SmartX Everoute 如何透過微分段技術實現 “零信任” | 社群成長營分享回顧
在社群成長營網路與安全第一期分享中,SmartX 高階產品營銷經理張濤介紹了網路安全的重要性,和虛擬化環境下東西向安全的指導思路。
網路與安全第二期分享繼續由張濤老師提供,以下為內容回顧。
SmartX 社群成長營
在 SmartX 使用者社群,我們將透過系列成長營活動,持續分享技術乾貨內容與行業解決方案,與社群成員共同成長。
歡迎新增管理員,加入 SmartX 使用者社群
大家晚上好,我是來自 SmartX 的張濤。我今天將圍繞 SmartX 網路與安全產品 —— Everoute —— 是如何透過微分段技術實現 “零信任” 的安全理念來進行分享。分享內容主要包括以下五個部分:
-
回顧:為什麼需要微分段?
-
市場上主流微分段解決方案概述
-
“安全微分段” 內生在超融合架構中的原理和優勢。
-
Everoute 微分段安全策略舉例。
-
如何對可疑虛擬機器進行 “一鍵式” 隔離?
回顧:為什麼需要微分段?
虛擬化和雲端計算的發展促進了應用和資料的高度集約化部署。面向終端使用者應用需求的爆炸式增長,推動了應用開發、部署和迭代模式的變化:從傳統的 “高、大、全” 的單體架構轉向 “小、快、靈” 的微服務架構。
應用網格化、敏捷性和移動性特點因此日益明顯,雲內和雲間橫向互訪和資料交流的頻度得以進一步提高,傳統 “安全邊界” 不再可靠。與此同時,“最小許可權原則” 指導下的東-西向隔離的重要性卻日益凸顯。
產生這樣的原因是因為虛擬化技術的誕生,讓以往資訊化系統的最小單位從“物理主機” 變為 “虛擬主機”。連帶著,用於連線各個單元的不再是網線,而是虛擬介面,主機彼此間的安全邊界也逐步消融到虛擬化叢集內部。
基於物理主機為最小單位發展出來的安全體系,逐漸失去了防禦的目標。容器化的普及,更是進一步加深了人們對不可見的邊界及安全問題的憂慮。
面向虛擬化和容器的 “微分段”(Micro-Segmentation)因此應運而生,這也是在雲內/雲間對應用/資料進行 “微顆粒度隔離” 的具體技術方法。
SMTX OS 是由 SmartX 自主研發的超融合軟體,提供計算虛擬化、分散式儲存和網路與安全等功能。
SmartX 解決方案中的 Everoute 是基於雲原生和 SMTX OS 虛擬化、面向雲原生和 SMTX OS 虛擬化的網路與安全產品,可以為虛擬機器和容器建立符合 “零信任” 要求的微隔離環境,並透過集中的策略管理平臺,減輕虛擬化和安全管理員繁重的日常操作。
以下為超融合模式下的應用虛擬化和分散式架構示意圖。
市場上主流微分段解決方案概述
目前市場上有三種主流的微分段解決方案。在基於虛擬化網路的微分段產品之前,常用的第一種是透過在每個虛擬機器內部安裝終端安全軟體/外掛,來實現微顆粒度的安全控制(如下圖)。
但這種方式存在以下三個不足:
1)安裝在客戶虛擬機器內部的安全產品僅能對單個虛擬機器進行防護。
2)大量虛擬主機可能基於不同作業系統型別和版本,安裝有不同應用和服務,對安全策略有不同要求,難以統一管理。
3)對大批次虛擬主機進行威脅庫和補丁更新,在運維層面的操作難度大,對生產的影響大。
第二種,是網路裝置廠商推出的基於硬體交換機的微分段解決方案(如下圖)。
這種方案的原理是將同一子網的不同端點組(EPG)的虛擬機器配置在隔離的 VLAN/PVLAN,從而使得虛擬機器在虛擬交換機層面上無法互通。想要溝通,必須首先轉發至 TOR 硬體交換機上,基於此實現 “安全服務鏈”。
但這種方式對用作 Leaf 節點的交換機型號和版本有嚴格要求,無論邏輯拓撲還是物理拓撲都很複雜,大量 “髮卡彎” 流量的存在也將降低系統的可維護性。
“安全微分段” 內生在超融合架構中的原理和優勢
基於虛擬化網路的微分段解決方案與以上方式不同,將 Hypervisor 管理的虛擬交換機 VDS,和容器網路介面 CNI 作為實施虛擬機器和容器微分段的切入點,並透過在虛擬化和容器環境裡,增加策略 “維度” 的方式,解決虛擬機器和容器的數量、用途和位置不斷變化的困境。
