【Gator Cloud】架構篇 - 提供基於雲原生的資料安全保護

北京天空衛士發表於2023-05-05

隨著雲端計算的成熟和雲端計算系統的廣泛使用,越來越多的企業選擇將新業務部署到雲上。但是,上雲並不意味著就能夠充分利用雲平臺的優勢。目前,大部分的雲化應用,依然還是基於傳統的軟體架構來搭建的,僅僅是移植到雲上去執行,和雲平臺的整合度非常低。


這種基於虛擬主機為主體的雲化方式,只是實現了對雲端計算最初級的利用,無法充分發揮雲端計算中彈性、高可用性,易擴充套件性等優勢。要想進行真正的雲化,還需要摒棄傳統的方法,從架構設計、開發方式、部署維護等各個階段基於雲原生的特點重新實現,從而建設全新的基於雲的應用和系統,也就是雲原生架構。

#01

什麼是雲原生?

What is Cloud Native?

雲原生是一種全新的技術理念,以容器化、微服務、持續整合和持續交付為主要要素,是一套從雲應用視角,專門為雲應用設計的架構體系。當前,雲原生正以其技術優勢以及不斷擴大的應用場景,逐步普及到各行各業的敏捷開發與業務創新中。


目前,雲原生計算基金會(CNCF)給出了雲原生應用的三大特徵:

1、 應用容器化

容器映象打包了整個容器執行依賴的環境,包括程式碼、依賴庫、工具、資原始檔和元資訊等,避免了依賴執行容器的作業系統,從而實現“Build once, run anywhere”。容器映象一旦構建完成,就變成read only,成為不可變基礎設施的一份子。

透過容器化封裝解耦了應用程式和作業系統的依賴,保證應用程式在跨越雲基礎設施進行遷移和擴充套件時變得簡單且穩定。

2、 面向微服務架構

在微服務架構中,服務是一個個單一的、可獨立部署的軟體元件,每個元件實現獨立的功能。開發人員只需透過服務的API訪問服務內部的方法和資料。透過這樣的方式,微服務架構強制實現了應用程式的模組化。微服務架構的最核心特性是服務之間的松耦合性。服務之間的互動採用API完成,這樣做就封裝了服務的實現細節,支援未來在不影響客戶端的前提下,對實現方式做出修改。

微服務架構透過將大的系統按照業務服務的粒度進行拆分,每個服務可獨立開發、測試、驗證和部署,在最佳化資源的同時,也為應用程式提供了更好的擴充套件性。

3、 動態編排

透過集中式的編排排程系統來實現服務的動態管理和排程,包括服務的發現和治理、遠端呼叫、服務代理和微服務治理等元件,實現構建容錯性好、易於管理和便於觀察的松耦合系統。

 

讓企業應用能夠利用雲平臺實現資源的按需分配和彈性伸縮,是雲原生應用重點關注的地方。它要求雲原生應用具備可用性和伸縮性,以及自動化部署和管理能力,可隨處執行,並且能夠透過持續整合、持續交付提升研發、測試與釋出的效率。雲原生應用並未完全顛覆傳統的應用,採用雲原生的設計模式可以最佳化和改進傳統應用模式,使應用更加適合在雲平臺上執行。

#02

天空衛士資料安全
產品如何上雲?

How to deploy Skyguard Data Security products on cloud?

天空衛士的Gator Cloud NG,是一套完全以雲原生的方式構建起來的資料安全解決方案。企業和組織可以靈活選擇搭配各種資料安全服務,對其資料和應用進行保護。


下面,讓我們一起從雲原生的角度看看Gator Cloud NG的整體設計:




基於K8S的分散式架構,支援按需分配服務資源:

  • 基於K8S技術,實現各個安全服務在雲端環境對部署、啟動和擴容等業務功能;

  • 基於客戶身份,透過名稱空間實現多租戶部署場景的服務隔離;

  • 實現各個產品服務對內部元件的服務依賴管理,啟停順序控制、資源回收和持久化儲存等功能。

將之前的單體應用拆分成為微服務模式,以支援彈性伸縮:

  • 關鍵路徑的節點均改造成無狀態服務:即使節點掛掉再重啟,也不會發生資料丟失,保證了高可用,同時也能夠支援快速的擴縮容;

  • 技術實現上,研發團隊在充分考慮資源利用率的同時兼顧了安全要求, 對不同型別的元件了採用分級的方式進行了拆分:

  1. 公共服務元件,包括內容解析服務元件、OCR服務元件和病毒分析服務元件等,這些元件的執行不涉及租戶相關資料,將會以叢集級別的方式提供服務,統一服務於整個叢集中所有租戶的業務元件;

