容器的网络安全（一）| 学习笔记

开发者学堂课程【容器安全与 Palo Alto Networks 解决方案 ：容器的网络安全（一）】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/628/detail/9885

容器的网络安全（一）

目录：

一、云原生防火墙

二、Zero-touch 自动发现网络拓扑

三、自动部署四层和七层防火墙

四、自动监控网络事件和攻击

五、演示内容

六、代码演示

一、云原生防火墙

Zero-touch 机器学习以自动了解网络行为

Zero-touch 机器学习模式，可自动在主机,容器和无服务器应用程序之间建立网络拓扑。

专为云原生环境构建的4层和7层防火墙

云原生应用防火墙( CNAF )和云原生网络防火墙( CNNF )提供针对已知和未知威胁的自动网络保护: sQl ijection brute forceattacks, clickjacking, shellshock, information leakage,等

支持 Istio  等新兴技术

在整体部署中可视化和验证 Istio 配置，以查看您的策略如何应用于已部署的容器并检查 Istio 是否符合最佳实践。

//容器的网络安全是比较重要的。因为在容器中怎么样去解决网络安全问题也一直是用户所关心的。

因为在于容器的这样一个环境中，和传统的一些网络是非常不同的架构，因为在传统中主机，可能是数量都没有容器会这么多。然后容器的话，以组群的这种形式存在。

然后，在不同的组群，之间这样一些沟通，会非常的复杂，以及比较难以用原来的这种网络的策略，进行配置，那样的话会非常的麻烦。而且，在容器中的话，如果以 pop 的形式进行配置的话，那几乎是不可能的，因为 pop 一个族群，一个 service，一个镜像，它可能产生很多的这样一些 pop，那这样之间的去配置的话，会非常的麻烦，所以，提供了这样一个叫云原生。

//首先提供一个叫 zero-touch 的这样一个部署方式，也就是说，Twistlock，会自动的学习，用机器学习，去了解，你网络里面的这样一些网络的这样一些流量，包括这样一些行为。

首先，它会自动会发现在你现有网络里边的这样一个容器的环境里面，或者这样说，去发现所有的这样一些网络，比如说有多少的，然后之间的这些通信是什么样，用哪些端口进行通信，这些的话，都会自动地学习，并且建立这样一个模型。

而不用去手动的去建，因为也有一些，其他的一些解决方案，需要通过一些方式，去进行一些部署，那这样的话就不是非常的方便，也不是很动态的去建立这样一些网络的策略。

同时，在部署了新的这样一些容器也好，新的一些服务也好，云原生的防火墙，也会自动的发现，这样一个新的这样一个部署，并学习，这样一个网络的这样的行为。

所有的都不需要，用户进行直接的参与，那另外一个，这个云原生防火墙，它同时提供四层和七层的这个防火墙的功能，那四层的防火墙，也就是 CNNF，这样的话，它可以在四层的这一个层面去保护。

在这个容器的环境中的这些网络的这样一些访问，同时，也提供那个七层的防护，也就是叫云原生的应用防火墙CNAF，它可以保护很多的这样一些已知或者未知的这种网络的一些攻击，比如说常见的这个系统，包括这种暴力攻击的一些常见的一些手段，包括一些跨站攻击的这样一些防御，都是在这个应用防火墙也是七层的这个防火墙里面，非常方便进行部署。

在后面，有一个演示，它的配置是非常简单的，同时，这个云原生的防火墙，也支持新的服务网格的，Servicemash新的一些技术。

//zero -touch 也就0接触的这种自动发现网络的拓扑。

那在右图中，比如说这个不同的沿线，就代表这些网络，这些容器之间的一些方法，访问的网络流量，也是非常复杂的，同时，在这个目前来说，在整个 K8S 的环境中，一些运维的，包括一些安全的人员很难对整个容器的这种网络的流量或者这些服务的分布，有一个可视化或图形化的一个界面。

那可以通过云原生的防火墙的这个功能，它自动在那个雷达图里面，就会有这样的显示，非常方便进行一些后期的维护也好，这样一些管控。

可以在这个图上面实时的进行操作。同时，这个不单单只针对容器，其实针对主机也可以做这个防火墙的功能，包括serviceless 的，就是无服务的这样一些新的这种服务形式，也支持这样的一些防火墙的功能。

同时，在这一块，还有一个优势，就是它集成了这个网络，还有漏洞管理，Complaints 以及 runtime 的这些保护，都在这一个界面，都可以从多个维度，可以看到整个容器的这个状态。

二、Zero-touch 自动发现网络拓扑

即时自动发现您环境中的网络行为

无需代表开发或基础架构团队进行手动配置雷达视图涵盖主机，容器和无服务

//七层的防火墙，首先，在右边这个图里面，比如说制定一个入的 name，然后，在所有的这些功能，只要打勾就可以了，比如说 single injection 的 protection，把它打开。

包括 access，这种跨站攻击的这种保护好把它打开，比如说这个端口，需要监听或者进行保护的，这个端口是多少。包括也支持 TLS 的这种，IP 的这种，title 的这种技术，也可以进行进行支持。

所以非常简单，比如说针对于建议的，这种保护策略，用户就非常方便进行保护，同时，在这个页面上面，比如说 fine upload，也可以支持，可以正式上传，包括对 http header，比如说希望只针对某一些，浏览器进行一些访问，在这些，也可以通过 http headers，来进行一些进一步的一个设置。

三、自动部署四层和七层防火墙

快速轻松地将 Cloud Native Firewall 配置为基于关键攻击发出警报或阻止(例如: OWASP Top 10 )

无需其他部署