新闻动态
案例分享 | 集团云场景下的微隔离技术落地实践
发布时间:
2023-05-18 16:35
来源:
作者:
蔷薇灵动
访问量:
集团云是微隔离技术应用的常见场景,其落地难点不仅体现在集团云复杂架构上,更表现在与集团用户复杂管理规范的结合上。蔷薇灵动基于现网实践,总结了在分支自治式和总部集约式不同管理模式下的微隔离方案设计,希望对集团云用户、超大规模数据中心落地微隔离所有帮助。
在国家有关政策引导下,我国数字化转型已步入快车道,云计算技术作为企业数字化转型的重要底座和核心引擎,在数字经济与实体经济的融合深化中发挥着至关重要的作用。当前,云计算技术的应用已由“资源上云”迈入“深度用云”的新阶段,范围涵盖政务、金融、互联网、工业、医疗、交通等关键信息基础设施领域。其中,集团型企业充分发挥其在技术、资源等方面的综合优势,始终走在创新前列,在信息技术和新一代基础设施的建设实践中,集团型企业往往采用集约化路径,通过将资源、应用、数据上收集中,逐步形成了专有的“集团云”。
集团云将分散的资源统一集中并基于业务按需分配,使集团型企业的信息孤岛现象得到极大改善,但同时也打破了原本部门间、业务间、系统间、服务间的物理网络边界,引入了新的网络安全风险。当前,利用云架构的“弱点”,通过入侵关联系统逐步渗透至核心系统的案例早已屡见不鲜。
微隔离是在云化环境中提供基础安全能力的一项创新安全技术,通过面向业务的细粒度隔离和精细化访问控制,能够在虚拟网络中重新建立起逻辑边界,从而实现收敛攻击敞口、切断攻击路径的目的。目前,微隔离已逐渐走进集团云安全管理者的视线,并引发了广泛关注和积极实践。
微隔离系统的运行需要与工作负载、应用系统、业务逻辑、运维流程等实现深度耦合,在管理规模较大的集团云场景下,方案的落地和运行往往因其复杂性而更具挑战。然经验表明,集团云的复杂性并不仅仅体现于其通常因多活、多级部署带来的跨地域、跨平台、跨集群的复杂架构,更为突出的难点则是因其复杂的管理权责划分而带来的分权分组管理需求。
集团型企业通常在集团层面设立总部级的信息化主管部门,各下级单位设立分子公司的IT管理部门,除此之外有些大型集团还会专门设立IT建设及运维的子公司,在长期的业务发展过程中,集团在进行整合或拆分时将导致IT部门也随之发生组织架构调整。加之基于业务需求,集团总部与分子公司之间存在分支自治式、总部集约式等多种IT管理模式,同时集团内部各部门的IT管理水平还可能存在一定的差异。这些因素都会对微隔离系统的运维管理产生更为复杂的影响。
蔷薇灵动作为国内长期专注于微隔离技术应用的厂商,具有丰富的集团云微隔离落地经验。下面我们将以2个典型的集团云场景为例,分享在不同IT运维管理模式下如何进行微隔离落地。
H公司是某央企集团下属的工业互联网企业,为了实现资源和数据的集约化管理,为集团提供高品质的数字化底座支撑,其建成了服务全集团各单位的云平台,并以租户形式向该集团的其他单位提供IaaS形态的云服务。
伴随业务接入量增多,云平台内部网络全通的风险突显,同时,作为云服务提供商,需满足等级保护云计算扩展要求中“应实现不同云服务客户虚拟网络之间的隔离”“应允许云服务客户设置不同虚拟机之间的访问控制策略”“应能够检测恶意代码感染及在虚拟机间蔓延的情况并进行告警”等相关要求。H公司于2021年在其云平台内部引入了微隔离方案,用于对租户间、系统间及工作负载间的互访流量进行严格访问控制,并同步对内部流量进行异常监测和告警。
在管理模式上,H公司属于典型的“分支自治式”管理,各租户之间不存在管理上的强从属关系,各自的业务独立运行。与之对应,各租户间的系统应天然隔离,租户内各业务系统间的互访调用策略,则应由各租户的管理人员自行定义管理。
