流量鏡像(Traffic Mirroring)是亞馬遜雲科技 VPC 的一項服務,用于将網絡流量從 EC2 執行個體的彈性網絡接口複制到帶外的安全裝置進行分析,這使得各種基于網絡監控和安全分析解決方案在亞馬遜雲科技上成為可能。流量鏡像可以使用在大部分基于 Nitro 架構的 EC2 執行個體類型,和一些非 Nitro 架構的執行個體類型上。目前,一部分特定類型的執行個體、裸金屬,以及彈性負載均衡(ELB)、NAT 網關、中轉網關(Transit Gateway)等網絡服務均不支援流量鏡像。
在使用者實際業務環境中,各類工作負載會運作在 EC2、ECS、EKS 和無伺服器計算之上,并配合所需要的亞馬遜雲科技網絡服務進行業務互動。使用者希望亞馬遜雲科技有一個集中的彙聚點把相關的流量鏡像給安全分析裝置,進而不影響生産業務并能簡化配置。鑒于受到上述流量鏡像支援類型的限制,對于有此類需求的使用者,本文建議使用網關負載均衡器(Gateway Load Balancer, GWLB)作為流量鏡像的替代解決方案,并由 FortiGate 完成線上流量的安全分析與控制。
本文将以單 VPC 出向流量的部署架構為例,分别介紹 GWLB 和 FortiGate 的産品解決方案和最佳實踐。該方案同樣适用于各類分布式部署模式和多VPC集中式部署模式。
架構說明
對于單 VPC 出向流量的場景,通常情況下,應用會部署在私有子網。部署在公有子網的 NAT 網關允許私有子網内的應用執行個體連接配接到 VPC 外部的資源,比如網際網路。當使用者想要對網際網路的出向流量進行監控時,建議在私有子網和公有子網之間部署 GWLB 終端節點。采用此架構的優勢在于:
- 無需為每一台應用執行個體的彈性網絡接口開啟流量鏡像的功能。
- 解決了一部分特定類型的執行個體、裸金屬和 NAT 網關不支援流量鏡像的問題。
- 位于 Inspection VPC 中的 FortiGate 能夠在資料包中識别出原始 IP 位址,而非 NAT 網關的 IP 位址。
高可用一直是使用者最重要的考量因素之一。GWLB 底層使用高備援和水準可擴充的亞馬遜雲科技 HyperPlane 技術,每一個可用區内 GWLB 終端節點最高可擴充至 100Gbps 的吞吐容量。為了確定 FortiGate 裝置的高可用,GWLB 會對每台 FortiGate 裝置運作健康檢查。如果連續失敗的測試次數超過設定的門檻值,裝置将被标記為不健康,流量将不再會路由到該裝置。
在上述的架構示意圖中,兩台 FortiGate 分别部署在 Inspection VPC 兩個不同的可用區内,提供了可用區級别的備援性。有關 GWLB 高可用的推薦配置如下:
- 至少在兩個可用區開啟 GWLB。
- 開啟 GWLB 的 Cross-zone load balancing。
- 根據業務連續性要求,合理設定 Health checks 參數。
GWLB 與 FortiGate 內建的配置手冊請參考《亞馬遜雲科技(中國區)網關負載均衡服務內建FortiGate安全網關擴充安全服務性能》一文,本文将不再贅述。
利用 FortiGate 進行流量安全分析與控制
安全檢測
(1) 配置 FortiGate 安全防護政策,啟用防火牆政策的 AV,Web Filter,Application Control,IPS 等安全檢測功能,通過 FortiGuard 的特征庫和規則簽名來識别網絡中的威脅并采取相應的措施進行防禦。
(2) 啟用 AntiVirus 配置的 FortiSandbox 相關配置參數,以提高對未知威脅檔案的安全檢測能力。
(3) 啟用 IPS 的阻斷惡意 URLs 和阻斷出向連接配接 Botnet C&C 站點的配置參數,提高安全檢測和威脅防禦的效率。
測試與驗證
(1) 測試通過私有子網主機下載下傳病毒檔案,驗證安全檢測和防禦的有效性,結果顯示病毒檔案均已被阻斷下載下傳。
(2) 測試通過私有子網主機下載下傳未知威脅模拟檔案,驗證未知威脅防禦的有效性,結果顯示發給 Sandbox 的檔案不具威脅。
(3) 測試通過私有子網主機通路惡意網站,驗證惡意網站防禦的有效性,結果顯示惡意網站無法被加載通路。
(4) 測試通過私有子網主機主動連接配接惡意網址和僵屍網絡,驗證出向網絡行為的安全檢測和威脅防禦的有效性,結果顯示所有威脅連接配接均已被丢棄。
通路控制
鑒于私有子網主機位置的特殊性,從網絡安全和風險管控等方面綜合考慮,我們需要對其網際網路通路行為執行相應的規範管理。
(1) 禁止私有子網主機通路不合規的網站。
(2) 禁止私有子網主機使用遠端通路類應用。
(3) 限制每個私有子網主機 IP 的網絡帶寬為 10Mbps。
測試與驗證
(1) 測試通過私有子網主機通路百度網站,驗證通路控制政策中網站管理規範的有效性,結果顯示百度網站無法被加載通路。
(2) 測試通過私有子網主機運作遠端通路類應用,驗證通路控制政策中應用程式管理的有效性,結果顯示遠端通路軟體無法正常使用,其與後端伺服器的網絡連接配接均已被阻斷。
(3) 測試通過私有子網主機通路測速通路,驗證通路控制政策中帶寬管理的有效性,結果顯示啟用帶寬管理前後的測速結果符合預期。
啟用帶寬管理前測速:
啟用帶寬管理後測速:
安全營運
(1) 通過 FortiGate 内置的 Security Events 功能提供的統計分析能力,我們可以很清晰看到網絡安全狀态的整體概覽,也可以按照不同安全類别、事件類型等目标深入檢視關聯日志。
(2) 通過 FortiGate 内置的 FortiView 功能提供的深度分析能力,我們可以按照不同次元作為切入點進行遞進式的安全深度分析,本案例中我們僅以應用程式、目标位址、源位址這三個目标次元來做效果示範。
- 以應用程式作為深度分析的切入點,以 TeamViewer 作為目标進行深度分析,結果顯示私有子網主機 10.1.1.135 存在運作遠端通路類應用的安全風險。
- 以目标位址作為深度分析的切入點,以資料傳輸量作為目标進行深度分析,結果顯示私有子網主機 10.1.1.135 存在大帶寬使用行為,同時發現産生大帶寬行為的是網絡測速應用。
- 以源位址作為深度分析的切入點,以私有子網主機 10.1.1.135 作為目标進行深度分析,結果顯示該主機存在運作遠端通路類應用和大帶寬使用行為。
(3) 通過 FortiGate 内置的網絡工具 Packet Capture 和 Debug Flow 提供的調試能力,我們可以執行更深層次的安全分析和風險定位。
- 抓取私有子網主機 10.1.1.135 的網絡資料。
- 分析私有子網主機 10.1.1.135 的網絡流量。
部署 FortiAnalyzer 實作安全防護自動化
初期通過部署 FortiGate 實作單 VPC 出向流量的安全檢測、通路控制和安全營運,後期還可以通過對接 FortiAnalyzer 實作安全防護自動化,基于事件關聯和威脅檢測功能支援端到端可見性威脅名額(IOC)服務支援快速識别全網網絡威脅,有效縮短檢測時間,同時依托 REST API、腳本、連接配接器和自動修複實作自動化,有效降低安全營運複雜度和運維成本。