以 SmartX 網路與安全解決方案 —— Everoute 為例,SmartX 的安全微分段內生於超融合作業系統中(如下圖)。
其透過在每臺主機上執行專用程式,對虛擬機器之間的通訊流量進行直接管理。若要對一個或多個超融合叢集啟用安全微分段,僅需在集中管理器上將此功能與對應的虛擬交換機進行關聯就可以。
開啟後,虛擬機器之間的資料包被 “允許” 或 “拒絕” 動作,其由叢集上的每臺主機分散式執行。
優勢體現在四個方面:
-
不裝外掛:不在虛擬機器上安裝任何代理或外掛,虛擬機器可以採用任何作業系統、執行任何應用程式。
-
不動網路:無需變更任何網路線路,無需修改物理網路上路由器、交換機、防火牆的任何配置,面向物理硬體的網路連線,與應用之間將是松耦合關係,訪問控制功能已經被抽象到虛擬化網路層,不再透過特定的硬體網路裝置實現了。
-
沒有瓶頸:安全功能分佈在所有主機上,不會由於少數主機效能消耗過大而形成瓶頸。與此對照的是,基於專用裝置(如 TOR 交換機、硬體防火牆等)承擔安全功能,導致網路結構僵化、缺乏面向敏捷應用的容量和彈性,限制了應用以虛擬化、容器化方式的快速迭代和擴充套件。
-
應用可移動:應用層與特定物理裝置解耦之後,同一個應用,可能被分佈在不同物理位置、甚至不同的雲上,虛擬化網路應在這些位置上保持同樣的邏輯拓撲和功能;Everoute 安全策略可以跟隨虛機位置進行移動,這就確保應用實現了“位置無關”的無縫連線和平滑遷移。
此外,以上提到的虛擬機器管理、標籤管理、安全策略管理、虛擬機器隔離等安全運維操作,都可以在 SmartX 超融合系統的 “管理中心”—— CloudTower ——上完成。
CloudTower 是 SmartX 自主研發的多叢集管理軟體,在同一個管理介面上即可對不同叢集上的虛擬機器、分散式儲存和安全微分段進行配置。虛擬機器即使發生了跨叢集的遷移,也仍然在原有 CloudTower 管理範圍內,虛擬機器標籤可以保持、與標籤關聯的安全策略也可以在不同叢集上被執行。
透過 CloudTower, 可有效減輕虛擬化和安全管理員繁重的日常操作。而對於採用 “標籤” 為條件的微分段安全策略後的實際效果,也可透過其進行檢視和監控,評估現有策略的有效性和適用性,確保必要的應用流量沒有被中斷
因此,Everoute 採用的基於軟體 SDN 的微分段方式,是對於整體架構影響最小的方式。
Everoute 微分段安全策略舉例
透過以上對比可以瞭解到,實施微分段的最佳切入點,是虛擬交換機。這是啟用虛擬化或容器化環境所必需的原生網路元件。在此基礎上應用 “標籤” 和安全策略,是原生且最直接的微隔離方法。這就是 “內生安全” 的含義。
微隔離如果不是內生於虛擬化和容器平臺,將不可避免地成為業務敏捷性的累贅。
傳統訪問控制策略的基本要素是 IP 地址、協議和埠號,擴充套件的安全策略中還可能包含時間和 MAC 地址,最多可實現 “五維” 安全策略。
在 SMTX OS 環境中,可以設定 “標籤(Tag 或 Label)”,並將標籤作為一個新的安全控制要素,這就為安全規則的編寫和維護帶來了更多便利和可能性。制定包含六個 “維度” 的安全策略。
常見的一個 “Web-App-DB” 三層應用架構,如果每一層都由 3~4 個虛擬機器或容器組成 (如下圖)。
那麼為這個應用編寫基於 IP + Port 的安全策略,規則數量有可能多達十幾條;當每一層中需要對虛擬機器或容器進行增、刪、改操作時,都必須調整與之關聯的安全規則,甚至有可能需要調整 IP 網段設定。
與之對照的是,如果基於“ 標籤” 這個維度在 Everoute 中制定安全策略,安全規則數量就可以減少到 3 條,而且對虛擬機器或容器進行增、刪、改操作,都不需要調整安全規則。
Everoute 的安全策略,以 “預設拒絕” 作為底線規則,這與 “零信任” 安全所要求的 “最小許可權” 原則相一致。
如何對可疑虛擬機器進行 “一鍵式” 隔離?