  2. 租戶相關基礎服務元件,包括Redis元件、PG元件和安全策略引擎元件,由於這些元件包含租戶級別的資料資訊,為了實現租戶資料隔離,這些元件將會以租戶級別單獨建立;

  3. 安全服務元件,包括ATS服務元件和UCWI API元件等,由於這些服務和安全服務業務相關,將為每個服務單獨建立,支援動態擴充套件。

  • 為了保證資料的快速和高效流轉、資料隔離,為每個租戶建立不同的PV,租戶裡不同元件需要共享(持久化)的檔案統一掛載到該PV上。

採用 統一儲存解決方案Ceph,資料分佈均衡,並行度高, 可適應任何底層的物理儲存系統:

  • 實現控制平面和資料平面完全分開。控制平面提供服務的抽象層,透過 API 訪問儲存層提供的基礎功能;

  • 提供了多種使用者訪問介面,便於資料共享,保證了資料安全。

資料安全服務統一管理平臺和資料安全服務提供點分離,以支援企業的 就近接入需求:

  • 天空衛士已經在多個IaaS部署安全服務叢集,使用者可以根據自身的業務輻射範圍、使用者的集合地等因素選擇接入速度更快的服務提供點;

  • 同時支援將服務提供點部署到客戶的私有云平臺;

  • 根據客戶流量分佈,支援服務就近訪問、故障轉移能力。


透過運維管理平臺實現 多叢集的統一管理

  • 統一納管公有云叢集、私有云叢集,集中管理部署資料安全服務;

  • 對於雲端服務,提供統一的運維支援。

#03

建設效果如何?

What Skyguard product features can be deployed on cloud?

當前,Gator Cloud已經可以提供包括網路資料安全服務和統一內容審查服務。企業可以根據自身業務情況,自主選擇所需的資料安全服務,並提供便捷的接入方式,輕鬆就能實現對其企業資料和應用的保護。

1、 網路資料安全服務

將企業應用資料透過安全隧道導流到最近的天空衛士安全服務叢集(POP), 由叢集中的資料安全服務根據每個客戶在統一管理平臺配置的安全策略來對客戶的資料進行檢測、清洗、記錄日誌、阻斷等操作。

  • 透過採用隧道模式,原報文保持原有的完整結構,內容不會被修改;

  • 在具體的導流方案選型上,技術團隊最終在 IPSec方案中採用了ESP(Encapsulating Security Payload)協議,是因為ESP能夠在資料的傳輸過程中對資料進行完整性度量和來源認證,可以選擇加密,也可以選擇防止回放保護;

IPSec簡介: IPSec在網路層將IP報文進行處理後再傳輸,增強了IP報文的安全性。

準確來說,IPSec不是一個單獨的協議,而是一組協議,IPsec包含了三個最重要的協議:認證頭AH(Authentication Header),封裝安全載荷ESP(Encapsulating Security Payload),金鑰交換協議IKE(Internet Key Exchange)。

IPSec是IPv6的組成部分,也是IPv4的可選擴充套件協議),在保證IP報文的資料保密性(加密)、資料完整性度量(防止資料被改動)的基礎上可防止資料回放攻擊(即接收到多個相同報文)。

  • 安全服務叢集可根據客戶的購買許可,以及客戶流量的情況,動態地分配計算資源,確保客戶的資料安全需求都能輕鬆滿足。

2、 統一內容審查服務

利用GatorCloud部署在雲上的統一內容安全審查服務,為客戶在雲上的業務提供基於 REST API 的資料安全服務。客戶的雲業務開發人員可以在自己業務資料流轉的關鍵節點,呼叫基於Restful的API介面,即可享受黑盒式的資料安全服務。


API 介面呼叫好處是將使用者業務流程開發者和資料安全策略制定者隔離開來:業務流程的開發人員無需瞭解客戶企業資料安全策略的具體細節,同時,企業資料安全團隊也無需瞭解業務流程中資料流轉的細節。這樣的隔離能夠大大提高企業部署資料安全策略效率。


未來,還會有包括安全Web閘道器服務、終端資料安全服務等更多的安全服務陸續推出。

作者介紹

劉茜 北京天空衛士網路安全技術有限公司產品經理,電子科技大學通訊工程學士和管理雙學士。關注大資料、資料探勘和機器學習演算法及應用和移動安全產品 。加入天空衛士之前在賽門鐵克從事安全產品的研發工作。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70012716/viewspace-2950288/,如需轉載,請註明出處,否則將追究法律責任。

相關文章