构建云原生环境下东西向流量管理的最佳实践
一
不得不说的云原生隔离性
不断创新的技术带来了一系列好处,例如自动化、敏捷性和效率,提高了公司的生产率。但是,随着新技术的到来,漏洞和安全威胁也随之而来。
集装箱化就是这种情况。尽管容器化已经存在了数十年,但近年来云计算的革命性发展才真正推动了容器化的普及。据估计,现在有超过50%的《财富》100强公司依靠容器化来开发和部署应用程序。
尽管具有所有优点,但是容器化还带有一些漏洞,容器普遍寿命较短,迫切需要加强对容器环境安全性和合规性问题的研究与投入。此外,容器环境在默认配置下,其K8s底层网络是“全连通”的,即在同一集群内运行的所有Pod都可以自由通信。同时,由于容器平台体量巨大、上下线周期短、容器网络外部不可见等原因,平台的东西向网络安全问题往往难以解决。
二
安全狗云隙全面保护容器网络安全
云隙是安全狗打造的自适应微隔离系统,曾多次入选Gartner的相关技术报告。
云隙·自适应微隔离系统
云隙基于CWPP技术方案,主流三种技术路线基础设施隔离\虚拟化层隔离\工作节点Agent隔离,主要采用通过在公有云、私有云、混合云模式下的工作负载安装Agent,采集工作负载之间的网络流量,以可视化展示网络访问关系,实现根据业务需求设置访问控制策略,工作负载支持主机服务器、虚拟主机、容器等节点模式。
在云隙新版本中,可通过主机代理模式(Agent)将容器成功接入管理中心,采用微隔离技术和NetworkPolicy机制,不仅能够识别容器网络,绘制容器之间、宿主机与容器间的业务拓扑,还可以进行安全策略配置,实现容器网络的微隔离,保证网络安全和业务优化。
1
容器网络流量采集
采用链接跟踪(conntrack)技术方案采集容器间的网络流量,基于netfilter实现的conntrack机制以及procfs提供的进程信息分析。conntrack本身并不会对包进行过滤,而是提供一种基于状态和关系的过滤依据,只关注网络流量的基础数据。同时使用procfs提供的进程信息将进程和网络做了一个连接,从而达到所需的监控要求。
通过对进程下网络信息的分析,结合conntrack捕获到的链接数据,就可以将主机下的网络拓扑还原出来,而容器本质上也是宿主机上的一个进程,最终主机栈的网络拓扑和容器栈的网络拓扑都可以被分析出来。
2
容器网络流量可视化
通过资产采集采集容器资产信息,对容器资产进行分析,并基于全局标签管理,为容器贴标签,将容器标签化,标签组合形成一组容器唯一的安全属性,自动根据业务组标签进行分组。
针对容器业务构成及业务依赖关系进行分析,展示业务依赖路径,完整显示容器间的访问关系,采用antv g6方式进行访问关系渲染与显示,绘制出容器业务拓扑,实现容器网络流量可视化。
3
标签化+自动化安全策略管控
通过去IP化、标签化,实现多维度规则配置,达到集中性的管理策略,分散性的控制流量。与底层IP、端口等网络元素解耦,当容器环境发生更新时,动态更新关联容器的规则,自适应容器环境。
采用流量自学习自动化思想,通过数据获取与处理、策略规则配置、策略规则验证及策略下发生效等流程,可基于访问关系快速的、有针对性的批量自动生成容器安全策略规则。
4
网络微隔离助力风险闭环处置
通过全面的对容器端口调用进行监控,记录容器互访关系,针对端口调用关系,进行策略规则配置,实现按需开放。
实时业务拓扑能够深入了解攻击者可以使用的所有攻击向量和开放路径,针对业务流量与策略规则匹配情况,基于流量线颜色及时发现异常访问关系。
通过细粒度的访问控制策略逐步细化、收紧工作负载的攻击暴露面,防止攻击者利用跳板窃取有价值的数据资产,防止病毒在内部网络中传播。
三
安全狗容器微隔离赋能用户安全
越来越多的企业采用容器化部署以此支持自身业务快速布局,但容器内东西向流量不可见带来的异常访问不可视,进而导致黑客入侵提权劫持数据等损害企业利益的行为发生。安全狗云隙的全局可视化管理、实时流量检测、实时业务拓扑、自动化策略配置等功能可为用户提供安全防护。
01 全局可视化能力提升
基于标签化的资产管理及可视化连接分析能力,数据中心内部容器资产属性及业务间的互访关系得以理清。为安全运营人员提供全局可视,及时阻断异常入侵攻击行为,有效缓解其安全专业水平低等资源问题。
02 实时流量检测,及时发现异常访问
全面监控容器的端口调用关系,进行策略管控,基于流量访问关系与策略匹配情况,快速发现异常访问行为。快速定位业务系统上的异常流量,有效维护业务系统的稳定运行。
03 内部威胁防御能力提升
实时业务拓扑可深入了解攻击者可使用的所有攻击向量和开放路径,防止攻击者利用跳板窃取有价值的数据,数据中心内部防御能力得到显著提升。有效防止数据被劫持、泄露进而勒索等事件发生。
04 运维难度及运维成本降低
高度自动化和可编排的策略配置能力,在容器发生迁移、IP变化、弹性拓展等场景下,安全策略能够自适应调整,可减少人工参与,消除了手动配置错误的风险。有效赋能云原生容器化快速部署,让业务拓展和安全实现双赢。
面对难以修复漏洞的老旧系统、内部病毒横向传播、大型攻防演练等多种场景,安全狗云隙也能开展有效的监测,及时阻断异常流量与病毒,确保内部业务系统、数据正常运作。
四
容器网络安全探索与未来实践
以上是安全狗云隙研发团队基于用户所面临的容器网络安全威胁所做的云原生容器网络安全解决思路与落地经验分享,在近期所发布的云隙新版本中已具备以上所提的功能。
后续云隙也将针对不同容器集群环境,不断优化容器网络微隔离功能,更全面的监控容器网络,致力于守护客户容器网络环境安全。
构建云原生环境下东西向流量管理的最佳实践相关推荐
- Fluid — 云原生环境下的高效“数据物流系统”
作者 | 顾荣 南京大学 PASALab (注:本文基于作者公开演讲报告内容整理完成) _来源 | _阿里巴巴云原生公众号 得益于计算成本低.易于扩展.部署便捷.运维高效等多方面的优势,云计算平台吸 ...
