滴定 -更多应用程序映射和策略创建

我们之前曾在 此博客文章 我们将在这篇文章中进一步研究它,以解释该应用程序映射如何用于创建可用于微细分的白名单。

应用地图

借助Tetration,应用程序映射功能可以向我们展示不同的工作负载如何访问服务或某些用户组如何访问应用程序。回到我们之前查看的应用程序图,可以在右侧菜单上选择一个紫色的针,以查看如何从不同群集之间访问该应用程序。例如,如果要查看互联网如何访问某个应用程序,这将是一种轻松查看它的方法。一个用例就是创建一个防火墙规则,并确切地知道允许哪些服务以及在哪些服务器之间。

您可以进行更深入的研究:假设您想了解开发人员如何访问应用程序,可以在此处轻松地对其进行可视化,如下所示。箭头显示它是单向还是双向通信。

植入紫色别针后,该视图显示了如何从较高级别对其进行访问。如果将鼠标悬停在群集上,则可以查看正在访问哪些端口。

单击其应用程序映射中的集群,然后单击 提供 在右侧窗格中,您可以查看负责打开端口的进程。

如果端口位于上图所示的端口中,则表示它们正在被积极使用,而灰色的端口则未被使用。这使您可以轻松便捷地查看哪些服务当前处于活动状态,哪些服务未处于活动状态。

如果您想了解更多详细信息,我们可以在右侧窗格中单击该进程,然后查看启动该进程的用户以及负责启动该进程的命令。

现在想象一下,如果一个用户来了,因为供应商要求他们打开防火墙中的几个端口,Tetration将为管理员提供可视性,以检查这些应用程序正在使用的服务,并查看他们是否确实需要打开这些端口。 滴定 不仅可以查看正在使用的内容,管理员还可以查看应用程序的历史记录,并查看端口是否在指定的时间范围内使用。例如,他们可以看到NTP的端口已在服务器上打开并且进程正在运行,但是整个月内都没有为该端口发送或接收单个数据包,并向用户证明该端口没有无需在防火墙中打开。

白名单政策

一旦Tetration构建了应用程序映射,它将根据该应用程序映射自动构建白名单。

如果单击上面的使用者或提供者之一,则可以在右侧窗格中看到特定的服务器。

读取此策略很简单:根据白名单的第一行,允许uat_haproxydb服务器使用UDP端口53(DNS)和UDP端口123(NTP)与Active Directory进行通信。如果单击端口,则可以在右侧面板中看到更多信息,如下所示。


注意:即使在园区的端点中未安装Tetration软件传感器,Tetration仍然可以从园区中看到与应用程序通信的端点。如果单击策略中的园区提供者,他们将在右侧窗格中看到Tetration检测到的来自园区的端点IP。

以上只是一个例子。通过部署软件传感器并赋予Tetration一个范围,它将自行构建应用程序映射和白名单策略。

建立白名单策略后,仍可以对其进行修改。如果要在白名单策略中添加条目,可以采用两种方法:

违约政策

点击屏幕上的添加默认策略 添加默认策略 按钮。

然后,我们将选择操作,消费者和提供者。在右侧窗格中,我们可以向该策略添加一个或多个服务端口和协议。


绝对政策

第二种选择是以更全局的方式添加策略。例如,如果我们知道SSH在数据中心中被广泛使用,我们可能想要创建一个策略条目,该策略条目将应用于任何数据中心和每个应用程序。为此,可以制定一项全球政策。

为此,请点击 切换应用 屏幕右上角的按钮。应显示新的应用程序工作区屏幕。这是我们可以建立策略的分层模型的地方。


如果我们建立一个从层次结构顶部开始的绝对策略,则它就像Active Directory中的域组策略-它将应用于层次结构中位于其下方的所有内容。

政策观点

该政策的上方视图为对话视图,但我们可以单击 集群 显示集群视图。当Tetration将应用程序映射在一起以创建白名单时,它将自动创建这些群集。

如果我们以后在安装了软件传感器的该应用程序中添加另一台服务器,Tetration将知道将其自动分组到适当的群集中,并应用该群集已经存在的适当白名单策略,只要它具有相同的流程,流量模式和查询。由于Tetration可以将这些工作负载动态地群集在一起,因此管理员不必手动在群集中添加或删除这些服务器。


滴定 对策略有另一种看法,称为和弦图。如果单击策略屏幕上的图表按钮,它将视图切换到和弦图表。


假设我们看到了一个为uat_siwapp_app服务器创建的白名单策略,以便与某些端口上的data_feed服务器通信,并且我们不确定该data_feed集群中是否有一个服务器或多个服务器进行通信。由于Tetration并未在政策屏幕上说明具体情况,而是根据该集群创建了白名单,因此我们可以做两件事:

我们可以单击策略条目,然后单击 查看对话 在右侧窗格中。

通过单击此按钮,Tetration将建立​​对话,因此我们可以看到哪些特定的消费者和提供者进行了交流。

因此,借助Tetration,我们不仅可以过滤群集,还可以分解特定的对话。

查看上述特定对话的另一种方法是再次使用和弦图。执行此操作的方法是返回“策略”屏幕,然后单击图表按钮。

要查看各个流量模式,我们可以将鼠标移到某个群集上以查看端口。

单击群集以选择群集,然后单击放大镜以扩展该群集。

在这一点上,Tetration将其扩展了一些。


现在,Tetration将显示集群中正在与这些对话进行通信的所有单个服务器,当我们将鼠标悬停在集群上时,它将绘制对话。