业界首发:蔷薇灵动发布《云原生环境微隔离解决方案白皮书》
2022-5-9 18:0:46 Author: www.4hou.com(查看原文) 阅读量:20 收藏

导语:云原生再一次激发微隔离需求,蔷薇灵动基于多年微隔离技术领域实践及研究成果,发布《云原生环境微隔离解决方案白皮书》,通过将专业微隔离能力原生化,可满足更多云原生用户的基础防护需求,进一步保障企业数字化转型升级。

近日,蔷薇灵动基于多年微隔离技术领域实践及最新研究成果,正式发布《云原生环境微隔离解决方案白皮书》。作为业界第一本以云原生环境为背景的微隔离技术白皮书,本书旨在帮助企业更好地理解云原生环境下微隔离方案的设计与运用,以创新安全技术保障企业数字化转型升级。

白皮书从云原生技术背景、云原生环境的网络隔离需求、现有云平台微隔离方案分析、蜂巢自适应微隔离解决方案四大方面,全视角、系统化剖析云原生环境下以微隔离技术构建数据中心零信任访问控制体系的落地实践,为云原生用户采用微隔离技术提供了专业建议。

云原生再一次激发微隔离需求

微隔离是伴随云计算带来的基础架构巨变而产生的,早在2015年,Gartner便将微隔离作为云安全领域中的一项创新技术首次提出。

在没有云的年代,物理服务器都是静止的,尽管没有微隔离,即便做不到主机粒度的控制,但依然可以通过细致划分物理边界,并辅以精细化的访控策略,把安全事件控制在比较有限的范围。而这道边界,因云计算的到来被逐渐瓦解,随着数据中心走向云化,云内流量“域内全通”所带来的巨大风险在一次次实战攻防中被鲜活验证。

自2019年起,以云计算规模较大的一些银行、央企、互联网企业为代表,纷纷开始试水微隔离。作为国内微隔离技术领域的早期实践者,蔷薇灵动也正是在那个时期收获了宝贵的天使用户,如今,他们中的大多数已开始规模化推广微隔离应用。

为什么说云原生的到来再一次激发了微隔离需求?

在传统云计算时期,多数用户上云的脚步是从应用向云平台迁移开始的。云计算起步较早的用户往往是规模较大、资源较充裕的大型机构,他们的云平台完全能做到物理机向虚拟机的1:1复制。这样的话,云平台本身的扩展、伸缩就不那么高频发生了。这也是为什么很多大型用户直到今天,对于我们所讲的云主机“漂移”依然难以感同身受的原因。

然而,当云计算进入云原生时代,情况发生了急转直下的变化。

微服务架构将应用“原子化”切分,工作负载的体量规模剧增。松耦合的微服务之间,需要持续的相互调用来实现应用功能的交付,这就带来了东西向流量规模的剧增,同时连接关系也变得更为复杂。

云原生环境高度可编排,业务容器灵活分布于K8S的各个节点(Node)上,静态边界被彻底打破。而在 DevOps 、持续交付的加持下,容器始终处于不稳定状态,新业务上线、应用更新、服务扩缩容、容器持续的建立和消亡、IP地址高频突变,传统访问控制的“锚点”同样不复存在。

很多用户在容器平台投产后发现,容器网络完全处于黑盒状态,原先数据中心内部的防火墙仿佛一夜之间失去了部署的意义,微隔离的需求被彻底的激发了。

云原生微隔离需攻克三大难题

在Gartner提出微隔离的时期,云原生还尚不是一个可观察的技术趋势。然而今天,“生在云上、长在云上”的云原生是真真切切的来了。可以确定的是,面向云原生环境,不能生搬硬套传统云计算环境的微隔离方案,必须做出优化升级。

首先,相较传统云计算,云原生更加回归云计算的初心,也更加具备敏捷、弹性的特质。因此,任何确保云原生安全的措施,都应该主动适应云原生的特质,而不应成为其释放技术红利的制约。由此来看,云原生环境下的微隔离能力,也应能够向云原生本身一样实现快速部署、按需伸缩。

第二,云原生环境下的东西向连接关系更加纷繁复杂,在无法纵览全局连接状态、无法准确梳理业务互访的情况下,用户难以像实施传统域间边界访问控制那样预设安全策略,而必须经历一定周期的学习、分析和建模,才能定义出符合业务实质、遵循最小特权的策略规则。在此过程中,系统应通过可视化、智能化的功能,为安全策略的设计提供辅助和便利。

最后,在高度可编排的容器平台中,访问控制能力并不缺少,事实上微隔离的真正内涵也绝不止访问控制,而是应具备一套完善、系统的策略定义框架和策略管理能力。例如,微隔离策略应能够灵活的完成规则与IP的解耦。此外,安全策略从设计到执行通常需要仿真测试、细化调优等阶段,否则因策略定义不当造成的误阻断情况将大概率发生。

创新之道:将专业微隔离能力原生化

基于以上标准来看,当前市场上已经存在的几种典型容器微隔离方案均难言完美。

Network Policy是K8S自带的策略组件,能够以原生化的方式部署运行,并随云原生环境动态伸缩。但开源项目用于商用环境的弊病也较为明显,因功能过于简陋,难以支撑策略设计、管理和运维的现实需求。例如,管理者可能不得不在没有可视化辅助的情况下“盲配策略”,不得不通过修改yaml文件的方式定义策略,而策略一旦下发是即时生效的,回退难度极大。

基于主机代理(Agent)的微隔离方案,是另外一种常见的适应容器环境的方案。由于本身定位为商用的微隔离系统,所以其功能深度、操作易用性都会远超开源方案,并且它对容器平台的支持几乎是天然具备的能力。然而,由于其部署、运行需要在节点(Node)上安装一个Agent,使得其显得“反云原生”,引用很多用户的真实评价,这是一种在云原生环境中“穿衣戴帽”式的安全方案。

由此看来,可行的技术路线便越发清晰,即应当将专业的微隔离能力以原生化的方式部署、运行于云原生环境,让微隔离“生在云上、长在云上”。

蔷薇灵动云原生环境微隔离解决方案.png

本次蔷薇灵动发布的解决方案,在“计算中心+主机代理(Agent)”架构的基础之上,创新性的通过守护容器(DaemonSet)的方式,将微隔离的策略执行点深植于云原生环境中。同时,基于围绕“零信任五步法”的功能设计,有效支撑用户从微隔离策略设计、到定义、再到运维优化的全周期管理,实现了专业微隔离能力向云原生的内嵌融合。

版权声明:

本文档版权归北京蔷薇灵动科技有限公司所有,未经允许不得擅自摘录、拷贝、转载等。如使用本白皮书文字或观点,应注明来源“北京蔷薇灵动科技有限公司”。

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/vLOg
如有侵权请联系:admin#unsafe.sh