云上東西向流量安全設計
概述
背景介紹
隨著企業業務規模擴大與網絡升級,現代大型企業20%的流量涉及內外網之間的數據交換,而高達80%流轉于內網之間數據交換。一旦攻擊者繞過了Internet邊界防御,便能在內網肆虐。因此,有效管控內網的東西向流量成為關鍵挑戰。
以往,傳統數據中心的主流做法是部署大量的安全設備組建一個安全域來實現企業系統的安全防護和訪問控制,網絡流量需要按照業務邏輯和安全防護等級穿過安全域內的不同設備,這就是所謂的服務鏈(Service Chain)。現今,這一策略需延伸至云端環境,確保公共云上部署的實例、容器或微服務之間的互訪流量延續相同的安全策略。例如,同地域內的不同VPC、VPC與本地數據中心之間,流量均需通過安全產品實現基于規則的檢測和防護,強化內網安全,抵御潛在威脅。
基本概念
專有網絡VPC:VPC是用戶基于阿里云創建的自定義私有網絡, 不同的專有網絡之間邏輯隔離,用戶可以在自己創建的專有網絡內創建和管理云產品實例,比如ECS、SLB、RDS等。
云企業網CEN:云企業網可幫助您在不同地域VPC之間、VPC與本地數據中心間搭建私網通信通道,實現同地域或跨地域網絡互通;同時,云企業網支持在地域內定義靈活的互通、隔離、引流策略,幫助您打造一張靈活、可靠、大規模的企業級全球互聯網絡。
轉發路由器TR:轉發路由器TR提供連接網絡實例、添加自定義路由表、添加路由條目、添加路由策略等豐富的網絡互通和路由管理功能。
云防火墻:云防火墻是一款云平臺SaaS化的防火墻,可針對您云上網絡資產的互聯網邊界、VPC邊界及主機邊界實現三位一體的統一安全隔離管控,是業務上云的第一道網絡防線。
設計原則
彈性能力:當發生內網東西向流量突增時(比如數據同步或者遷移場景),設計架構可以在客戶無需操作的情況下進行彈性擴容,盡量做到業務無損。
可持續架構:隨著客戶云上業務規模的發展,需要在整體架構不變的情況下的支持更多的VPC、路由條目以及安全規則。
使用托管服務:更多地采用云原生的產品,有助于更充分地利用資源,從而減少因自建組件導致的云資源浪費和運維負擔。
設計關鍵點
穩定性
為了提高整體架構的穩定性,在開通TR時需要至少選擇兩個可用區進行部署,實現跨可用區容災。后端應用服務器部署在不同可用區的不同交換機內,以提升整體架構的跨可用區容災的高可靠性。
使用高速通道經過物理專線連接阿里云POP點和本地IDC時,推薦采用雙專線接入雙阿里云POP點,雙專線盡量采取不同物理路由/專線供應商,以保證業務穩定性。
高速通道專線互聯建議采用BGP協議并開啟BFD功能,保證單根專線出現故障時可完成線路倒換和路由快速收斂。
安全
部署單獨的安全VPC作為云防火墻的引流VPC,該VPC作為獨立的安全組件存在,注意不要部署其他業務資源。
在TR上通過可信流量/不可信流量兩張路由表將整體網絡切成兩個不同的平面,通過云防火墻實現整體的東西向流量訪問策略的集中化控制。
性能
綜合考慮業務時延、安全容災等多方面因素,對云資源和產品部署的可用區進行選擇。盡量實現ECS、RDS、TR、云防火墻產品部署在相同的主備可用區,降低跨可用區繞行帶來的網絡延時增加。專線接入點也應盡量靠近云資源所在的可用區。
彈性
VPC、TR、云防火墻均提供在一定容量范圍內的自動彈性能力,如果有大帶寬的需求(例如單TR實例轉發能力超過100G),請提前聯系阿里云技術支持人員。
高速通道物理端口不支持彈性擴容,需要根據業務帶寬規模進行提前規劃。
可觀測
網絡智能服務NIS支持對網絡流量進行健康分析、性能監控、診斷修復、流量分析和測量仿真的云服務,通過集成機器學習、知識圖譜等AIOps方法減少網絡使用復雜性,提供自助運維能力,方便網絡架構師和運維工程師更快捷地設計和使用網絡。
TR和VPC均支持通過流日志將業務流量進行記錄輸出并實現流量的詳細分析。云防火墻自動記錄所有流量,并通過可視化日志審計頁面提供便捷的攻擊事件、流量細節和操作日志查詢功能,使得攻擊溯源和流量審查變得簡單快捷。
設計最佳實踐
企業客戶可以結合使用TR和云防火墻,實現云上內網東西向流量的安全監控、訪問控制、實時入侵防御,提升內網安全。通過配置TR與VPC邊界防火墻之間的互訪路由,實現VPC邊界防火墻對云企業網TR連接的VPC之間的所有流量進行防護。
基于TR提供的多張路由表能力,支持建立可信流量(防火墻處理后)和不可信流量(防火墻處理前)等不同路由表隔離網絡流量。
設置業務VPC1和業務VPC2,綁定TR的不可信路由表,內網流量到達TR后會通過該路由表發送到安全VPC。
設置安全VPC,部署云防火墻進行內網流量異常檢測和安全防護,綁定TR的可信路由表。
當業務VPC1需要訪問業務VPC2或者通過VBR訪問本地IDC時,流量會先經過TR的不可信路由表轉發到安全VPC,由云防火墻處理后將流量送回到TR,通過TR的可信路由表轉發到正確的目的地。
應用場景介紹
企業等保合規場景:滿足國家法律法規及行業監管要求,避免將重要網絡區域部署在邊界處,重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段。部署TR和云防火墻架構實現東西向訪問的網絡流量分析、全網流量可視化、對主動外聯行為的分析和阻斷、開通或變更白名單策略。
混合云安全防護場景:通過在云上構建安全網絡架構,檢測通過專線流入/流出云的流量,形成體系化的混合云邊界防護架構,通過流量的入云/出云檢測,降低云上VPC和本地IDC的內網安全風險。
云上業務間安全場景:統一管理云上不同業務之間的東西向微隔離策略,達到協議、端口、地域、應用級訪問控制粒度,防止云上資源發生安全事件后在內網橫向蔓延,減小因安全事件所帶來的業務影響面。
Terraform參考
云上東西向流量安全設計
項目 | 說明 |
Terraform Module官網地址 | |
Github 地址 | |
示例地址 |
代碼流程:
創建2個業務VPC和1個安全VPC及其交換機。
創建CEN和TR,通過TR-attachment把VPC加入CEN中。
配置TR多路由表實現向安全VPC的引流和流量防護后的回注。
需要創建的實例如下:
3個VPC
7個交換機
1個CEN
1個TR