星環科技TDH基於Overlay網路架構為資料安全保駕護航

近年來資料安全相關政策制度陸續推出，資料安全和隱私保護相關政策體系也在不斷完善。保證資料安全下的資料開放與服務能力已然成為當前行業發展熱點。在資料安全法正式通過後，保障資料安全合規使用成為當前企業使用者的一大需求。本篇文章將為您講述星環科技大資料基礎平臺TDH是如何 基於Overlay網路架構為使用者提供全鏈路的資料安全保護能力。

業務背景

傳統的網路安全概念建立在邊界安全的框架之上，需要找出網路的安全邊界，並將網路劃分為外網和內網等不同區域。但前提是網路內部是安全可信的，一旦攻擊者突破防禦進入內網，整個網路的安全防護就失去了功效。零信任理念的提出將公共和私人網路的邊界消除，它認為整個網路是不可信的，不信任任何使用者、裝置終端和資料，在進入網路訪問資源之前需要進行一定的身份認證和授權。但是，並非每個企業都擁有實施零信任網路的能力， 企業必須擁有大量的預算、人力、資源和時間來開發，構建、維護零信任網路架構。伴隨著網際網路的高速發展，資料流量呈現爆發增長的趨勢，不同型別的資料流量也具有不同的效能要求。並且，資料流也在增加控制器的負載，在高流量負載的情況下，可能會出現丟包或顯著延遲。上述這些特性給目前網路架構帶來 效率低、可擴充套件性差、安全性較弱、維護困難等問題。

軟體定義網路是一種新興的網路架構，由應用層、控制層和基礎設施層組成。它將網路裝置的控制和資料轉發層解耦，引入了一種更靈活的方式來管理具有高度可程式設計性的網路流量--Overlay網路技術。Overlay指的是 在網路架構上疊加的虛擬化技術模式，該技術採用 細粒度的軟體定義流量控制來實現網路的 安全性和可控性。通過使用Overlay技術，企業可以實現應用在網路上的承載並充分具備大規模擴充套件以及負載均衡的能力，不受物理網路裝置的多種限制。比如，該技術可以做到在物理IP變更的情況下，不改變虛擬IP，不影響對IP敏感的系統等等。基於Overlay，企業可以實現 容器跨主機通訊，資料傳輸等操作。然而，在Overlay網路上實現的多租戶資料架構存在一定的安全隱患，比如共享資料伺服器中的敏感資料存在暴露給惡意攻擊者或競爭對手的風險。因此， 網路安全管控至關重要。

TDH基於Overlay網路架構全方位保護資料安全

Transwarp Data Hub（TDH）是星環科技自主研發的一站式多模型資料管理平臺，採用了創新的多模型技術架構和統一的資料管理，可以構建服務於整個企業的統一資料資源庫，徹底打破不同部門間的資料隔閡，使得部門間的資料靈活呼叫有了技術支撐，有效降低了使用者的開發成本以及運維成本。
TCOS是星環科技推出的一款結合大資料技術與容器技術的雲原生作業系統，通過零信任技術構建安全基礎能力來實現隱私計算安全區，支撐大資料服務進行聯邦學習與可信計算時對計算安全、資料安全、網路安全的需求。基於TCOS容器層的身份認證與許可權管控機制，星環科技大資料基礎平臺TDH採用kubernetes Overlay網路技術實現了網路層面的管控，保證了叢集內部網路和外部網路安全可控的訪問許可權控制，該模型不僅降低了使用者使用網路進行訪問控制的難度，還提高了資料中心網路的可用性、安全性和可靠性。為了有效扼制安全隱患以及資料洩露風險，TDH在資料生命週期的各個階段進行全鏈路敏感資料動態感知與防護，包括備份和恢復方案，資料清理方案，資料銷燬工作流程，介質的使用、轉儲、送修、銷燬及對儲存環境進行分級管理，全方位地實現資料安全管理的標準化、智慧化。通過TDH統一的資料訪問介面，使用者無需再考慮底層資料庫、平臺的SQL語法、儲存位置和拓撲，極大地提升產品易用性。

