Fonctionnalités de la stratégie de sécurité

Balises prédéfinies

Vous pouvez choisir des balises prédéfinies en fonction de l’environnement et des exigences de déploiement.

Les balises prédéfinies sont les suivantes :

• Application

• couche applicative

• Déploiement

• Site

• label (une balise spéciale qui permet à l’utilisateur d’étiqueter des objets)

Balisage d’objets

Un utilisateur peut baliser les objets projet, VN, VM et VMI avec des balises et des valeurs pour mapper ses exigences de sécurité. Les balises suivent la hiérarchie du projet, du VN, de la VM et de la VMI et sont héritées dans cet ordre. Cela donne à l’utilisateur la possibilité de fournir des paramètres par défaut pour n’importe quelle balise à n’importe quel niveau. Les stratégies peuvent spécifier leur sécurité en termes de points de terminaison balisés, en plus d’exprimer en termes de préfixe IP, de réseau et de points de terminaison de groupes d’adresses.

Application de la police

Policy application est un nouvel objet, implémenté au moyen de la balise application. L’utilisateur peut créer une liste de stratégies par application à appliquer lors de l’évaluation de l’acceptation du flux. Présentation des stratégies globales et des stratégies de projet. Il existe des stratégies à portée globale, qui peuvent être appliquées globalement à tous les projets, et des stratégies à portée de projet, qui sont appliquées à des projets spécifiques.

Objet de configuration Objet Tag

Chaque objet de balise d’objet de configuration contient :

• tag : l’un des types de balises définis, stocké sous forme de chaîne et d’un ID de 32 bits.

• type de balise : contient la chaîne de type et l’ID (les 16 premiers bits de la balise) et les références au type de ressource de balise

Chaque valeur saisie par l’utilisateur crée un ID unique qui est défini dans le champ tag_id. Le système peut avoir jusqu’à 64 millions de valeurs de balises. En moyenne, chaque balise peut avoir jusqu’à 2k valeurs, mais il n’y a aucune restriction par balise.

Les balises et les étiquettes peuvent être attachées à n’importe quel objet, par exemple, projet, VN, VM, VMI et stratégie, et ces objets disposent d’une liste de références de balises pour prendre en charge plusieurs balises.

RBAC contrôle les utilisateurs autorisés à modifier ou à supprimer les balises jointes. Certaines balises (généralement des faits) sont attachées par le système par défaut ou au moyen d’une introspection.

Objet de configuration de groupe d’adresses

Il existe plusieurs façons d’ajouter une adresse IP à un groupe d’adresses.

• Ajoutez manuellement des préfixes IP au groupe d’adresses au moyen de la configuration.

• Étiquetez une charge de travail avec l’étiquette spécifiée par le groupe d’adresses. Tous les ports étiquetés avec la même étiquette sont considérés comme faisant partie de ce groupe d’adresses.

• Utilisez des charges de travail d’introspection, basées sur certains critères, pour ajouter ip-address au groupe d’adresses.

Objet de configuration de groupe de services

Configuration

Le groupe de services contient une liste de ports et de protocoles. Le groupe de services open stack contient une liste d’objets de service ; L’objet Service contient les attributs suivants : ID, Name, Service Group ID, Protocol, source_port, destination_port, icmp_code, icmp_type, Timeout, Tenant ID.

Agent

L’agent récupère l’objet service-group tel qu’il est désigné dans une règle de stratégie. L’agent utilise ce groupe de services lors de l’évaluation de la stratégie.

Objet de configuration Application-policy-set

L’objet de configuration application-policy-set peut faire référence à une balise de type application, network-policy objects et firewall-policy. Cet objet peut être local (projet) ou de portée globale.

Lorsqu’une balise d’application est attachée à un objet application-policy-set, les stratégies référencées par cet objet sont automatiquement appliquées aux ports qui ont la même balise d’application.

Toutes les stratégies de pare-feu référencées par les objets application-policy-set sont classées à l’aide de numéros de séquence. Si la même balise d’application est attachée à plusieurs ensembles de stratégies d’application, tous ces ensembles s’appliquent, mais l’ordre entre ces ensembles n’est pas défini.

Un ensemble de stratégies d’application (appelé default-policy-application-set) a la particularité d’appliquer par défaut les stratégies auxquelles il fait référence sont appliquées à toutes les interfaces, après l’application des stratégies référencées à d’autres ensembles de stratégies d’application.

Dès que la balise d’application d’un objet s’affiche, les stratégies associées sont envoyées à l’agent. L’agent utilisera ces informations pour connaître la liste des stratégies à appliquer et leur séquence lors de l’évaluation du flux. L’utilisateur peut attacher une balise d’application aux objets autorisés (projet, VN, VM ou VMI).

