然后是策略建设
时间:2022-03-22 11:36:01 | 来源:行业动态
时间:2022-03-22 11:36:01 来源:行业动态
了解了业务的构成,下一步就是设计策略了。不过那又该怎么做呢,是不是点开每一条线,看看源和目的的地址和端口,然后到主机上去写防火墙规则呢?如果这么搞,那就又掉进了一个深不见底的大坑了。你能想象在一个几千台虚拟机,虚拟机之间有十几种通信关系的私有云内用这种方法设计策略么?
在这个阶段,一个合格的微隔离管理平台,应该做到两件事情,一个是自学习交互式创建,一个是去ip化的策略表达。
一般来说,微隔离平台通过业务学习,已经了解到全部必要的信息,这个时候可以通过交互式的方式来创建策略,比如你选定一组虚拟机,告诉平台说,现在看到的所有虚拟机间的通信都是可信的,请为我创建策略,那么微隔离平台应该可以自动的来创建策略。
而创建出来的策略最好是去ip化的,因为ip在云系统中是一个非常不稳定的参数,经常发生变化,最好可以由更高级更稳定的参数来描述,比如我们的comb平台用的是虚拟机的角色标签来描述安全策略。
另外,我们的策略还能做到策略与策略作用对象脱耦,通过调整策略作用范围,来动态的改变虚机上的安全策略部署。当然,这个不是必须的,不过这可以进一步下降策略总数,提策略运维的效率,我们觉得这样很酷。
在线咨询
