1. 軟體定義通路政策體系結構
如前所述,軟體定義通路網絡交換矩陣提供了兩個關鍵的分段結構——用于宏分段的虛拟網絡和用于微分段的使用者組——兩者可以組合在一起使用,以滿足政策定義的需求。
軟體定義通路中的政策是基于使用者、裝置、事物或應用的邏輯分組以及組群組之間的關系來定義的,并且可以進一步基于網絡三層和四層分類器來定義通路控制規則。例如,可以建立政策來定義“實體安全攝像頭”組無法通路“門卡閱讀器”組,或者“醫療裝置”組僅能被“醫生”組通路。
有線和無線政策均使用 DNA中心集中定義和管理。在拓撲結構不可知的情況下,基于使用者 /裝置辨別的政策在網絡交換矩陣邊緣和邊界節點上執行(如圖 2-17所示)。針對終端的組分類被嵌入網絡交換矩陣的資料平面中,并且被軟體定義通路網絡交換矩陣端到端地承載,是以,軟體定義通路可以執行針對業務的政策,而無須關心其源位址。對于需要基于狀态檢查的政策,基于組的政策也可以應用于SGT感覺防火牆或 Web代理。
圖 2-17 軟體定義通路中的政策執行
(1)接入終端分組。
思科身份服務引擎(ISE)通過各種機制建立連接配接到網絡的端點的辨別,這些機制包括802.1x、MAC位址、用戶端類型、活動目錄登入和強制門戶認證。一旦建立端點的辨別,思科ISE還将定義端點辨別與組的關聯規則。活動目錄組中的屬性可用于定義ISE中的組分類,以便在軟體定義通路架構中使用。這些組被自動導入 DNA中心,以便使用者從 DNA中心使用者界面統一檢視和管理政策(如圖2-18所示)。
圖 2-18 軟體定義通路中基于組政策的使用者通路
DNA中心還能夠從外部 NAC和 AAA系統收集端點身份資訊,并使用外部派生的身份将端點映射成組。對于不能通過上述任何機制進行基于身份通路的環境,DNA 中心允許網絡管理者靜态地定義通路端口群組之間的關聯。
(2)應用群組。
可以通過基于外部應用程式的 IP位址或子網将外部應用程式分組來為DNA中心的使用者或應用程式的端點定義和實作政策。這在資料中心中尤其相關,應用程式出于安全原因分組到預定義的子網中。
對于基于思科以應用為中心的基礎設施(ACI)架構來建構的資料中心,來自軟體定義通路的端點組可以由 ACI中的 APIC控制器導入,然後可以基于從使用者通路應用程式的端到端的相同組政策模型來定義政策。這一互通性可實作高度可擴充、自動化、簡化的政策,迎合了使用者或工作負載移動性的需求。
思科的雲政策平台使公有雲環境(如AWS)以及混合雲環境中的工作負載能夠映射到可以導入 DNA中心的組中。DNA中心是以可以使用相同的基于組的政策構造來定義和實作使用者 /裝置終端與公共 /混合雲中的應用程式之間的通路控制政策。這些組政策可以在政策執行點(如網絡交換矩陣邊界或相容防火牆上)執行個體化。
2. 通過思科 DNA中心的 API實施安全政策
考慮到安全營運團隊利用軟體定義通路政策模型來響應使用者通路之外的不同級别的漏洞的能力,例如,假設已為主機作業系統識别出新的漏洞,并且該主機的使用者登入網絡,通過管理代理,該主機作業系統被識别為尚未修補漏洞。根據這一條件,管理代理可以将漏洞識别為“威脅”級别,并通過 API 将“威脅”級别政策應用于軟體定義通路網絡交換矩陣中。
該政策可以立即拒絕使用者通路整個企業網絡中的任何關鍵業務系統,同時仍允許他們通路非關鍵系統和外部網絡(如網際網路)。此示例突出顯示了軟體定義通路中政策模型的強大功能。來自 DNA中心的集中控制(從網絡拓撲中抽象出來的政策模型)應用需要每個網絡元素執行操作政策,如果沒有網絡營運者花費大量時間來完成任務,是很難實作的,即使實作也需要花費幾天時間。
軟體定義通路還為第三方應用程式提供了靈活性,可通過 DNA中心的一組開放 API接口來建立、執行個體化并将政策推送到網絡交換矩陣中。客戶可以利用安全資訊和事件管理器
(SIEM)系統等應用環境使用這些 API。雖然 SIEM系統可能無法配置網絡,但将其與可以推動網絡中的政策更改的軟體定義通路網絡交換矩陣內建,可以幫助安全營運者加速對SIEM識别出來的事件的響應速度。當在 SIEM中檢測到高風險事件時,它可以調用 API到 DNA中心請求建立或修改軟體定義通路政策以“隔離”特定的一組使用者 / 端口,快速隔離威脅,或者建立 ERSPAN流量複制會話以用于進一步的流量分析。
如圖 2-19所示,對 DNA中心 API的調用可以觸發流量複制政策,并協同 ISE對使用者進行隔離。
圖 2-19 第三方應用程式調用 DNA 中心和 ISEAPI
4. 軟體定義通路政策的優點
除了降低操作網絡的複雜性和總體成本之外,軟體定義通路的自動化和網絡保障功能還為網絡操作實作了政策驅動的模型,該模型減少了引入新服務所需的時間,并提高了整體網絡的安全性。下面将進一步讨論這些好處。
(1) 從網絡基礎設施設計中解耦政策。
類似于軟體定義通路通過 VXLAN疊加網絡對網絡連接配接進行抽象的方式,軟體定義通路抽象了政策的概念,并将其與底層網絡拓撲解耦。即使網絡設計發生改變,也不需要操作者手動逐個定義和更新政策元素。由于軟體定義通路利用網絡交換矩陣的網絡基礎設施來執行政策,是以,不再需要複雜的流量工程機制将流量轉發到防火牆來執行安全政策,進而減少IP-ACL在防火牆中的極速蔓延。政策與網絡拓撲的解耦使操作更加簡單有效,并使網絡能夠更有效地用于執行政策。這為以更快的時間實作新的業務服務、無縫網絡移動性以及全面減少日常網絡管理工作等方面帶來了許多好處。
(2) 簡化政策定義。
在邏輯、業務相關和易于了解的使用者組的基礎上管理通路控制政策簡化了持續營運流程并降低了安全風險。它還減少了證明網絡安全合規性所需的時間和精力,并簡化了審計流程。
(3) 政策自動化。
終端基于其身份與使用者組的動态關聯減少了確定端點位于适當網段上所需的操作開銷,還可以增強企業整體的安全性,尤其是在使用者和裝置移動的環境中。傳統方法所需的複雜性和時間成本與企業網絡中的裝置數量和每個裝置上執行的任務呈線性關系。在軟體定義通路中,政策制訂更簡單,執行速度更快,更易于設計、部署、操作和了解。
(4) 基于政策的企業網絡編排。
軟體定義通路政策模型提供了一個平台,客戶可以在其中開發大量的應用程式,包括網絡分段、安全性、合規性和對實時安全威脅的響應等用例,以及在網絡交換矩陣内部提供各種服務的能力。
通過在 DNA中心使用 API、豐富的網絡遙測源和智能機器學習,軟體定義通路可以利用“閉環”模型的概念支援多種用例,每種用例都可以利用軟體定義通路政策模型将“可操作 的”業務意圖部署到軟體定義通路網絡交換矩陣中。