Objet de configuration de gestion des stratégies

La gestion des stratégies est un objet conteneur global pour toutes les configurations liées aux stratégies.

L’objet de gestion des stratégies contient

• politiques réseau (NP)

• stratégies de pare-feu (FWP)

• applications-policy-sets

• objets global-policy

• objets global-policy-apply

• NPs : liste des objets de stratégie Contrail Networking

• PFE : liste des nouveaux objets de stratégie de pare-feu

• Application-policies - Liste des objets Application-policy

• Global-policies : liste des nouveaux objets de stratégie de pare-feu, définis pour l’accès global.

• Global-policy-apply : liste des stratégies globales dans une séquence, et ces stratégies appliquées lors de l’évaluation de flux.

• Les références aux politiques réseau (NP) sont disponibles, telles qu’elles sont aujourd’hui.

Objet de configuration de la stratégie de pare-feu

Firewall-policy est un nouvel objet de stratégie qui contient une liste d’objets firewall-rule et un indicateur audité. Selon l’utilisation, la stratégie de pare-feu peut être portée à un projet ou à l’échelle globale. Inclut un indicateur booléen audité pour indiquer que le propriétaire de la stratégie a indiqué que la stratégie est auditée. La valeur par défaut est False et devra être explicitement définie sur True après révision. Génère un événement de journal pour audité avec l’horodatage et les détails de l’utilisateur.

Objet de configuration Firewall-rule

Firewall-rule est un nouvel objet de règle, qui contient les champs suivants. La syntaxe est de donner des informations sur leur mise en page à l’intérieur de la règle.

• <numéro de séquence> Il existe un numéro de séquence d’objet de chaîne sur le lien entre les objets firewall-policy et firewall-policy-rule. Le numéro de séquence détermine l’ordre dans lequel les règles sont appliquées.

• [< id >]

  Uuid

• [nom < nom >]

  Nom unique sélectionné par l’utilisateur

• [description < description >]

• Public

• {permis | refus}

• [ protocol {< nom_protocole > | any } destination-port { < plage de ports > | any } [ source-port { < plage de ports > | any} ] ] | < nom de groupe de services >

• point de terminaison-1 { [préfixe < IP > ] | [réseau virtuel < vnname >] | [address-group < nom du groupe >] | [tags T1 == V1 && T2 == V2 ... && Tn == Vn && label == nom de l’étiquette...] | n’importe lequel}

• { -> | <- | <-> }

  Spécifie le sens de connexion. Toutes les règles sont orientées connexion et cette option donne la direction de la connexion.

• point de terminaison-2 { [préfixe < IP > ] | [réseau virtuel < vnname >] | [address-group < nom du groupe >] | [tags T1 == V1 && T2 == V2 ... && Tn == Vn && label == nom de l’étiquette...] | any }

  Les balises au niveau des points de terminaison prennent en charge une expression de balises. Nous ne prenons en charge que les opérateurs '==' et '&&'. L’utilisateur peut également spécifier des étiquettes dans le cadre de l’expression. L’objet de configuration contient la liste des noms de balises (ou global :tag-name dans le cas de balises globales) pour les points de terminaison.

• [ match_tags {T1 .... Tn} | aucune} ]

  Liste des types de balises ou aucune. L’utilisateur peut spécifier une correspondance avec la liste des balises ou aucune. Correspondre à la liste des balises signifie que les valeurs des balises source et de destination doivent correspondre pour que la règle prenne effet.

• [ journal | miroir | alerte | activer | supprimer | rejeter | supprimer ]

  Actions complexes

• { activer | désactiver }

  Indicateur booléen pour indiquer que la règle est activée ou désactivée. Facilite la désactivation sélective des règles, sans supprimer la règle de la stratégie. La valeur par défaut est True.

• Filtre

Ajout de stratégies de sécurité

1. Pour ajouter une stratégie de sécurité, accédez à Configurer > stratégies de sécurité > globales. Dans l’angle supérieur droit, cliquez sur le bouton Assistant de stratégie de pare-feu. L’Assistant Stratégie de pare-feu s’affiche et vous permet de créer votre nouvelle stratégie de pare-feu en ajoutant ou en sélectionnant un jeu de stratégies d’application. Reportez-vous à la figure 1.

   Figure 1 : assistant de stratégie de pare-feu

2. Cliquez sur le grand + sur l’écran Assistant de stratégie de pare-feu pour afficher la fenêtre Jeux de stratégies d’application . Les jeux de stratégies d’application existants s’affichent. Reportez-vous à la figure 2.