平臺內的安全保護能力

採取儲存加密、許可權控制策略，確保資料安全可控

雲端計算可以根據使用者的需要提供計算能力或資料儲存等計算資源。其優勢在於租戶可以 通過網路獲取到無限的資源，且不受時間和空間的限制。因此，雲端計算可以提供一種靈活的方式在多個租戶之間有效地共享資料。但是，敏感資料在公共雲中儲存和處理很容易帶來資料安全隱患，而且多租戶資料架構也存在資料暴露給商業競爭對手或惡意攻擊者的風險。為了支援雲端計算環境中安全高效的資料共享，並確保資料儲存與通訊的安全，TDH支援使用者在資料寫入儲存介質前將資料進行加密，從而實現資料的 儲存加密，最大程度的 確保資料的機密性與安全性。並且，TDH通過採用安全傳輸協議提供了一個 加密的通訊流，對客戶端和伺服器進行加密和驗證，確保資料傳送到正確的客戶端和伺服器並防止資料傳輸中途被竊取或被篡改， 維護了資料的完整性。

此外，為了保障叢集的安全，更好的認證和授權服務成為剛需。TDH提供統一的安全控制和資源管理的中央服務元件，實現了 細粒度許可權控制和租戶管理功能，保障內網的安全性。通過嚴格的許可權控制功能，平臺對各方資料交換和運算過程進行保護， 防止資料洩露和逆推。

具備可信計算能力，預防惡意軟體、網路攻擊、配置錯誤所引發的安全隱患

使用者在使用雲平臺時，常常會遇到以下風險：

惡意軟體：容器映象執行時可能攜帶不受信任的軟體，甚至是惡意軟體；

網路攻擊：容器引擎本身配置不當或被操縱，可能會引入漏洞；

配置錯誤：錯誤配置的程式，沒有啟用安全特性以及與安全相關的最佳配置來配置產品的執行引數，最終導致有安全漏洞

因此，TDH平臺基於可信計算能力驗證容器引擎的完整性及其執行時的配置，以確保惡意使用者無法利用容器引擎本身獲取主機許可權。其對主機作業系統本身也進行了驗證，儘可能的限制惡意使用者對軟體以及不安全的配置對宿主機進行攻擊。TDH通過採用 可信計算架構針對各種軟體問題提供強大的保護，防止軟硬體與資料因偶然或惡意的原因而遭受到破壞、更改、暴露。由此，使用者可以 安全地儲存和操作敏感資料。

應用基於容器技術的隔離，預防容器逃逸風險

多個容器之間使用的是同一宿主機的作業系統核心，容器的隔離性很弱。缺乏與主機的隔離可能會增加被攻擊的可能性，任何惡意程式碼都可能擴散到其他容器和底層作業系統。主機上存在隱患的容器也可能會危及其他容器的安全，從而危及整個系統。所以多個容器共享主機資源的多租戶容器基於雲的系統很容易受到資訊洩漏等威脅。當攻擊者通過應用層面漏洞進入容器內，如果不進行徹底的隔離，一旦發生容器逃逸問題，則宿主機的資料很容易被攻擊獲取。TDH應用 基於容器技術的隔離，防止產生容器逃逸等風險隱患， 保護整個系統的機密性、保密性、完整性以及可用性。

提供豐富元件，全方位保護資料隱私

TDH建立了 安全、可控、有跡可循的軟硬體資料訪問環境，作為安全管理的核心基礎，平衡了保密性與可用性，保障了網路資訊保安。平臺還對資料隱私採取了一系列的安全手段 杜絕其洩露和被濫用的風險。

例如，大資料安全管理元件Transwarp Guardian為TDH提供集中的安全和資源管理服務。它支援LDAP和Kerberos，可以保護叢集免受惡意攻擊和安全威脅，而且還可以對資源做細粒度的ACL控制以實現網路訪問控制，保障內網的安全性。在Guardian的安全保護下，所有的應用服務都可以藉助Kerberos實現資料加密，或者通過LDAP實現身份驗證，增加企業級安全性並進行統一的資料許可權管控。此外，Guardian還實現了租戶級別的資源管理，其通過圖形化工具為使用者提供許可權配置以及資源配置介面，全方位提供安全保護。

下圖列舉了TDH在 資料生命週期各階段所採取的手段：

隨著越來越多的終端裝置加入網路，資料互動和資源訪問也越來越頻繁，網路安全逐漸成為熱點話題。星環TDH具備基於零信任技術構建的安全基礎能力，其在kubernetes Overlay網路上 自定義安全資料訪問模型，並提供基於使用者和角色的許可權訪問控制功能，增加企業級安全性並進行統一的資料許可權管控。TDH配套的Transwarp Aquila、Manager、Audit、Guardian等工具元件也讓系統的安裝部署、擴容升級、安全防衛、風險告警、許可權管理等工作變得更便捷，不僅能夠減小運維人員的操作難度，也能讓企業管理人員更輕鬆的管控資料訪問許可權，避免各類資料安全問題。