云管平台SCP

深信服云计算平台(Sangfor Cloud Platform)向下统一管理多数据中心、向上以服务目录的形式提供laas、Paas、大数据服务,为用户提供省时省事、平滑弹性、安全可靠、业务承载丰富的云计算集成平台,助力企业数据中心云化演进。
点击可切换产品版本
知道了
不再提醒
SCP 6.10.0(R1)
{{sendMatomoQuery("云管平台SCP","微隔离策略")}}

微隔离策略

更新时间:2024-05-09

功能说明

大规模业务部署场景下,为了避免虚拟机之间的访问权限开放过大造成业务主机被入侵、数据丢失、数据泄露等安全事件,往往需要对各个业务系统进行细粒度的访问权限控制。微隔离策略可以根据30天内的业务应用访问关系自动生成业务拟机之间的访问控制策略。帮助运维人员更快速、轻松地梳理访问关系,配置控制策略。策略生成后,提供可视化的预发布效果预览,帮助用户识别策略错配或者漏配,通过预发布快速验证与调整,确保不对业务造成影响。同时策略生效后,持续监控业务访问情况,当业务出现访问异常时主动进行告警,帮助运维人员定位访问控制策略错配问题,及时恢复应用访问。

注意事项

  1. 平台需要学习一段时间的业务访问流量,才可以进行分布式防火墙策略推荐。
  2. NAT场景,因NATIP可能无法对应到真实的虚拟机,导致推荐的策略不准。
  3. DNS场景,当域名转换的IP发生变化后,会断网。因为流量是按IP上报的,新的IP没有学习到流量,会被封堵。
  4. DFW本身不支持的场景,微隔离策略推荐也不支持。
  5. 预发布策略只能在流可视上看到,用户自己看不到。scp场景,集群异常离线后,上面的预发布策略会存在残留
  6. 虚拟机变更分组,或从分组中删除后,分组级别的流量视角无法及时同步变更,只能更新虚机到虚机的流量线。任何涉及分组的流量视角,都无法在虚机分组变更的第一时间更新,需要等待新的流量。
  7. 低版本升级到6X0后,由于网络域id缺失,会导致网络拓扑查询时,其他分组与当前展开分组的访问关系拓扑失效
  8. 升级后690的外网中包含部分6100的符合内网定义数据数据,全部作为外网展示(反之内网也是如此)

操作步骤

  1. 创建策略:进入[网络可视化]页面,点击策略生成器,会根据30天内的业务应用访问关系自动生成业务虚拟机之间的访问控制策略。帮助运维人员更快速、轻松地梳理访问关系,配置控制策略。

  1. 策略审核验证:策略生成后,提供可视化的预发布效果预览,帮助用户识别策略错配或者漏配,通过预发布快速验证与调整,确保不对业务造成影响。

  1. 异常访问预警:策略生效后,持续监控业务访问情况,当业务出现访问异常时主动进行告警,帮助运维人员定位访问控制策略错配问题/风险访问,及时介入进行进一步的分析排查