Basierend auf dem Datenverkehrsumfang, den Sie zum Zeitpunkt des Starts der Generierung einer Empfehlung ausgewählt haben, wählt die Dienstaufgabe „Empfehlung“ nicht segmentierte Ingress- (eingehend), Egress- (ausgehend) oder anwendungsinterne Datenverkehrsflows von und zwischen den Entitäten des ausgewählten Empfehlungsgrenzwerts aus.

Die Flows werden dann durch den Dienst (Port oder Protokoll) aggregiert, mit dem diese Flows kommunizieren. Die Quellen und Ziele für jeden der Flows für einen bestimmten Dienst werden dann gruppiert. Während der Gruppierung wird versucht, vorhandene Gruppen, die bereits in der Bestandsliste vorhanden sind, basierend auf dem vom Benutzer angegebenen Schwellenwert für das übereinstimmende Verhältnis wiederzuverwenden.

Wenn keine vorhandene Gruppe gefunden wird, die den festgelegten Gruppierungsschwellenwert erfüllen kann, wird eine neue Gruppe erstellt.

Basierend auf dem Wert, den Sie für die Option Regeln erstellen für festlegen, werden bei der Erstellung einer Empfehlungsregel nur die Datenverkehrsflows in einer bestimmten Richtung berücksichtigt. Wenn der Geltungsbereich des Datenverkehrsflows der gesamte Datenverkehr war, eingehend und ausgehend, oder eingehend und innerhalb der Anwendung, dann werden die Datenverkehrsflows in diesen Richtungen aggregiert, um die auf dem Dienst basierende Regel zu bilden.

Nehmen Sie diese Flows, z. B.

  • Begrenzung wird mithilfe von VM1 und VM2 festgelegt

  • Gruppen: CG mit VM1 und VM2 als Mitglieder

  • Gruppen: G3 mit VM3 und VM4 als Mitglieder

  • Angenommener Übereinstimmungsschwellenwert: 50%

Die nicht segmentierten Datenverkehrsflows lauten wie folgt.

  • VM3 zu VM1 über SSH

  • VM1 zu VM2 über SSH

Im Folgenden ist die resultierende Mikrosegmentierungsempfehlung aufgeführt, bei der es sich um eine einzelne Regel für SSH handelt.

Neue Quellgruppe

Zielgruppe

Dienst

Angewendet-auf Gruppe

Gruppe mit VM1 und VM3 als Mitglieder

CG mit VM1, VM2 als Mitglieder

SSH

Gruppen-CG mit VM1 und VM2 als Mitglieder

Wenn die Datenverkehrsflows von außerhalb der konfigurierten Maske privater IP-Adressen stammen, werden die Flows von und zu solchen IP-Adressen, die nicht in der privaten IP-Präfixliste enthalten sind, als „ANY“ markiert.

Beachten Sie die folgenden nicht segmentierten Flows.

  • ANY-Flows zu VM1 über SSH

  • Flows von VM1 zu VM3 über SSH

  • Begrenzung wird mithilfe von VM1 und VM2 festgelegt

  • Die definierte Gruppe ist CG mit VM1 und VM2 als Mitglieder

In diesem Fall werden die eingehenden und ausgehenden Flows bei der Aggregation zu ANY-Flows von VM1 zu VM1 und VM3 über SSH.

Dies führt wiederum zu der folgenden Mikrosegmentierungsregel.

Quelle

Ziel

Dienst

Angewendet auf

ANY

[VM1] in CG, [VM3] in G3

SSH

CG [VM1, VM2]

Hinweis:

Alle Regeln werden immer nur auf die Mitglieder der Empfehlungsgrenze angewendet, die Sie vor dem Generieren der Empfehlung angegeben haben. Die Grundzusammenfassung dient dazu, die Anzahl der Regeln zu reduzieren, die basierend auf dem Dienst entstehen würden.