對於運維人員而言,沒有什麼安全措施是萬全的保障,必須提前備好在突發安全狀態下的緊急預案,才能對 “萬一” 發生的安全事件進行快速響應。
Everoute 的微分段功能,也包含了對於虛擬機器進行緊急隔離的技術方法。
具體來說,當管理員或安全運維中心(SOC)發現某個虛擬機器的行為異常,比如某個用作檔案伺服器的虛擬機器上的收/發流量突增,但所有普通使用者都無法連線到這個伺服器,此時就可以:
1)立刻透過超融合管理介面或 API 將這臺虛擬機器置於 “網路隔離” 狀態。
2)被 “隔離” 的虛擬機器與周邊的通訊被完全切斷,不會再影響到同一環境內的其他虛擬機器,為管理員排除安全威脅或系統故障爭取了時間。
3)如果排查 / 修復過程中,管理員需要臨時與虛擬機器進行通訊(比如需要透過運維跳板機上傳補丁檔案、執行遠端診斷程式),則可以透過設定 “診斷隔離白名單”,允許被隔離虛擬機器與特定目標之間的臨時單點通訊。
4)故障 / 安全漏洞修復後,還可以 “一鍵式” 恢復虛擬機器的正常執行狀態,隔離之前已經應用在這個虛擬機器上的安全策略無需調整,重新生效。
以上是第二期的內容回顧。在下期分享中,張濤老師將介紹基於微分段技術實現東西向安全防護後,會給資料中心在虛擬化、網路、安全方面帶來哪些思路和方法上的改變,並說明這些改變將如何影響和提升資料中心運維效率。
歡迎各位小夥伴新增管理員微信,加入 SmartX 使用者社群,和我們一同成長~
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69974533/viewspace-2913179/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 基於微分段的東西向安全防護,如何提升資料中心運維效率?|社群成長營分享回顧運維
- 亞信安慧AntDB社群版技術熱點回顧及專家分享
- 零信任技術思考
- 騰訊 iOA 零信任安全技術實踐
- 活動回顧|雲原生技術實踐營Serverless + AI 專場 (深圳站) 回顧&PPT下載ServerAI
- 社群故事|SmartX 使用者社群技術發燒友獨家專訪
- 零信任的技術價值
- 16個幫助開發者成長的技術社群
- 技術人如何自我成長?
- 龍蜥社群高效能儲存技術 SIG 11 月運營回顧 | 龍蜥 SIG
- 龍蜥社群 11 月運營大事件回顧事件
- 工程師成長的必備技能【11.7 熱門分享回顧】工程師
- SmartX超融合網路與安全元件微分段釋出,構建零信任安全的企業雲基礎設施元件
- 一個技術的成長過程
- 騰訊首次對外公佈零信任技術演進路線圖,助力零信任技術落地及應用
- 支付寶techday分享–成長、團隊、信任
- 趨勢分析 | 零信任實踐之關鍵技術解讀
- SAP產品增強技術回顧
- 第八期杭州NodeParty x Rokid技術分享會回顧
- 木魚小鋪:新零售社群營銷如何實現粉絲轉化
- 出色的技術分享是如何煉成的?
- 羅姆(ROHM)第4代:技術回顧
- 2017 前端技術發展回顧前端
- eMarketer:汽車營銷如何實現投資回報
- 技術之外的成長
- NEO主要技術社群成員大曝光
- 螞蟻微貸互動營銷技術體系實踐
- 字元如何透過函式成為html實體字元函式HTML
- Cocos 技術派:實時競技小遊戲技術實現分享遊戲
- SSLO如何實現會話保持?技術乾貨線上分享會話
- 技術分享| 如何使用Prometheus實現系統程式監控Prometheus
- 2010年架構社群回顧:悠長的一年架構
- 公司內部技術分享會:覆盤我的前端成長前端
- 回顧2016年 | 掘金技術徵文
- 分散式資料庫技術論壇回顧分散式資料庫
- 我的2020回顧——技術篇
- 2016年 iOS 技術圈回顧iOS
- 2016年iOS技術圈回顧iOS