生产网零信任,阿里云落地最佳实践-阿里云开发者社区

开发者社区> 云安全专家> 正文

生产网零信任,阿里云落地最佳实践

简介: 持续探索
+关注继续查看

随着数字化经济和远程办公的兴起,网络访问方式的转变,让企业意识到传统的安全防护暗含着巨大的风险。在此背景下,零信任逐渐从概念走向落地,作为新一代的网络架构理念,其核心思想是所有的资产都是身份,所有的流量都需要被看见、被认证,所有资产之间的网络连接必须经过身份认证和授权。

但说概念容易,落地难,业内目前大多企业主要在办公网采用了零信任的安全管理理念或方法,例如Google BeyondCrop。但是对于内部的生产网管控,则很少能有企业,根据新一代的网络架构,真正进行零信任的落地。

阿里云作为国内份额最大的云厂商,内部业务结构多元,访问流量复杂、身份变动频繁,给安全带来了极大的挑战。云安全团队经过多年摸索,将零信任和云原生进行结合,落地并实践了一套身份和微隔离结合的方案,解决了大企业生产网中的隔离问题

理解新一代网络架构下,零信任的内核:5个假设

零信任的定义一般建立在以下5个假设之下:

  • 网络无时无刻不处于危险的环境中
  • 网络中自始至终存在外部或内部威胁
  • 网络的位置不足以决定网络的可信程度
  • 所有的设备、用户和网络流量都应当经过认证和授权
  • 安全策略必须是动态的,并基于尽可能多的数据源计算而来

需要特别强调的是:网络的位置不足以决定网络的可信程度。因为从安全运营实践来看,企业内网管理存在着普遍误区:“内网是安全的(办公网和生产网),安全在边界上搞搞就好了”。但从安全事件上来看,带有目的性的入侵,一定会涉及到内网中进一步的横向渗透。如果内网畅通无阻,没有安全防护手段,必将导致严重安全问题。

生产网的零信任尝试:BeyondProd & Istio

在零信任安全的落地实践中,目前广为人知的零信任方案主要集中在办公网。比如经常被提到的Google BeyondCorp,通过将访问权限控制措施从网络边界转移至具体的用户(基于用户、设备的身份而不是设备位置),BeyondCorp 使用户几乎可以在任何地点安全地工作,而不必借助于传统 VPN,安全的访问办公网中的各类系统。

00050b5014eb6dfde6786bd4cc8e30fc.jpg

对于生产网内服务之间的零信任方案,业界成熟的方案相对较少。公开、大规模、成熟落地似乎仅有Google BeyondProd。

在开源的k8s架构下,Istio尝试通过service mesh(服务网格)将零信任引入生产网。其核心思想是借助k8s架构,在生产网中每个Pod均部署service mesh sidecar,由于service mesh天然的接管了Pod之间的RPC通信,所以可以在其中增加网络访问的认证、鉴权与安全日志记录。但在实践中我们也发现原生的Istio存在一些问题:

  • Istio本身的安全功能未经过生产环境验证,只是Demo阶段
  • Istio对于工作负载之间(Peer authentication)的身份认证是通过将RPC协议封装在mtls中实现的。mtls带来的额外计算成本与延时开销相对较大,很多业务难以接受
  • Istio仅接管RCP流量,非RPC流量鉴权机制不完善

通过对业内实践的参考,再结合Forrester对“零信任模型“的三个基本理念,阿里云团队在企业内网分步骤落地零信任:

  • 检查并记录所有网络流量的日志
  • 验证并检查所有来源
  • 限制并严格执行访问控制

阿里云的生产网保护,基于零信任的网络微隔离

生产网中南北向的数据通过WAF、防火墙可以做到网络隔离。而对于工作负载之间的通信,也就是东西向流量,缺乏有效的网络安全隔离手段,所以微隔离的核心能力自然是聚焦在东西向流量的隔离管控上。

对于一般的企业生产网,往往仅部署了边界防御设备,如Waf、防火墙。

首先,如果攻击者突破边界防御(WAF、防火墙),或心怀不轨的员工连入生产网,便可直接触内网中的所有工作负载。内网的脆弱性将直接暴露在攻击者面前,且没有有效的隔离手段控制爆炸半径。其次,企业,特别是互联网企业,由于业务快速发展,传统的按照安全域、VPC的隔离手段难以有效的适应业务的快速变化,导致无法有效隔离。最后,随着云原生技术的逐渐普及,k8s开始大规模应用。在云原生环境中,应用实例的工作负载是可迁移的、甚至是短时存在的,一天内可能有几千、甚至上万Pod创建与销毁。传统的通过IP进行隔离的手段将导致频繁的策略变更,策略几乎不可维护。

所以我们寄希望于通过结合云原生技术的网络微隔离将企业生产网分割成弹性可变的N网,以满足业务快速变化的弹性隔离,并且降低入侵后的攻击面,控制爆炸半径。

在实践中,阿里云将零信任的基于身份访问控制与网络微隔离相结合,使用身份进行网络微隔离,降低入侵后的攻击面,以提高企业生产网的安全防御水位。

同时借鉴Istio sidecar的思想,将给基于零信任的网络微隔离下沉至每个工作负载的Pod中,这样从架构层面带来几个好处:

