我正在尋找保護資料中心時間關鍵型應用程式元件的網路流量的可能性(及其優缺點)。目的是最大限度地減少攻擊者在設法破壞虛擬機器時可能造成的損害。不可能讀取其他(未受損)虛擬機器之間的流量。這可以透過加密或限製網路存取來實現。
我們有一個 VMware 環境、幾台 ESXi 主機和一個 Fortigate 防火牆。部分內部流量尚未加密,因為應用程式會一個接一個地開啟多個連線。並且整個過程有一個延遲限制。
由於延遲限制,無法為每個連線(簡單)使用 TLS。也許可以透過所有系統上的代理來完成,這些代理可以使 TLS 連線保持開啟狀態,而與應用程式正在執行的操作無關。
我猜想在所有涉及的系統(大約 50 個)之間使用 VPN 將是一場管理噩夢。我們使用 keepalived,這可能會使 VPN 解決方案變得更糟。
我還考慮使用永久 ARP 條目來防止 ARP 欺騙。 VMware 可防止 MAC 欺騙。這不會增加任何延遲,並且應該避免加密的需要。但它不能很好地與 Fortigate 配合使用,也不能與虛擬 IP 配合使用。
我對上述方法和我尚不知道的其他方法的意見感興趣。
其他具有微服務和時間限制的組織會做什麼?我不需要聲明什麼是最好的解決方案。我想知道什麼已被證明(不)可行。
答案1
聽起來您正在尋找當今所謂的「微分段」作為零信任架構的一部分。
基本上,透過傳統的分段(防火牆和 vLANing),您可以限制子網路之間的通訊 - 您可以阻止某人進行通信,除非他們滿足給定的標準。在微分段中,您可以在同一子網路內的應用程式/服務之間進行流量限制和/或檢查。這在虛擬機器管理程式層級最容易完成,因為虛擬機器管理程式可以本機查看傳入/傳出其來賓的所有流量。
零信任指的是古老的安全格言“不信任任何人”,甚至是您自己的系統。您擴展了最低限度的信任,基本上相當於資訊的「需要知道」。應用程式伺服器只能作為對 TLS 請求的回應與外界進行通信,不允許進行任何其他操作 - 等等。
例如,您可以使用微分段來表示前端應用程式伺服器 A 可以與中間層邏輯伺服器 A 通信,而中間層邏輯伺服器 A 又可以與資料庫伺服器 A 通訊。但前端伺服器無法直接與資料庫伺服器通訊。且前端 A 無法與前端 B 通信,即使它們位於同一子網路中也是如此。
VMware 最近在其平台上使用微分段方面做出了相當大的努力。聽起來你應該檢查一下:https://www.vmware.com/solutions/micro-segmentation.html
這繞過了加密的會話創建時間限制。另外,它還可以完成加密所不能做到的事情。 (VPN 或SSL/TLS 保護傳輸中的數據,但實際上並不能限制攻擊者在「安全」網路內可能造成的危害。有限信任的分段限制了攻擊者可能採取的下一步行動——基本上他們必須擊敗新的網路防火牆每次嘗試轉向新向量時。這意味著您無需重寫應用程式即可使用它。在基礎架構層級進行設置,讓您的應用程式繼續執行它們正在執行的操作。
答案2
基本上 VPN 會產生與 TLS 類似的效能影響。因此,您需要延遲更便宜的解決方案。
您可以使用 ESXi 防火牆。 (基本上,vmware 技術有點接近 Linux,並且可以在橋接器和其他虛擬網路元件上進行 L2 和 L3 過濾)。
您可以使用一種網路分段 - 使用分配給不同來賓群組或來賓的多個網路介面卡可能會造成一些額外的障礙。
您可以使用一些 VLAN 設置,但恕我直言,這有點高估了策略。