|
一、文档概述 掌握EDR微隔离的实现过程 掌握EDR微隔离的基本配置。 1.1EDR微隔离的实现方式微隔离(MSS)是一种集中化的流量识别和管理技术。通过MGR下发微隔离策略到终端Agent,可以阻断终端入站、出站的流量,达到隔离保护的目的。功能可以对服务器进行防护,放通必要的业务端口,禁止所有的非必要的端口,提升业务的安全性;同时通过可视化的方式查看到流量隔离状态。 二、操作步骤*演示环境有web与AP两台windows服务器,以禁止Web远程AP的3389端口为例 1.1服务器安装EDRagenta. 浏览器数据输入下载的URL后,将操作系统一致的安装包下载下来。 b. 安装包下载下来后点击运行即可开始安装。 c. 安装完成后可从MGR看到agent在线。 *agent可通过多种方式安装,这里采用浏览器下载后安装。 1.2配置微隔离业务系统打开 EDR 管理平台点击[微隔离]—>[业务系统]。如下图。 点击新增,增加web和AP两个业务系统,系统里面别对应web和AP两台服务器。如下图。 两个业务系统建立完成,如下图。 1.3开启微隔离日志上报和微隔离策略。点击微隔离设置,将微隔离和流量上报勾,如下图。 1.4配置微隔离策略点击[微隔离策略—>[新增],选择对应的源端web与目的端AP,服务选择3389.动作设置为禁止。如下图。 1.5验证微隔离策略是否生效1,通过Web(172.16.37.8)无法与AP(172.16.37.17)的3389端口通信 2,通过VPN拨入则可以正常远程到AP(172.16.37.17)的3389端口。 3,证明微隔离策略生效,拦截Web(172.16.37.8)与AP(172.16.37.17)的3389端口的数据。 现象如下图。 三、操作影响范围 1,从标准版本EDR3.2.13的版本开始,微隔离策略默认为允许。建议在客户允许的情况下开启微隔离策略。 四、注意事项 1,EDR的微隔离策略是从上到下匹配的,可结合实际情况调试策略优先级。 五、FAQ 一、主机上有docker环境和edr的微隔离之间是不是有什么冲突? docker环境业务关联调用iptables,而下EDR下发微隔离策略,会导致agent接管iptables备份清空原iptables内容并写入对应微隔离策略到iptables中,导致业务系统访问异常。 注:除微隔离功能、端口封堵以及终端隔离等也是相同的实现机制,也会影响docker环境业务。 二、微隔离策略的常用场景有哪些? a.保护服务器:只放通必要的业务端口,禁止所有的非必要的端口,提升业务的安全性。
b.防止感染性病毒蔓延:出现感染性病毒时,通过微隔离将所有终端的共享端口以及远程桌面端口进行封堵,防止病毒蔓延。 c.流量可视:能够帮助用户梳理终端之间的流量访问关系及访问记录 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-11-19 11:10