引言

隨著云技術(shù)高速發(fā)展，越來越多用戶正在逐步把業(yè)務(wù)遷移至公有云或私有云，云計(jì)算在帶來便捷、快速和靈活等好處的同時(shí)，也改變了傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)、帶來新的安全挑戰(zhàn)。這些安全挑戰(zhàn)不但制約了云計(jì)算發(fā)展，也阻礙關(guān)鍵業(yè)務(wù)向云上遷移。

• 對(duì)于SDN網(wǎng)絡(luò)，云內(nèi)部流量、威脅不可視，虛擬機(jī)、容器間的通信均通過OverLay的網(wǎng)絡(luò)，傳統(tǒng)技術(shù)手段無法感知;

• 虛擬機(jī)和容器之間缺乏便捷、高效威脅隔離機(jī)制，網(wǎng)絡(luò)威脅一旦進(jìn)入云平臺(tái)內(nèi)部，可以肆意蔓延;

• 云安全需要適應(yīng)虛擬機(jī)和容器的彈性擴(kuò)展，能夠動(dòng)態(tài)部署和遷移。

道路千萬條，安全第一條，面對(duì)云時(shí)代新的安全風(fēng)險(xiǎn)，G行一方面用安全可控的技術(shù)提升服務(wù)支持能力，保障各個(gè)業(yè)務(wù)的“安全運(yùn)營”;另一方面也在積極探索零信任安全模型與微隔離技術(shù)應(yīng)用的可行性。

一、零信任安全模型與微隔離介紹

零信任體系結(jié)構(gòu)于2010年由時(shí)任Forrester Research首席分析師的John Kindervag開發(fā)，是一個(gè)廣泛的框架，承諾有效保護(hù)企業(yè)最有價(jià)值的資產(chǎn)。其工作原理是假設(shè)每一個(gè)連接和端點(diǎn)都被視為威脅。該框架針對(duì)這些威脅進(jìn)行防護(hù)，無論是外部還是內(nèi)部威脅，甚至是那些已經(jīng)在內(nèi)部的連接。零信任網(wǎng)絡(luò)的特性為：

• 記錄并查看所有企業(yè)網(wǎng)絡(luò)流量

• 限制和控制對(duì)網(wǎng)絡(luò)的訪問

• 驗(yàn)證和保護(hù)網(wǎng)絡(luò)資源

微隔離是零信任安全模型的最佳實(shí)踐，在2016年的Gartner安全與風(fēng)險(xiǎn)管理峰會(huì)上提出微隔離技術(shù)的概念，以微隔離技術(shù)為基礎(chǔ)的安全解決方案應(yīng)當(dāng)為企業(yè)提供流量的可見性和監(jiān)控，可視化工具可以讓安全運(yùn)維與管理人員了解內(nèi)部網(wǎng)絡(luò)信息流動(dòng)的情況，使得微隔離能夠更好地設(shè)置策略并協(xié)助糾偏。

實(shí)現(xiàn)微隔離有以下四種技術(shù)路線：

二、自適應(yīng)安全管理研究

G行全棧云基礎(chǔ)設(shè)施種類多樣、雙技術(shù)棧同步建設(shè)，支持應(yīng)用以虛擬機(jī)、容器和裸金屬的部署方式上云，綜合考慮基于主機(jī)代理的模式更適合G行全棧云安全建設(shè)需求，因此重點(diǎn)圍繞基于主機(jī)代理的自適應(yīng)安全管理方向進(jìn)行研究和試用。

1.部署模式

自適應(yīng)安全管理在管理角色上分為管理端集群(QCC集群)和客戶端，在三個(gè)數(shù)據(jù)中心分別部署了一套QCC集群提供更高的可用性，各數(shù)據(jù)中心QCC僅能管理所屬的工作負(fù)載。很多業(yè)務(wù)的流量是跨數(shù)據(jù)中心的，各數(shù)據(jù)中心管理者進(jìn)行本地訪控策略配置時(shí)，能夠調(diào)用其他數(shù)據(jù)中心工作負(fù)載的角色及相關(guān)對(duì)象，滿足了獨(dú)立管理、全局控制的管理需求。

編輯搜圖

圖1

所有的工作負(fù)載均通過客戶端接入自適應(yīng)安全管理平臺(tái)，G行全棧云可為應(yīng)用提供虛擬機(jī)和容器資源，自適應(yīng)安全管理平臺(tái)對(duì)虛擬機(jī)和容器工作負(fù)載的流量控制方式有所差異。

1.1 虛擬機(jī)負(fù)載

編輯搜圖

圖2

虛擬機(jī)工作負(fù)載流量控制流程如下：

(1) 標(biāo)識(shí)虛擬機(jī)角色：

Agent安裝于虛擬機(jī)操作系統(tǒng);識(shí)別系統(tǒng)信息，開放服務(wù)的端口，接口地址等主機(jī)信息;Agent為虛擬機(jī)生成唯一身份ID文件;QCC以授權(quán)碼中的信息分配角色標(biāo)簽和工作組名稱，并與身份ID綁定。