  • 随业务工作负载部署,以应用身份为粒度进行网络管理
  • 安全能力可以随着业务的弹性扩缩容自动部署
  • 安全能力与业务代码解耦,对业务系统无侵入性

在工作负载通信阶段,我们也进行两层的认证、鉴权能力的建设:

在L3/4通信层面附加应用身份,保证连接级别认证、鉴权

在L7通信层面附加应用身份,保证request级别的认证、鉴权

若L7层面无需request级别访问控制,在只开启L3/4层认证、鉴权的情况下可以做到网络性能几乎无损耗,并且支持各种应用层协议

bbf6af6317eaf5320fbb3d3fc7d41f94.jpg

在安全运营层面,阿里云进行分阶段部署与建设:

  • 首先确定互联网边界应用、核心业务应用为优先保护对象
  • 通过微隔离安全容器的部署,采集了完善的内网东西向流量数据
  • 原始的东西向流量数据通过应用身份+资产库信息,将IP之间的访问关系转换成应用身份之间的访问关系,并通过一段时间的观察建立应用间的访问基线
  • 在安全策略执行层面,优先对高危服务(SSH、SMB、LDAP、Kerberos等)、关键服务(敏感数据接口等)进行强制的认证、鉴权,提高关键系统的安全隔离水位
  • 最后,进行了持续的运营监控。一方面为了防止误拦截导致业务受损,另一方面通过监控内网高危服务流量,发现可以的横向入侵行为或蠕虫感染事件

70648c7e667161042b904449a1ff83e1.jpg

未来展望

在经过不断探索后,我们发现结合云原生技术,在安全领域可以做出新的创新实践。在过去的一段时间中,各个安全企业一直在思考云原生架构的安全问题,如何保护云原生系统。其实安全可以利用云原生架构的优势,做出新的安全方案。比如将WAF、防火墙能力下沉至sidecar中,随业务快速弹性部署。如果安全sidecar在拥有认证鉴权能力之外,还具备WAF、防火墙的能力,这样可以做到内网安全水位与边界安全水位持平,最大限度的保护每一台工作负载。

在云原生安全的路上,阿里云将持续探索。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Spring Boot 基础教程:入门简介
作为 Spring Boot 基础教程的开篇,本文主要介绍了 Spring Boot 的定义、特点以及它的优缺点,并探讨了我们为何要使用 Spring Boot 这一利器,使用它又能给我们带来什么好处。
12 0
tddl连接池获取和释放流程疑问
最近遇到线上机器连接池满的情况,排查发现tddl里面在连接池获取和释放流程中有些问题
5 0
冬季实战营学习报告 第一期:从零到一上手玩转云服务器
这一期训练营从1月17号开始,为期5天。主要内容是了解学习阿里云的云服务(ECS) 因为提前加入了阿里云社区活动群,管理员每天都会提醒我们登录账号打卡学习,这里感谢管理员对我们的监督😊😊。
9 0
冬季实战营第一期:从零到一上手玩转云服务器-体验报告
本期主要实践以下内容: 1.初步认识ECS云服务器,能够体验到登陆ECS服务器,登陆控制台,管理ECS等操作。 2.使用ECS云服务器搭建LAMP环境,其中LAMP是指Linux、Apache、MySQL、PHP。 3.使用ECS云服务器MySQL数据库,并通过DMS数据管理服务远程访问MySQL数据库。 4.使用PolarDB云数据库+ECS搭建门户网站,通过之前所学LAMP架构讲MySQL替换为PolarDB云数据库并部署门户网站。
9 0
原来使用PolarDB和ECS搭建门户网站并没有那么难
以前一直使用虚拟主机搭建网站,服务器就使用那些面板,一直对直接在服务器上搭建网站有些怵,跟着这个实验做,发现只需要不到十步就可以完成网站的搭建。
9 0
体验ECS
第一次体验云服务器,感觉十分奇妙。
6 0
基于阿里云服务器安装Docker完整图文教程
基于阿里云服务器安装Docker完整图文教程
4 0
iLogtail 与Filebeat 性能对比
前段时间, iLogtail 阿里千万实例可观测采集器开源,其中介绍了iLogtail采集性能可以达到单核100MB/s,相比开源采集Agent有5-10倍性能优势。很多小伙伴好奇iLogtail具体的性能数据和资源消耗如何,本文将针对目前业界使用度较高且性能相对较优的Agent FileBeat进行对比,测试这两个Agent在不同压力场景下的表现如何。
5 0
Spring Boot 基础教程:创建 SpringBoot 项目的 3 种方式
上一篇中我们讲了 Spring Boot 的一些特点及优缺点,这一篇我们就来看看,如何创建一个最简单的 Spring Boot 项目!
5 0
宝塔面板如何为网站配置SSL证书?
原文链接:https://blog.csdn.net/JunyouYH/article/details/120734870(我的不属于转载) 代码复制不过来请转原文。。代码复制不过来请转原文。。代码复制不过来请转原文
7 0
+关注
云安全专家
阿里云安全
322
文章
1
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载