Tungsten Fabric架構解析丨TF基於應用程式的安全策略

TF中文社群發表於2020-02-13
架構

Hi!這裡是Tungsten Fabric架構解析內容的最後一篇,介紹TF基於應用程式的安全策略。Tungsten Fabric架構解析系列文章,由TF中文社群為你呈現,旨在幫助初入TF社群的朋友答疑解惑。我們將系統介紹TF有哪些特點、如何運作、如何收集/分析/部署、如何編排、如何連線到物理網路等話題。


常規防火牆策略包含基於單個IP地址或子網範圍的規則。在任何規模的資料中心中,這都會導致防火牆規則的激增,這些規則在建立時難以管理,在故障排除時也難以理解。
 
這是因為伺服器或VM的IP地址與應用程式、應用程式所有者、位置或任何其他屬性無關。例如,考慮一個擁有兩個資料中心並在開發和生產中部署三層應用程式的企業,如下圖所示。


在該企業中,要求每層應用程式的每個例項只能與同一例項中的下一層例項通訊。如圖所示,這需要針對每個應用程式例項的單獨的策略。
 
在解決問題時,管理員必須知道IP地址和應用程式例項之間的關係,並且每次部署新例項時,都必須編寫新的防火牆規則。

應用標籤


Tungsten Fabric控制器支援基於標籤的安全策略,可應用於專案、網路、vRouters、VM和介面。
 
標籤在物件模型中,傳播到應用了標籤的物件中包含的所有物件,並且在包含層次結構的較低階別應用的標籤,優先於在較高階別應用的標籤。標籤具有名稱和值。許多標籤名稱作為Tungsten Fabric釋出版本的一部分。
 
下表顯示了標籤型別的典型用途:

ab35f5f8-121a-4751-8373-1af9f1adc944-image.png

如表中所示,除了Tungsten Fabric提供的標籤型別之外,使用者還可以根據需要建立自己的自定義標籤名稱,並且有一個_label _type標籤,可用於更精細地調整資料流。

建立應用程式策略


應用程式策略包含基於標記值和服務組的規則,這些值是TCP或UDP埠號的集合。
 
首先,安全管理員為應用程式堆疊分配型別為_application _的標籤,併為應用程式的每個軟體元件分配型別為_tier _的標籤。 如下圖所示。
 

在此示例中,應用程式被標記為FinancePortal _,層被標記為_web,app_和_db。 Service組已為進入應用程式堆疊以及每一層之間的流量建立。
 
然後,安全管理員建立一個名為_Portal-3-Tier _containing規則的應用程式策略,該策略將僅允許所需的流量。
 
接下來,應用程式策略集與應用程式標記_FinancePortal關聯,幷包含應用程式策略_Portal-3-Tier。
 
此時,可以啟動應用程式堆疊,並將標籤應用於Tungsten Fabric控制器中的各個VM。 這會導致控制器計算需要將哪些路由傳送到每個vRouter以強制執行應用程式策略集,並將這些路由傳送到每個vRouter。
 
如果每個軟體元件都有一個例項,則每個vRouter中的路由表如下:
 
9a763227-8a7e-4f68-a382-efe15ce2e581-image.png
 
網路和虛擬機器在這裡被命名為它們所在的層。 實際上,實體名稱和層之間的關係通常不會那麼簡單。
 
從表中可以看出,路由僅啟用應用策略中指定的流量,但此處基於標籤的規則已轉換為vRouter能夠應用的基於網路地址的防火牆規則。

控制部署之間的流量


成功建立應用程式堆疊之後,讓我們看一下建立堆疊的另一個部署時會發生什麼,如下所示。
 

原始策略中沒有任何內容阻止流量在一個部署中的層之間流動到另一個部署中的層。
 
可以透過以下方式來修改此行為: 使用_deployment _tag標記每個堆疊的每個元件,並在應用程式策略中新增_match _condition來允許流量僅在部署標籤匹配時才在層之間流動。
 
更新後的政策如下所示:
 

現在,流量符合嚴格的要求,即流量僅在同一堆疊內的元件之間流動。

更高階的應用程式策略


透過應用不同型別的標籤,可以將安全策略應用於多個維度,所有這些都可以在單個策略中應用。
 
例如,在下圖中,單個策略可以根據站點對單個堆疊內的流量進行分段,但允許在站點內共享資料庫層。
 

如果在相同的站點和部署組合中部署了多個堆疊,則可以建立例項名稱的自定義標籤,並且可以使用例項標籤上的匹配條件來建立所需的限制,如下圖所示。

Tungsten Fabric中的應用程式策略功能提供了一個非常強大的實施框架,同時可以顯著簡化策略並減少其數量。



  ·END·
至此,Tungsten Fabric Carbide 架構解析系列文章連載完畢,往期回顧——

  第一篇: TF主要特點和用例
  第二篇: TF怎麼運作
  第三篇: 詳解vRouter體系結構
  第四篇: TF的服務鏈
  第五篇: vRouter的部署選項
  第六篇: TF如何收集、分析、部署?
  第七篇: TF如何編排
  第八篇: TF支援API一覽

  第九篇: TF如何連線到物理網路

關注微信:TF中文社群



來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69957171/viewspace-2675500/,如需轉載,請註明出處,否則將追究法律責任。

相關文章