添加微分段零信任安全性到站点

概览

微分段(主机级分段)通过为主机间的横向移动增加访问控制,保护同一广播域(例如,VLAN)内的流量。 传统网络防火墙通常在第3层操作,因此并不总是检查或阻止VLAN内部(第2层)的流量。

当您在Cato中的Socket站点启用微分段时,该范围的子网掩码被分解为多个/32地址。 该VLAN中的所有主机到主机的流量都被强制发送到默认网关(Socket),在到达目标主机之前,相关的Cato防火墙引擎评估流量。 这迫使共享VLAN的主机间的“东西”流量通过防火墙进行检查和策略执行。

我们建议您使用Socket Next Gen LAN防火墙进行微分段,以提供对设备的最佳内部安全性。

为什么需要它

  • 通过防止同一局域网中主机之间的未经授权的流量来降低风险

  • 获取对第 2 层流量的可见性,以便所有主机与主机之间的通信都符合您的零信任策略

  • 简化分段 - 不需要创建多个 VLAN,你可以在主机级别应用策略规则

微隔离和DHCP配置

微隔离依赖DHCP通过为每个设备分配一个/32地址来执行主机级隔离,并强制所有东西方流量通过Socket进行访问权限策略评估。 您可以使用Cato作为DHCP服务器或通过Cato的DHCP中继集成的第三方DHCP服务器来启用微隔离。

这些是用于微隔离的DHCP配置选项的描述:

  • Cato作为DHCP服务器 - Cato直接在网络范围内分配IP地址到主机。 当微隔离启用时,Cato会自动将/32地址应用于每个DHCP分配,并通过Socket强制执行东西方检查。

  • 使用DHCP中继的第三方DHCP服务器 - 为使用外部DHCP服务器的网络范围启用微隔离,其中Cato配置为DHCP中继。 在此配置中,外部服务器分配IP地址,Cato透明地执行与Cato管理的DHCP相同的/32主机路由和东西方流量检查。 这让您无需更改现有的DHCP基础结构即可应用零信任分段。

注意

注意: DHCP中继支持微隔离需要物理Socket站点运行Socket版本24.0.21570或更高版本。

先决条件

  • 物理 Sockets 节点,版本 v22.x 或更高版本

  • 支持原生范围和 VLAN 网络范围

  • 根据您的安全要求,配置 LAN 或 WAN 防火墙策略以允许覆盖的设备的相关流量

适用于微分段的已验证操作系统

以下操作系统已通过 Cato 验证支持微分段。 在为使用不同操作系统的设备应用微分段之前,我们建议您检查操作系统在您的环境中是否正常运行。

  • Android Samsung Galaxy A24 SM-A245F/DSN

  • BusyBox DHCP 客户端(基于 Linux 18.04.6 LTS Ubuntu Debian 操作系统)

  • iOS 18.3.1

  • Linux 18.04.6 LTS Ubuntu Debian(Bionic Beaver)

  • macOS Apple M4 Pro 15.3.2 (24D81)

  • 打印机 HP LaserJet Pro MFP M428fdn

  • 打印机 Brother 型号 MFC-L2700DW

  • Windows 11

  • Windows 10 ESX VM: Windows 10 Enterprise, 22H2 19045.5608 (64 位操作系统, x64 架构处理器)

  • Windows Server 2022 ESX VM 数据中心, AMD EPYC 7413 24 核处理器 2.65 GHz (64 位操作系统, x64 架构处理器)

  • Windows Server 2019 ESX VM 标准, AMD EPYC 7413 24 核处理器 2.65 GHz (64 位操作系统, x64 架构处理器)

  • Yealink IP 电话 SIP-T23G & SIP-T40G

部署微分段的建议

在确保精准执行限制网络中横向移动的安全策略时,部署微分段可能会扰乱合法的流量。 请遵循以下建议,在您的网络中成功部署微分段。

  1. 逐步在您的账户中启用微分段,首先从一个范围开始。

  2. 由于微分段只有在当前DHCP租约时间结束后生效,并且设备请求新的DHCP IP,因此您应该:

    1. 覆盖账户设置的 DHCP 租约时间,并减少网络范围的 DHCP 租约时间,最小值为 1 分钟。

    2. 当您为整个帐户启用微分段时,临时减少帐户级的DHCP租约时间。 在确认微分段正常工作后,您可以将DHCP租约时间更改回先前的设置。

      注意: 默认的DHCP租约时间为72小时(3天)。

  3. 监控网络范围内设备的影响:

    1. 根据防火墙策略,确认设备可以与账户中允许的实体进行通信。

    2. 验证设备是否具有对互联网资源的完整连接。

      微分段是针对东西Intra-VLAN流量的,应对互联网流量没有影响

  4. 避免非对称路由,确保Intra-VLAN流量通过Socket以对称方式路由。 我们建议被微分段保护的设备使用Cato作为DHCP服务器。

    例如,一个静态 IP 的打印机如果未配置 Cato /32 分配的子网掩码就无法与站点后的其他设备通信。

为网络范围启用微分段

配置新的或现有的网络范围以进行微分段。 此配置为站点中的每个主机施加自动的/32子网掩码分配。 然后复查Socket LAN或WAN防火墙策略,以确认分段流量被允许。

DHCP_Microsegmentation.png

在站点后面为网络范围启用微分段:

  1. 从导航菜单,点击 网络 > 站点 并选择站点。

  2. 从导航菜单,点击 站点配置 > 网络

  3. 点击新建,或者在DHCP 设置列中,点击网络范围。

    IP范围面板打开。

  4. 将网络 类型 设置为支持的范围。

  5. 输入其他网络范围设置,例如:VLAN, 子网 等。

  6. 定义DHCP配置:

    • 要使用Cato作为DHCP服务器:

      • DHCP 类型 设置为 DHCP 范围,然后输入此 DHCP 范围 的主机 IP 地址范围。

    • 配置使用DHCP中继的第三方DHCP服务器:

      1. 设置 DHCP类型 为 DHCP中继

      2. 在 DHCP中继组中,选择此网络的DHCP中继组。

        有关DHCP中继组和将Cato配置为DHCP中继的更多信息,请参见将Cato配置为DHCP中继

  7. 选择 基于 DHCP 的微分段

  8. 点击 应用,然后点击 保存

回滚微分段的建议

如果需要回滚并撤销已经在网络中部署的微分段,请遵循这些建议以尽量减少对网络的影响。

  1. 逐步在您的账户中禁用微分段,首先从一个范围开始。

  2. 由于禁用微分段只有在当前DHCP租约时间结束后生效,并且设备请求新的DHCP IP,因此您应该:

    1. 覆盖账户设置的 DHCP 租约时间,并减少网络范围的 DHCP 租约时间,最小值为 1 分钟。

    2. 当您为整个帐户禁用微分段时,临时减少帐户级的DHCP租约时间。 在确认微分段正常工作后,您可以将DHCP租约时间更改回先前的设置。

      注意: 默认的DHCP租约时间为72小时(3天)。

已知限制

  • 对于基于 Linux 的系统,启用微分段不会在已连接两个路由器的情况下为默认网关创建路由条目。

    有关解决方法的更多信息,请参阅此 文章

这篇文章有帮助吗?

2 人中有 2 人觉得有帮助

0 条评论