路径、手动编辑自动还原的策略路径。
- 安全策略自动推荐
当管理员输入源和目的IP等五元组安全意图后,网安融合会自动进行策略检查推荐和下发。
- 自动进行安全大纲合规检查,即分析当前用户的安全意图是否合规:
- 检查结果合规,下一步进行命中分析。
- 检查结果不合规,流程结束。
- 对于合规的安全意图自动进行存量策略匹配检查,显示当前用户的安全意图对应的策略路径,并分析判断是否已有存量策略匹配,包含策略路径中各个防火墙的安全策略匹配情况和NAT策略匹配情况。
- 分析结果为阻止,下一步进行安全策略自动推荐。
- 分析结果为放通且命中策略已部署,流程结束。
- 若存量策略匹配结果为阻止,则支持自动进行安全策略推荐,包含推荐策略路径中多个单墙的安全策略,下一步生成下发工作流。
- 自动进行安全大纲合规检查,即分析当前用户的安全意图是否合规:
网安融合典型应用
某金融机构网络变更每周有几十甚至上百次,而其中安全策略相关的工作占比超55%。金融机构的网络环境往往十分复杂,在数据中心内安全分区高达上百个,有数千台交换机和数百台防火墙,整网安全策略几十万到上百万条之多。
当有业务需求时, 会通过工单系统分别将网络变更、安全策略变更需求传递给网络团队和安全团队,两个团队需要分别对工单进行分析、实施方案设计、测试、部署等一系列动作。
由于金融业务往往需跨安全区域间互访,会经过多道防火墙。安全团队需先定位业务相关IP的归属位置,明确途经哪些防火墙,然后再在海量现有策略中评估满足度。如评估为不满足,还需设计新的安全实施方案并验证其正确性与合规性,整个流程耗时数天甚至上月之久。另外,网络中常常包含多个厂商的安全设备,因此在设计和实施安全方案时,还需要注意厂商间的配置差异,这进一步加剧了安全配置的实施难度。
基于iMaster NCE提供的网安融合能力,可以自动采集和还原网络中的安全策略和NAT策略,并通过安全矩阵构建直观的业务互访路径。在输入源和目的IP等五元组安全意图后,系统会自动在存量策略中进行检查。如不满足当前安全意图,会智能生成推荐的安全策略,并帮助管理员快速完成多厂商防火墙的配置自动下发。
华为网安融合,分钟级完成万级设备规模的安全策略矩阵梳理和最优策略调整方案推荐,使安全业务分钟级上线,提升安全策略变更效率。
网安融合价值