针对上述需求,H公司利用微隔离系统提供的“虚拟中心”功能实现了租户间的网络和管理权限隔离。虚拟中心是微隔离系统面向多租户场景设计的网络和权限隔离功能,其从逻辑上将一套微隔离系统分割为了多个独立的子系统,各虚拟中心之间的网络默认隔离,各虚拟中心的管理员仅能够对虚拟中心所属的工作负载进行管理和策略设定。具体方案设计如下:
首先,H公司在其集团云的微隔离系统中为每个租户创建一个对应的虚拟中心,将各租户的虚拟机、容器资产划分至对应的虚拟中心,利用虚拟中心“天然隔离”的特性,实现了租户间的网络隔离。
其次,将各虚拟中心的管理员账号交付至各租户管理者,实现微隔离管理权限的下放。各虚拟中心管理者登录微隔离系统后,可对租户内的工作负载进行进一步的分组、标签设定,并基于连接关系的分析,定义生效白名单策略,根据各租户业务安全的需求,实现系统间、工作负载间的微隔离策略设定。
最后,H公司集团云管理团队,利用微隔离系统配套的数据分析与决策平台,对各租户内工作负载产生的连接关系、阻断关系进行实时分析,通过设置差异化的事件规则,对可疑的扫描探查、入侵横移、违规运维行为进行监测,并通过云管平台向各租户管理者推送告警信息,实现对云平台内部威胁的闭环管理。
基于以上设计,通过蔷薇灵动微隔离系统独特的“虚拟中心”功能,使集团云内部原本混合管理的东西向业务流量,可以基于业务管理需求进行分权分类精细化管控,同时在数据分析与决策平台的协同下,为各租户策略管理提供了有力支撑,在满足“云等保”合规要求的同时,极大提升了运维管理效率及质量。
T集团是一家央企控股的医疗集团公司,在数字化转型和医疗业务变革的双重驱动下,T集团以统一云平台为底座,对旗下1家制药公司、4个总部事业部、23家医院的150余个业务系统进行了升级改造,并在其集团云上统一部署运行。为保障业务系统安全,T集团于2022年完成了云平台微隔离系统的二期建设,实现了资产的100%纳管覆盖。
为充分发挥集约化优势,T集团对各下属单位的业务与应用进行了统一规划,同时依托集团的云平台管理团队,对集团云及其部署的业务实行统一管理和运维。从管理模式来看,T集团属于典型的“总部集约式”管理,但基于其业务特点,同样存在着较为复杂的微隔离管理权限划分需求。
首先,随着医疗服务模式的转变,集团下属各医院的业务系统间需进行频繁的数据共享及调用,而利用“虚拟中心”进行组织间“硬分割”的方案,将给跨部门的策略设定和管理带来极大不便。另一方面,集团的业务运维团队分为不同的运维小组,各自负责一类业务系统,而同一类业务系统又独立部署运行于集团下属的不同单位(例如集团内每家医院均需独立部署运行其专属的HIS系统),因此各运维小组需实现跨部门的微隔离策略管理权限。
基于以上需求,T集团利用微隔离系统配套的“分组管理”应用,实现了跨部门、分业务的微隔离管理权限分割。“分组管理”是面向大型云平台实施精细化微隔离策略管理的配套系统,其通过定义不同管理员的“角色”和“资产集”,实现针对不同业务资产的多种管理权限设定。
在T集团微隔离实施过程中,首先通过标签的方式,为每个工作负载赋予组织、业务的多维标签,并利用标签化的微隔离策略,实现组织间、同一组织业务间基础通信和调用流量的白名单放行。
其次,在“分组管理”应用中,为每个运维小组设定不同的管理员账号,并赋予账号对应的“角色”和“资产集”,使得每个运维小组的管理员尽可对权限范围内的业务资产进行连接关系分析和微隔离策略设定操作,从而实现精细化的分组权限设置。
由此,在多维标签和分组管理的双效协同下,微隔离系统完全适应了T集团的业务运维权责划分,规避了系统上线后策略运行的障碍。
在数字化转型持续深化及云计算技术快速迭代的技术背景下,集团云正朝着规模化的方向快步发展,同时展现出了更为复杂的特性。在集团云场景部署落地微隔离,一方面应重点考量其环境适应性、规模化部署的性能支撑,而另一方面则应更深入考虑系统运行阶段与企业既有管理规范的结合。本文介绍的分支自治式和总部集约式的微隔离管理模式,已经通过了用户现网环境的打磨验证,对于集团云用户、超大规模数据中心落地微隔离方案具有借鉴意义。
