更新时间:2023-11-23
场景描述
多分支场景一般广泛被采用在集团多分支、连锁商超、连锁门店、连锁营业厅网络建设时候才用的网络架构,一般建设时会考虑统一管理、VPN或者其他数据加密措施以保证分支跟总部业务通信安全。
但不当的多分支的网络架构通常会给资产管理带来额外的负担,比如
- 多分支网络地址规划时,多个分支使用的IP地址段相同,比如分支A使用网段192.168.1.0/24,分支B同样使用192.168.1.0/24,造成无法判断资产来自哪个分支。
- 多分支网络地址规划时,各分支使用不同的IP地址段分支跟总部之间使用snat,总部看到的分支所有的流量中源IP地址都是snat的地址,造成无法区分分支详细资产信息。
- 多分支之间存在业务互访,A分支会识别到B分支的资产,造成资产膨胀问题(本来A分支有100个资产,实际识别到200个资产)。
多分支场景资产治理思路
由于目前组织的网络架构已经采用多分支形式,取消多分支已经不现实,所以需要在多分支场景下实现资产治理。整体的治理思路如下:
- 如果存在多个分支使用相同IP地址段,这种做法本身不符合网络规划规范;长期建议还是通过逐步替换IP地址段实现长远资产持续治理。短期建议可以通过在不同分支之间安装安全产品(EDR、STA)进行资产发现以及资产收集;并且在XDR平台上通过设备进行资产分组。
- 如果各分支使用不同的IP地址段分支跟总部之间使用snat,这种做法会给出现安全事件的溯源工作增加难度,可能无法实现定位到具体受害主机。长期建议取消分支跟总部之间的snat,通过路由实现分支到总部之间的网络访问;短期建议可以通过调整STA探针镜像流量位置,如果有EDR设备情况下,在各分支的资产主机上安装EDR agent实现资产的发现以及管理; 图一 STA探针镜像位置调整图示
- 资产膨胀问题,这种现象会出现的原因是由于分支间存在业务互访,探针在镜像流量的时候会根据流量的源和目的IP进行资产识别,所以导致A分支STA探针设备识别到B分支的资产。这种情况下需要在XDR上对不同分支的STA探针进行选择性入库。
|
资产治理 |
资产定位到人 |
多个分支使用相同IP地址段 |
☑️ |
☑️ |
分支跟总部之间使用snat |
☑️ |
存在限制 |
资产膨胀 |
☑️ |
☑️ |
表1 采用短期治理措施下各场景下资产治理跟资产定位到人能力总结
多分支各场景资产配置步骤
1、存在多个分支使用相同IP地址段场景 ,推荐的资产相关配置步骤如下:
(1)推荐在XDR上通过安全设备创建分组,识别资产是来自哪个分支的,确认资产分组的正确性;如果分支存在多个网段可以根据IP范围创建该资产组下的子资产组,有序进行分组。
详细配置过程如下图所示:
比如分支A有SIP设备以及EDR设备。详细网段为终端部门192.168.3.0/24;服务器部门192.169.4.0/24
在分支A上按IP范围创建资产组,如下图所示
2、各分支使用不同的IP地址段分支跟总部之间使用snat场景,推荐的资产相关配置步骤如下:
(1)调整STA探针流量镜像位置,镜像位置调整成snat之前的位置,以便于STA探针识别资产时可以识别到真正发起网络连接的主机资产IP;
(2)有条件可以在分支的主机资产上安装EDR agent,由于agent具备更强资产指纹采集能力,拥有资产的更多信息更有利于资产持续运营。
只需要根据产品对接手册完成EDR的对接,对接成功后EDR会将终端主机的资产上报到XDR上,由于EDR agent可以采集主机的资产指纹信息,可以采集到主机的IP资产,于是便可以根据IP范围创建资产分组。
比如业务服务器A段,使用192.168.2.0/24,可根据下图指引进行创建对应资产分组。
3、资产膨胀场景,需要结合入库条件(资产上报数据源以及资产组)对分支上报的具体IP范围段进行自动入库,其他资产不入库,推荐的资产相关配置步骤如下:
假设A分支(探针设备名称为STA_001)的资产范围为192.168.1.0/24(资产组名称为资产组A),详细配置过程如下图所示:
B分支(探针设备名称为STA_2_55)的资产范围为192.168.2.0/24(资产组名称为资产组B),详细配置过程如下图所示:
配置完即可实现分支A探针只能上报资产组A中IP范围内的资产入库,分支B探针只能上报资产组B中IP范围内的资产入库,消除资产膨胀。