   Figure 2 : Ensembles de stratégies d’application

3. Pour créer une stratégie de pare-feu, cliquez sur l’ensemble de stratégies d’application dans la liste à laquelle la nouvelle stratégie de pare-feu appartiendra. La fenêtre Modifier les jeux de stratégies d’application s’affiche et affiche un champ pour la description du jeu de stratégies sélectionné et répertorie les stratégies de pare-feu associées au jeu. Reportez-vous à la Figure 3, où HRPolicySet a été sélectionné.

   Figure 3 : Modifier les ensembles de stratégies d’application

4. Pour afficher toutes les stratégies de pare-feu, cliquez sur le lien Jeux de stratégies d’application dans la partie gauche.

   Reportez-vous à la figure 4.

   Figure 4 : toutes les stratégies de pare-feu

5. Sélectionnez n’importe quelle stratégie de pare-feu répertoriée pour afficher ou modifier les règles associées à cette stratégie. Reportez-vous à la figure 5, où toutes les règles d’AdminPolicy sont répertoriées. Utilisez les menus déroulants de chaque champ pour ajouter ou modifier des règles de stratégie, et utilisez les icônes + et - à droite de chaque règle pour ajouter ou supprimer la règle.

   Figure 5 : règles de stratégie de pare-feu

Gestion des balises de stratégie

Vous pouvez utiliser l’interface utilisateur Web de Contrail pour créer et gérer les balises utilisées pour donner un peu de granularité aux stratégies de sécurité. Vous pouvez avoir des balises globales, applicables à l’ensemble du système, ou des balises de projet, définies pour des utilisations spécifiques dans des projets spécifiques.

1. Pour gérer les balises de stratégie, accédez à Configurer les balises > > les balises globales. La fenêtre Tags (Balises ) s’affiche et répertorie toutes les balises utilisées dans le système, ainsi que les réseaux virtuels, les ports et les projets associés à chaque balise. Les balises sont d’abord définies par type, par exemple application, déploiement, site, niveau, etc. Reportez-vous à la figure 6.

   Figure 6 : Balises

2. Vous pouvez cliquer sur n’importe quelle balise répertoriée pour voir les règles auxquelles la balise est appliquée. Reportez-vous à la Figure 7, qui montre les balises d’application appliquées aux ensembles d’applications actuels. Vous pouvez également accéder à cette page à partir de Configurer > sécurité > stratégies globales.

   Figure 7 : affichage des balises d’application

Affichage des stratégies globales

Dans Configurer > stratégies de sécurité > globales, en plus d’afficher les stratégies incluses dans les jeux de stratégies d’application, vous pouvez également afficher tous les politiques de pare-feu, toutes les stratégies de groupes de services et toutes les stratégies de groupes d’adresses.

1. Pour afficher et gérer le politiques de pare-feu global, dans Configurer la sécurité > > Stratégies globales, cliquez sur l’onglet Stratégies de pare-feu pour afficher les détails de la politiques de pare-feu système (voir Figure 8)

   Figure 8 : stratégies de pare-feu

2. Pour afficher et gérer les stratégies des groupes de services, dans Configurer la sécurité > > Stratégies globales, cliquez sur l’onglet Groupes de services pour afficher les détails des stratégies système pour les groupes de services ( voir Figure 9).

   Figure 9 : Groupes de services

Visualisation des groupes de trafic

Utilisez Surveiller la sécurité > > les groupes de trafic pour explorer des représentations visuelles de la façon dont les stratégies sont appliquées aux groupes de trafic. Reportez-vous à la Figure 10, qui est une représentation visuelle du trafic source et de destination au cours de la dernière heure d’un groupe de trafic nommé Groupes de trafic. Le cercle extérieur représente le trafic associé à une application, un déploiement ou un projet. Le cercle intérieur représente le trafic balisé avec le niveau. Le centre du cercle indique l’origine et la destination du trafic.

Vous pouvez cliquer sur sur le côté droit de l’écran pour obtenir des détails sur les règles de stratégie qui ont été mises en correspondance par le trafic sélectionné. Reportez-vous à la figure 11.

Vous pouvez cliquer sur le côté droit de l’écran pour accéder à la fenêtre Paramètres , où vous pouvez modifier le type d’affichage et modifier les éléments qui apparaissent dans la représentation visuelle. Reportez-vous à la figure 12.

Vous pouvez cliquer sur le nom d’une stratégie qui a été mise en correspondance pour afficher les statistiques de point de terminaison, y compris les balises source et les balises distantes, du trafic actuellement représenté dans le visuel. Reportez-vous à la figure 13.

Vous pouvez cliquer plus profondément sur n’importe quelle statistique liée pour afficher plus de détails sur cette statistique (voir les figures 15 et 15).

Vous pouvez modifier les paramètres des statistiques affichées dans chaque groupe de trafic sur l’écran Paramètres des groupes de trafic (voir Figure 16).