互联网行业网络安全典型案例分享-Palo Alto Networks张玉山
互联网行业特点及需求分析
业务流量大
- OA人员多,开放式管理,网络环境复杂
- IDC业务流量大,小包多/长连接
- 出海需求普遍,多海外出口
分支多,网络复杂
- 大规模迅速的业务扩张,面临着多分支安全接入的挑战
- 分支机构众多,需要成熟、稳定便于管理的VPN(GPCS)/SDWAN互联技术
- 企业内部安全灵活互联
- 双活数据中心,避免单点故障,解决异步路由
云化
- 私有云/Contain Security
- 公有云/GPC AWS Azure Ali Cloud
- SaaS应用
运维挑战
- 自动化运维护,API自动化脚本
- 分支设备”0”维护
- 大规模、分散的分支给统一管理带来难题
出海及多分支部署-SDWAN & SASE
传统SD-WAN面临的挑战
- 安全性的降低:安全性低于标准或未集成,降低了安全性
- 性能不可靠:将互联网用作WAN骨干并不可靠
- 增加了复杂性 :多品牌多厂商的集成非常复杂
来自Palo Alto Networks的安全SD-WAN
- 业界领先的安全,一致的分支核心政策
- 端到端的高性能
- 简单的管理和要应用
SD-WAN部署架构
可单独部署以下三种方式,也可以混合部署
- Full Mesh区域规模:不需要Hub
- DIY Hub and Spoke分布式组织:建立自己的Hub
- Cloud 全球组织:SD-WAN Prisma Access服务
Zero Trust & SASE
- Beyond Corp提供移动化接入架构理念
- ZTX提供零信任安全模型理念
- 安全访问服务边界,即Secure、Access、Service、Edge
Prisma Access-基于Zero Trust的SASE解决方案
- 基于Zero Trust方法论对接入的边缘设备总是验证识别,并实现边缘设备和服务之间的无缝安全访问
- 实现分支机构、办公人员弹性、安全的就近接入
- 通过Panaroma集中的管理,提供一致的安全策略
多出口,异地双活数据中心
多OA机房区域出口
- 机房异地,PA NGFW相连路由器采用ECMP,在PA端解决异步路由问题,HA1、HA2、HA3跨区域互联(HA1和HA2做session同步,HA3传输异步流量)
- 采用4台设备做成Cluster来解决(每个机房部署2台PA设备,4台做session同步)
- 公共NAT IP需要能够通过两个DC进行路由
安全能力平行扩展-HA扩展
同城异地数据中心
- 跨数据中心会话保持
- DC扩展及冗余
厂商中心的会话分发机制
- 性能平行扩展,突破传统集群的性能瓶颈
- 三层或者透明模式、物理机和虚拟机
- 所有故障场景下都可实现会话保持(L3-4层会话同步),通过专用HA4链路同步会话
IPsec职场互联作为专线备份
- 多职场,内部通过专线互联(Inside)
- IPsec作为备份链路(Internet)
- 通过PBR+Path Monitoring实现链路探测功能(自动探测相邻交换机链路状态和远端路径上的变化情况),在PA NGFW上自动切换路由
多线路出口
- 正常业务流量去往联通(流量大,性价比高)
- 特殊流量去往电信(延迟小,质量要求高)
- IPv6去往XXX(满足不同业务需求)
- 联通 电信 双联路互备(保证业务的连续性)
- 自动链路探测,路由自动删除
自动化防御和自动化运维
自动化防御(拿来即用)
- 和威胁情报系统(AF或第三方)联动
- 主要通过外部动态列表(EDL)实现
- 安全策略不变,但动态对象在变
- 支持STIX/TAXII行业标准
自动化运维(需要开发)
- 通过API进行底层协同
- Network、Application等对象变更
- 安全策略变更
- 防护功能联动
安全情报及自动化防御
- 沙箱/动态分析的结果自动生成攻击签名,5分钟反病毒,C2、恶意DNS、URL库更新
- API用动态黑名单的方式更新恶意IP、URL、域名
- 采用API更新动态黑名单或者添加白名单
借助XSOAR平台进行安全自动化运维
挑战
- 每周处理大量防火墙策略变更请求
- 实施规范的创建原则,保持防火墙策略的组织性
- 审核审批流程和变更管理的跟踪
- 跨多个防火墙协调更改
某司真实使用场景(XSOAR)
- 针对随时出现的恶意网址和钓鱼网站进行自动化防火墙屏蔽
- 针对用户因工作目的需要访问的已被防火墙屏蔽的威胁网址做自动化加白
- 针对随时出现的攻击,自动化的通过防火墙进行防御
- 针对误报误拦的签名自动化的加白修改
- 办公职场带宽拥挤后自动启用NGFW带宽控制功能,保障企业远程办公等核心业务可用性
计划
- 变更记录与管理,变更可查可回溯
- 与企业内部沟通工具飞书整合
- 针对防火墙策略自动化配置
- 对于其他安全工具产生的报警,可自动化的配置防火墙进行防御
- 与其它安全工具整合(如Splunk,赛门铁克)
本文作者:
yd0ng
本文链接: https://yd0ng.github.io/2021/01/09/%E4%BA%92%E8%81%94%E7%BD%91%E8%A1%8C%E4%B8%9A%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E5%85%B8%E5%9E%8B%E6%A1%88%E4%BE%8B%E5%88%86%E4%BA%AB/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
本文链接: https://yd0ng.github.io/2021/01/09/%E4%BA%92%E8%81%94%E7%BD%91%E8%A1%8C%E4%B8%9A%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E5%85%B8%E5%9E%8B%E6%A1%88%E4%BE%8B%E5%88%86%E4%BA%AB/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
