

云原生环境微隔离解决方案
安全挑战
随着云计算发展进入成熟阶段,以“生在云上、长在云上”为核心理念的云原生技术被视为云计算未来十年的重要发展方向。云原生技术能够有效解决传统云实践中应用升级缓慢、架构臃肿、无法快速迭代等“痛点”问题,并为业务创新提供动力。
以微服务、DevOps、持续交付、容器化为显著特征的云原生技术,具备高度开放、灵活可编排的特性。微服务架构使应用原子化,带来了工作负载规模的剧增,而微服务间的互相调用则使容器间的东西向流量指数级增长。在DevOps的加持下,应用敏捷、持续交付部署,容器的建立、消亡则高频发生,IP地址已不再是安全策略的可靠锚点。
网络分段被视为云原生环境的基础安全能力,而传统防火墙难以适应云原生环境,基于K8S的Network Policy在规模化场景中无法提供足够的策略管理运维能力,基于Agent的外挂式微隔离方案则极大制约了云原生敏捷、弹性特性的充分释放。在集群内全通的“大二层”容器网络中,内部的东西向流量完全处于黑盒状态,既不可视、更不可控,给攻击者留下了巨大的暴露敞口,严重危及云原生环境下的业务安全。
解决方案
云原生环境微隔离解决方案,应遵循零信任理念方法,并满足原生化方案部署、辅助式策略设计和体系化策略管理的核心需求。
基于蔷薇灵动蜂巢自适应微隔离安全平台,将DaemonSet形式的蜂群安全守护容器(BDC)原生化部署于容器平台各节点(Node),对Pod进行全生命周期监测及运行上下文(Context)采集。同时,通过安全计算中心(QCC)对Pod进行自动化的分组及角色化管理,进而提供带业务视角的连接关系可视化分析,和基于业务属性标签的精细化策略管理能力。基于BDC提供的Pod信息,QCC将基于Pod状态变化做出自适应的策略更新计算,并将安全策略更新分发至BDC加载执行。

方案基于“零信任五步法”落地实施,定义阶段完成BDC在容器平台的部署,分析阶段基于Pod键值实现自动化的业务属性划分,设计阶段利用可视化连接分析辅助进行策略规划,防护阶段对安全策略进行仿真验证并完成启用生效,运维阶段则通过横向连接的实时分析实现异常行为发现及策略持续优化。
方案优势

充分适应云原生环境特性
基于容器化部署运行、自动化资产梳理、自适应策略计算等特性,可充分适应云原生环境敏捷灵活、弹性扩展、动态伸缩的特点。微隔离能力由传统方案的“外挂嫁接”走向了原生化的“内嵌融合”,使云原生的技术红利得以充分释放。

提供可靠的策略设计辅助
通过带业务视角的连接关系可视化分析,辅助管理者在深入分析业务链的基础上开展策略设计。相较无可视化支撑的“盲配策略”方式,为用户提供了复杂流量场景下纵览全局、洞察微豪的上帝视角。

具备完善的策略管理能力
提供灵活的策略定义编排和完备的运维管理能力,实现了高于“策略执行点”的能力定位。相较开源方案,通过简化的策略逻辑、灵活的策略定义方式、丰富的策略生效模式及完善的策略审计回滚机制,提供了更为便捷、易用的策略管理体验。

跨平台、跨集群统一管理
适应混合云、多云等复杂数据中心架构,支持物理机、虚拟机、容器同台纳管,并可实现跨K8S集群统一管理。相较云平台专有组件,使用户获得“一张图洞悉内网、一套策略统管全局”的集约化管理能力。
用户价值
缩减攻击敞口、消除防护盲区
通过最小特权的白名单访控,彻底改变了容器网络域内全通,不可视、不可控的“黑盒状态”,补齐了容器平台的基础安全能力。
安全能力左移、安全功能前置
微隔离与容器生命周期保持紧密的“步调一致”,使安全能力自容器生成、业务上线便同步生效,实现了安全控制向DevOps的无缝嵌入。
降低管理成本、提升协同效率
基于自启动、自学习、自适应的特性,避免了Agent安装、标签配置、策略更新等手工操作和繁琐的多部门协同,管理者得以从繁重的运维管理中获得解放。
云原生环境微隔离技术专栏