构建云原生环境下东西向流量管理的最佳实践

一、不得不说的云原生隔离性

不断创新的技术带来了一系列好处,例如自动化、敏捷性和效率,提高了公司的生产率。但是,随着新技术的到来,漏洞和安全威胁也随之而来。

集装箱化就是这种情况。尽管容器化已经存在了数十年,但近年来云计算的革命性发展才真正推动了容器化的普及。据估计,现在有超过50%的《财富》100强公司依靠容器化来开发和部署应用程序。

尽管具有所有优点,但是容器化还带有一些漏洞,容器普遍寿命较短,迫切需要加强对容器环境安全性和合规性问题的研究与投入。此外,容器环境在默认配置下,其K8s底层网络是“全连通”的,即在同一集群内运行的所有Pod都可以自由通信。同时,由于容器平台体量巨大、上下线周期短、容器网络外部不可见等原因,平台的东西向网络安全问题往往难以解决。

二、安全狗云隙全面保护容器网络安全

云隙是安全狗打造的自适应微隔离系统,曾多次入选Gartner的相关技术报告。

云隙·自适应微隔离系统

云隙基于CWPP技术方案,主流三种技术路线基础设施隔离\虚拟化层隔离\工作节点Agent隔离,主要采用通过在公有云、私有云、混合云模式下的工作负载安装Agent,采集工作负载之间的网络流量,以可视化展示网络访问关系,实现根据业务需求设置访问控制策略,工作负载支持主机服务器、虚拟主机、容器等节点模式。

云隙新版本中,可通过主机代理模式(Agent)将容器成功接入管理中心,采用微隔离技术和NetworkPolicy机制,不仅能够识别容器网络,绘制容器之间、宿主机与容器间的业务拓扑,还可以进行安全策略配置,实现容器网络的微隔离,保证网络安全和业务优化。

构建云原生环境下东西向流量管理的最佳实践_第1张图片

1

容器网络流量采集

采用链接跟踪(conntrack)技术方案采集容器间的网络流量,基于netfilter实现的conntrack机制以及procfs提供的进程信息分析。conntrack本身并不会对包进行过滤,而是提供一种基于状态和关系的过滤依据,只关注网络流量的基础数据。同时使用procfs提供的进程信息将进程和网络做了一个连接,从而达到所需的监控要求。

通过对进程下网络信息的分析,结合conntrack捕获到的链接数据,就可以将主机下的网络拓扑还原出来,而容器本质上也是宿主机上的一个进程,最终主机栈的网络拓扑和容器栈的网络拓扑都可以被分析出来。

2

容器网络流量可视化

通过资产采集采集容器资产信息,对容器资产进行分析,并基于全局标签管理,为容器贴标签,将容器标签化,标签组合形成一组容器唯一的安全属性,自动根据业务组标签进行分组。

针对容器业务构成及业务依赖关系进行分析,展示业务依赖路径,完整显示容器间的访问关系,采用antv g6方式进行访问关系渲染与显示,绘制出容器业务拓扑,实现容器网络流量可视化。

3

标签化+自动化安全策略管控

通过去IP化、标签化,实现多维度规则配置,达到集中性的管理策略,分散性的控制流量。与底层IP、端口等网络元素解耦,当容器环境发生更新时,动态更新关联容器的规则,自适应容器环境。

采用流量自学习自动化思想,通过数据获取与处理、策略规则配置、策略规则验证及策略下发生效等流程,可基于访问关系快速的、有针对性的批量自动生成容器安全策略规则。

4

网络微隔离助力风险闭环处置

通过全面的对容器端口调用进行监控,记录容器互访关系,针对端口调用关系,进行策略规则配置,实现按需开放。

实时业务拓扑能够深入了解攻击者可以使用的所有攻击向量和开放路径,针对业务流量与策略规则匹配情况,基于流量线颜色及时发现异常访问关系。

通过细粒度的访问控制策略逐步细化、收紧工作负载的攻击暴露面,防止攻击者利用跳板窃取有价值的数据资产,防止病毒在内部网络中传播。

安全狗容器微隔离赋能用户安全

越来越多的企业采用容器化部署以此支持自身业务快速布局,但容器内东西向流量不可见带来的异常访问不可视,进而导致黑客入侵提权劫持数据等损害企业利益的行为发生。安全狗云隙的全局可视化管理、实时流量检测、实时业务拓扑、自动化策略配置等功能可为用户提供安全防护。

01         全局可视化能力提升

基于标签化的资产管理及可视化连接分析能力,数据中心内部容器资产属性及业务间的互访关系得以理清。为安全运营人员提供全局可视,及时阻断异常入侵攻击行为,有效缓解其安全专业水平低等资源问题。

02         实时流量检测,及时发现异常访问

全面监控容器的端口调用关系,进行策略管控,基于流量访问关系与策略匹配情况,快速发现异常访问行为。快速定位业务系统上的异常流量,有效维护业务系统的稳定运行。

03         内部威胁防御能力提升

实时业务拓扑可深入了解攻击者可使用的所有攻击向量和开放路径,防止攻击者利用跳板窃取有价值的数据,数据中心内部防御能力得到显著提升。有效防止数据被劫持、泄露进而勒索等事件发生。

04         运维难度及运维成本降低

高度自动化和可编排的策略配置能力,在容器发生迁移、IP变化、弹性拓展等场景下,安全策略能够自适应调整,可减少人工参与,消除了手动配置错误的风险。有效赋能云原生容器化快速部署,让业务拓展和安全实现双赢。

面对难以修复漏洞的老旧系统内部病毒横向传播大型攻防演练等多种场景,安全狗云隙也能开展有效的监测,及时阻断异常流量与病毒,确保内部业务系统、数据正常运作。

四、容器网络安全探索与未来实践

以上是安全狗云隙研发团队基于用户所面临的容器网络安全威胁所做的云原生容器网络安全解决思路与落地经验分享,在近期所发布的云隙新版本中已具备以上所提的功能。

后续云隙也将针对不同容器集群环境,不断优化容器网络微隔离功能,更全面的监控容器网络,致力于守护客户容器网络环境安全。

 

你可能感兴趣的:(安全狗,安全,网络安全)