一鍵開啟雲原生網路安全新視界

本文作者：陳桐樂 李卓嘉

隨著雲原生的興起，微服務、容器、kubernetes 容器編排正在快速改變著企業軟體架構的形態，單體架構、分散式架構、微服務架構，軟體架構在持續演進的過程中，變得越來越複雜，管理和維護也越來越困難，不斷出現的安全漏洞也在持續挑戰著企業的安全運營響應能力，如何準確識別風險點，怎麼讓複雜的軟體架構變得清晰可見，不會隨著時間推移變得難以維護，成了雲原生時代軟體架構安全的重要課題之一。

傳統軟體架構場景網路安全往往是基於 IP 配置業務規則，不夠靈活，而且隨著業務發展，網路結構拓撲只有大框架，細節無從考究，沒有有效方案快速基於某個 IP 識別出相關資訊。特別是容器技術和 kubernetes 容器編排技術的發展，IP 隨時可變，要想識別出 IP 的具體資訊，看到更加深層、更加人性化的網路靠傳統的技術方案就變得難以實現。

為了解決雲原生時代網路安全複雜多變的問題，可以透過識別 IP 身份、應用結構分析、構建高維拓撲，能夠清晰地展示真實軟體網路結構，幫助使用者更加便捷地實施網路安全運營。透過 kubernetes 平臺一鍵安全部署，雲原生網路安全新視界盡在眼前。

在雲原生場景下，IP 可分為叢集內部 IP 和叢集外部 IP，叢集內部 IP 又細分為 Pod IP、Service IP、Node IP，我們透過解析 kubernetes 資源資訊，實時監聽資源變化，能夠準確識別出 IP 的詳細資訊，透過智慧篩選，可以快速找到 IP 相關詳細資訊。

智慧篩選識別 IP 身份的方式相比人工識別前進了一小步，但是距離我們的終極目標去 IP 化開啟網路安全新視界還有很長一段距離。京東云云原生網路安全平臺透過採集所有連線資訊，再加上自動 IP 資訊識別，我們能夠準確地構建出更高維度的連線，準確識別出 Pod 之間、Service 之間、Pod 和 Service 之間。

同時還能夠解析基於 helm 部署的 kubernetes 應用結構資訊，準確識別出應用下的 Service、Pod 等資源資訊，再與上一步驟識別出的 kubernetes 資源連線資訊做進一步結合，就能夠實現應用之間連線視覺化。

為了進一步提高視覺化的便捷性，在連線列表的基礎上，進一步分析出了基於 Pod、Service、應用之間到的拓撲結構，能夠更加清晰地展示相互之間的連線關係，幫助使用者進一步進行網路安全連線分析。

透過識別 IP 身份、應用結構分析、構建高維拓撲京東云云原生網路安全平臺，以更加直觀地方式將 kubernetes 叢集的網路結構清晰地展現在使用者面前，為使用者構建出網路安全的新視界。

在雲原生安全發展的道路上，可視只是第一步，未來我們將加入更多的資料分析，更加智慧化地幫助使用者識別整體的網路安全狀態，實時告警，預案執行等，進一步減少使用者安全管理的複雜度。

京東雲原生網路平臺支援基於 helm 部署，在叢集下透過一鍵安裝部署，簡單清晰的網路安全新視界就能展現在眼前。填寫試用調研問卷，我們會有儘快與您聯絡，開始一鍵試用。

問卷：https://get.jd.com/#/survey/index?id=5465191428985405