(2) 展現(xiàn)連接信息：

Agent讀取工作負(fù)載的連接信息同步至QCC，由QCC生成可視化連接視圖，并定時(shí)刷新。

(3) 下發(fā)訪問控制策略：

在QCC中基于虛擬機(jī)的標(biāo)簽、分組設(shè)定訪控策略，并計(jì)算出對(duì)應(yīng)的IP、Port，下發(fā)至Agent;Agent在虛擬機(jī)網(wǎng)絡(luò)空間的IPTABLES/WFP中寫入訪控策略，實(shí)現(xiàn)虛機(jī)間的微分段。

(4) 策略自適應(yīng)計(jì)算：

Agent對(duì)虛擬機(jī)狀態(tài)持續(xù)監(jiān)測，QCC依據(jù)虛擬機(jī)的標(biāo)簽、分組持續(xù)計(jì)算策略并更新下發(fā)。

1.2 容器負(fù)載

編輯搜圖

圖3

容器工作負(fù)載流量控制流程如下：

(1) 標(biāo)識(shí)Pod角色：

Agent安裝于Node操作系統(tǒng)，安裝命令中預(yù)設(shè)Pod的Label鍵值;Agent基于預(yù)設(shè)鍵值讀取Pod的Label字段，并同步至QCC;QCC以Label為依據(jù)自動(dòng)定義Pod的角色標(biāo)簽和工作組名稱。

(2) 展現(xiàn)連接信息：

Agent讀取Conntrack組件中的連接信息同步至QCC，由QCC生成可視化連接視圖，并定時(shí)刷新;

(3) 下發(fā)訪問控制策略：

在QCC中基于Pod的標(biāo)簽、分組設(shè)定訪控策略，并計(jì)算出對(duì)應(yīng)的IP、Port，下發(fā)至Agent;Agent在Pod網(wǎng)絡(luò)空間的IPTABLES中寫入訪控策略(Mangle表)，實(shí)現(xiàn)Pod間的微分段。

(4) 策略自適應(yīng)計(jì)算：

Agent對(duì)Pod狀態(tài)持續(xù)監(jiān)測，QCC依據(jù)Pod的標(biāo)簽、分組持續(xù)計(jì)算策略并更新下發(fā)。

2.主要功能

圖4

業(yè)務(wù)可視化拓?fù)洌簽閼?yīng)對(duì)現(xiàn)在數(shù)據(jù)中心計(jì)算節(jié)點(diǎn)眾多、內(nèi)部流量復(fù)雜，無法有效的管理和優(yōu)化的問題，自適應(yīng)安全管理能夠繪制出一張完整的流量模型圖，對(duì)東西向流量進(jìn)行清晰的展現(xiàn)和梳理。

面向業(yè)務(wù)的策略管理模型：提供一種獨(dú)特的應(yīng)用及虛擬機(jī)定義方法，并建立一套可見的、可適應(yīng)的、接近自然語言的策略模型。

策略自適應(yīng)計(jì)算：自適應(yīng)技術(shù)能夠根據(jù)數(shù)據(jù)中心內(nèi)部的變化而自動(dòng)調(diào)整安全策略，結(jié)合微隔離技術(shù)，能夠?qū)崿F(xiàn)自適應(yīng)的端到端的精細(xì)化訪問控制。

內(nèi)部異常流量分析：對(duì)全流量的捕捉，能看見任意兩個(gè)點(diǎn)的通信關(guān)系，監(jiān)控所有發(fā)生過的流量，可提供對(duì)攻擊的溯源、取證、符合合規(guī)性檢查的能力。

漏洞分析與屏蔽：將工作負(fù)載上漏洞的風(fēng)險(xiǎn)評(píng)分與其在網(wǎng)絡(luò)層的暴露面進(jìn)行綜合分析，并通過與微隔離的結(jié)合，為用戶提供一種獨(dú)特的漏洞攻擊面分析與漏洞屏蔽方案。

自適應(yīng)安全管理面向云化數(shù)據(jù)中心，能夠?qū)?shù)據(jù)中心的內(nèi)部流量進(jìn)行全面精細(xì)的可視化分析和高細(xì)粒度的安全策略管理，用快速便捷的手段實(shí)現(xiàn)環(huán)境隔離、域間隔離以及端到端隔離。將安全能力與工作負(fù)載(workload)緊密結(jié)合起來，而不是在工作負(fù)載之外做安全，做到了與底層架構(gòu)無關(guān)，實(shí)現(xiàn)了業(yè)務(wù)與安全同步交付。

總結(jié)

安全是相對(duì)的，是一個(gè)持續(xù)的動(dòng)態(tài)過程，從來沒有一勞永逸的安全，沒有永遠(yuǎn)的好機(jī)制、好方法。G行全棧云安全建設(shè)緊跟技術(shù)發(fā)展，在安全機(jī)制、產(chǎn)品功能、運(yùn)營體系等多方面進(jìn)行持續(xù)改進(jìn)，提供高效、便捷、可靠的安全管理能力。