- 云原生环境下对“多活”架构的思考
互联网公司发展到一定的规模,系统的高可用就变得极其重要.为了应对那些随时可能发生的意外,"多活"在如今互联网公司好像变得是必备的手段了.甚至一些公司发生一些 P0 事故之后,多活也 ...
- 云原生时代下的12-factor应用与实践
在云的时代,应用会更多地迁移到云端,基于云的架构设计和开发模式需要一套全新的理念去承载,于是云原生思想应运而生,而针对云原生应用开发的最佳实践原则,12-Factor脱颖而出,同时也带来了新的解读.本 ...
- 云原生体系下 Serverless 弹性探索与实践
作者:竞霄 Serverless 时代的来临 Serverless 顾名思义,是一种"无服务器"架构,因为屏蔽了服务器的各种运维复杂度,让开发人员可以将更多精力用于业务逻辑设计与实 ...
- 云原生语境下,如何重新解读微服务?
最近,O'Reilly 公布了一份关于企业微服务市场现状的数据调研.报告显示,在访问了全球 1,502 名软件工程师.系统和技术架构师.工程师以及决策者后,有 77% 的组织反馈采用了微服务,其中 9 ...
- 云原生背景下的运维价值思考与实践
作者:刘天斯,腾讯游戏高级工程师 前言 随着公司自研上云战略如火如荼地进行,IEG-增值服务部作为较早一批响应的团队,截止目前自研上云已完成1/3的流量切换,日PV超百亿.切云的服务大量采用了云原生的 ...
- 【云安全系列】云原生场景下的容器网络隔离技术
一.研究背景 随着云计算时代的到来,尤其是容器化技术的飞速发展,云原生作为云计算的未来阶段,其安全势必成为云安全的主要战场.从目前的云原生环境来看,云原生网络安全问题层出不穷,威胁程度逐渐上升,从业人 ...
- 云原生背景运维转型之 SRE 实践
作者:yorkoliu,腾讯 IEG 业务运维专家 一.前言 上一篇文章<云原生背景下的运维价值思考与实践(上)> 重点介绍了云原生背景下运维转型的思考,围绕着整个 DevOps 交付链, ...
- 云原生背景运维转型之SRE实践
一.前言 重点介绍了云原生背景下运维转型的思考,围绕着整个 DevOps 交付链,贴近业务不断输出运维的能力与价值.这篇内容我想谈谈 DevOps 的下半段,通过我们的构建服务稳定性保障实践,利用 S ...
最新文章
- python 生命之花_python股票用什么电脑配置:贵州合力股票价格多少钱_XAC配资之家...
- Ubuntu下安装ruby的三种方式
- 人人都能学会的python编程教程14:高级特性1
- Kafka的常见错误分析
- Codeforces Global Round 12 D. Rating Compression 思维 + 贪心
- 作者:司恩哲(1985-),男,现就职于中国人民银行征信中心数据部,主要研究方向为数据挖掘。...
- LINUX环境并发服务器的三种实现模型
- .NET 源代码的安全性(源代码工具真正比拼) (論)
- Ubuntu安装最新版nodejs
- 《深入浅出数据分析》资源汇总
- Windows系统远程桌面连接阿里云Linux Ubuntu
- 幼儿园大班下学期幼小衔接工作计划
- 函数柯里化curry 与合成函数 compose
- Python Prep随想练习-Day3
- 大富翁论坛和delphi盒子已正常开放
- <C++>文件操作基础详解,快来写出你的第一个文件吧
- [转]看恐怖片能减肥
- 近十年量化交易领域最重要的十本参考书推荐!重要!
- 大学计算机基础python第二次作业_python第二次作业
- 程序员节华为这么玩?就说好不好!