云原生网络中的微隔离

简介: 【2月更文挑战第24天】

在云原生架构中,尤其是云原生网络安全的建设和规划中,以零信任的架构和思路实现云原生网络的微隔离和访问控制是必要的。


什么是微隔离

微隔离就是一种更细粒度的网络隔离技术,其核心能力的诉求也是聚焦在东西向流量,对传统环境、虚拟化环境、混合云环境、容器环境等东西向流量进行隔离和控制,重点在于阻止当攻击者进入数据中心网络或者云虚拟网络后进行的横向移动。


微隔离有别于传统的基于边界的防火墙隔离技术,微隔离技术通常是采用一种软件定义的方式,其策略控制中心与策略执行单元是分离的,而且通常具备分布式和自适应等特点。策略控制中心是微隔离系统的核心控制单元,可视化展现内部系统之间以及业务应用之间的网络访问关系,并且能够按照角色、标签等快速地对需要隔离的工作负载进行分类分组,高效灵活地配置工作负载以及业务应用之间的隔离策略。策略执行单元主要用于网络流量数据的监控以及隔离策略的执行,通常实现为虚拟化设备或者主机上的代理。


为什么要微隔离

在云原生环境中,与传统网络或者租户网络相比,容器或者微服务的生命周期变得短了很多,其变化频率要高很多。微服务之间有着复杂的业务访问关系,尤其是当工作负载数量达到一定规模以后,这种访问关系将会变得异常的庞大和复杂。因此,在云原生环境中,网络的隔离需求已经不仅仅是物理网络、租户网络等资源层面的隔离,而是变成了服务之间应用层面的隔离


就网络隔离而言,一方面需要能够针对业务角色,从业务视角更细粒度地实现微服务之间的访问隔离;同时,还要针对业务之间的关系,在隔离基础上实现访问控制,从而降低网络攻击在东西向上的横向移动。另一方面,这种灵活快速的网络状态变化也带来了全新的隔离和访问控制策略更新的需求,隔离策略与访问控制策略需要能够完全自动化地适应业务和网络的快速变化,实现快速高效的部署和生效。


微隔离技术

目前,对于微隔离的技术实现,还没有统一的产品标准,属于比较新的产品形态。Gartner给出了评估微隔离的几个关键衡量指标:

  • 是基于代理的,基于虚拟化设备的,还是基于容器的?
  • 如果是基于代理的,对宿主机的性能影响如何?
  • 如果是基于虚拟化设备的,它应该如何接入网络中?
  • 该方案能否支持公有云的IaaS?

在IaaS层面的微隔离机制一般而言有三种形态:基于虚拟化技术(Hypervisor)基于网络(Overlay、SDN),以及基于主机代理(Host-Agent),而在容器环境中则有很大的不同。


首先,容器是非常轻量级的,且一个宿主机中容器数量较多,因而,每个容器上部署一个主机代理的方式是非常昂贵且不实用的。


其次,基于虚拟化技术和基于网络的技术都是在访问的主体和客体间部署网络访问控制策略,区别只是与IaaS系统的对接机制不同。而在容器环境中,已有标准的CNI组网机制和Network Policy网络访问控制策略,因而可融合为一类。Network Policy是Kubernetes的一种资源,用来说明一组Pod之间是如何被允许互相通信,以及如何与其他网络端点进行通信。


最后,云原生环境中存在大量的微服务,微隔离应更多关注微服务业务,而非简单容器隔离,如在Service Mesh架构中以Sidecar模式做反向代理,成为微隔离的新形态。

相关实践学习
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
相关文章
|
12天前
|
Kubernetes Cloud Native 应用服务中间件
云原生|kubernetes|networkPolicy网络策略详解
云原生|kubernetes|networkPolicy网络策略详解
37 0
|
7月前
|
Cloud Native 安全 网络安全
云原生网络安全开发入门
云原生网络安全开发入门
|
7月前
|
Cloud Native 网络安全 数据安全/隐私保护
【云原生】Docker网络Overlay搭建Consul实现跨主机通信
【云原生】Docker网络Overlay搭建Consul实现跨主机通信
237 0
|
12天前
|
Kubernetes Cloud Native Docker
云原生|kubernetes|网络插件flannel二进制部署和calico的yaml清单部署总结版
云原生|kubernetes|网络插件flannel二进制部署和calico的yaml清单部署总结版
168 0
|
1天前
|
弹性计算 安全 微服务
【阿里云云原生专栏】容器网络技术前沿:阿里云Terway网络方案详解
【5月更文挑战第26天】阿里云Terway是高性能的容器网络方案,基于ECS的ENI实现,提供低延迟高吞吐的网络服务。它简化网络管理,实现安全隔离,并与阿里云服务无缝集成。Terway由CNI、Node和Controller组成,适用于微服务、混合云和多租户环境,为企业数字化转型中的复杂网络需求提供强大支持。
17 1
|
12天前
|
Cloud Native 安全 网络安全
构建未来:云原生架构在企业数字化转型中的关键角色网络安全与信息安全:防御前线的关键技术
【2月更文挑战第30天】 随着数字转型的浪潮席卷各行各业,企业正寻求更加灵活、可扩展的解决方案以适应不断变化的市场需求。本文将深入探讨云原生架构如何成为支持这一转型的核心技术,分析其优势和挑战,并提出实施策略。云原生技术的采用不仅加速了开发过程,还提供了自动化运维、弹性伸缩等特性,为企业带来了前所未有的敏捷性和效率。然而,迁移至云原生架构也伴随着技术复杂性增加和安全风险的挑战。文章最后,我们将提供一系列最佳实践,帮助企业在采纳云原生技术的过程中规避风险,实现持续创新。 【2月更文挑战第30天】 在数字化时代,数据成为核心资产,而网络安全与信息安全则是维护这些资产不可或缺的屏障。本文深入探讨了
|
12天前
|
存储 Cloud Native 数据安全/隐私保护
[云原生] Docker 入门指南:镜像、容器、卷和网络解析
[云原生] Docker 入门指南:镜像、容器、卷和网络解析
|
12天前
|
存储 Kubernetes Cloud Native
云原生|kubernetes|centos7下离线化部署kubesphere-3.3.2---基于kubernetes-1.22.16(从网络插件开始记录)
云原生|kubernetes|centos7下离线化部署kubesphere-3.3.2---基于kubernetes-1.22.16(从网络插件开始记录)
102 0
|
12天前
|
Kubernetes Cloud Native Linux
云原生|kubernetes|kubernetes的网络插件calico和flannel安装以及切换
云原生|kubernetes|kubernetes的网络插件calico和flannel安装以及切换
141 0
|
12天前
|
Kubernetes 算法 Cloud Native
云原生|kubernetes|集群网络优化之启用ipvs
云原生|kubernetes|集群网络优化之启用ipvs
126 0

热门文章

最新文章