引言

隨著云技術(shù)高速發(fā)展，越來越多用戶正在逐步把業(yè)務(wù)遷移至公有云或私有云，云計算在帶來便捷、快速和靈活等好處的同時，也改變了傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)、帶來新的安全挑戰(zhàn)。這些安全挑戰(zhàn)不但制約了云計算發(fā)展，也阻礙關(guān)鍵業(yè)務(wù)向云上遷移。

• 對于SDN網(wǎng)絡(luò)，云內(nèi)部流量、威脅不可視，虛擬機、容器間的通信均通過OverLay的網(wǎng)絡(luò)，傳統(tǒng)技術(shù)手段無法感知;

• 虛擬機和容器之間缺乏便捷、高效威脅隔離機制，網(wǎng)絡(luò)威脅一旦進入云平臺內(nèi)部，可以肆意蔓延;

• 云安全需要適應(yīng)虛擬機和容器的彈性擴展，能夠動態(tài)部署和遷移。

道路千萬條，安全第一條，面對云時代新的安全風險，G行一方面用安全可控的技術(shù)提升服務(wù)支持能力，保障各個業(yè)務(wù)的“安全運營”;另一方面也在積極探索零信任安全模型與微隔離技術(shù)應(yīng)用的可行性。

一、零信任安全模型與微隔離介紹

零信任體系結(jié)構(gòu)于2010年由時任Forrester Research首席分析師的John Kindervag開發(fā)，是一個廣泛的框架，承諾有效保護企業(yè)最有價值的資產(chǎn)。其工作原理是假設(shè)每一個連接和端點都被視為威脅。該框架針對這些威脅進行防護，無論是外部還是內(nèi)部威脅，甚至是那些已經(jīng)在內(nèi)部的連接。零信任網(wǎng)絡(luò)的特性為：

• 記錄并查看所有企業(yè)網(wǎng)絡(luò)流量

• 限制和控制對網(wǎng)絡(luò)的訪問

• 驗證和保護網(wǎng)絡(luò)資源

微隔離是零信任安全模型的最佳實踐，在2016年的Gartner安全與風險管理峰會上提出微隔離技術(shù)的概念，以微隔離技術(shù)為基礎(chǔ)的安全解決方案應(yīng)當為企業(yè)提供流量的可見性和監(jiān)控，可視化工具可以讓安全運維與管理人員了解內(nèi)部網(wǎng)絡(luò)信息流動的情況，使得微隔離能夠更好地設(shè)置策略并協(xié)助糾偏。

實現(xiàn)微隔離有以下四種技術(shù)路線：

二、自適應(yīng)安全管理研究

G行全棧云基礎(chǔ)設(shè)施種類多樣、雙技術(shù)棧同步建設(shè)，支持應(yīng)用以虛擬機、容器和裸金屬的部署方式上云，綜合考慮基于主機代理的模式更適合G行全棧云安全建設(shè)需求，因此重點圍繞基于主機代理的自適應(yīng)安全管理方向進行研究和試用。

1.部署模式

自適應(yīng)安全管理在管理角色上分為管理端集群(QCC集群)和客戶端，在三個數(shù)據(jù)中心分別部署了一套QCC集群提供更高的可用性，各數(shù)據(jù)中心QCC僅能管理所屬的工作負載。很多業(yè)務(wù)的流量是跨數(shù)據(jù)中心的，各數(shù)據(jù)中心管理者進行本地訪控策略配置時，能夠調(diào)用其他數(shù)據(jù)中心工作負載的角色及相關(guān)對象，滿足了獨立管理、全局控制的管理需求。

編輯搜圖

圖1

所有的工作負載均通過客戶端接入自適應(yīng)安全管理平臺，G行全棧云可為應(yīng)用提供虛擬機和容器資源，自適應(yīng)安全管理平臺對虛擬機和容器工作負載的流量控制方式有所差異。

1.1 虛擬機負載

編輯搜圖

圖2

虛擬機工作負載流量控制流程如下：

(1) 標識虛擬機角色：

Agent安裝于虛擬機操作系統(tǒng);識別系統(tǒng)信息，開放服務(wù)的端口，接口地址等主機信息;Agent為虛擬機生成唯一身份ID文件;QCC以授權(quán)碼中的信息分配角色標簽和工作組名稱，并與身份ID綁定。

(2) 展現(xiàn)連接信息：

Agent讀取工作負載的連接信息同步至QCC，由QCC生成可視化連接視圖，并定時刷新。

(3) 下發(fā)訪問控制策略：

在QCC中基于虛擬機的標簽、分組設(shè)定訪控策略，并計算出對應(yīng)的IP、Port，下發(fā)至Agent;Agent在虛擬機網(wǎng)絡(luò)空間的IPTABLES/WFP中寫入訪控策略，實現(xiàn)虛機間的微分段。

(4) 策略自適應(yīng)計算：

Agent對虛擬機狀態(tài)持續(xù)監(jiān)測，QCC依據(jù)虛擬機的標簽、分組持續(xù)計算策略并更新下發(fā)。

1.2 容器負載

編輯搜圖

圖3

容器工作負載流量控制流程如下：

(1) 標識Pod角色：

Agent安裝于Node操作系統(tǒng)，安裝命令中預(yù)設(shè)Pod的Label鍵值;Agent基于預(yù)設(shè)鍵值讀取Pod的Label字段，并同步至QCC;QCC以Label為依據(jù)自動定義Pod的角色標簽和工作組名稱。

(2) 展現(xiàn)連接信息：

Agent讀取Conntrack組件中的連接信息同步至QCC，由QCC生成可視化連接視圖，并定時刷新;

(3) 下發(fā)訪問控制策略：

在QCC中基于Pod的標簽、分組設(shè)定訪控策略，并計算出對應(yīng)的IP、Port，下發(fā)至Agent;Agent在Pod網(wǎng)絡(luò)空間的IPTABLES中寫入訪控策略(Mangle表)，實現(xiàn)Pod間的微分段。

(4) 策略自適應(yīng)計算：

Agent對Pod狀態(tài)持續(xù)監(jiān)測，QCC依據(jù)Pod的標簽、分組持續(xù)計算策略并更新下發(fā)。

2.主要功能

圖4

業(yè)務(wù)可視化拓撲：為應(yīng)對現(xiàn)在數(shù)據(jù)中心計算節(jié)點眾多、內(nèi)部流量復(fù)雜，無法有效的管理和優(yōu)化的問題，自適應(yīng)安全管理能夠繪制出一張完整的流量模型圖，對東西向流量進行清晰的展現(xiàn)和梳理。

面向業(yè)務(wù)的策略管理模型：提供一種獨特的應(yīng)用及虛擬機定義方法，并建立一套可見的、可適應(yīng)的、接近自然語言的策略模型。

策略自適應(yīng)計算：自適應(yīng)技術(shù)能夠根據(jù)數(shù)據(jù)中心內(nèi)部的變化而自動調(diào)整安全策略，結(jié)合微隔離技術(shù)，能夠?qū)崿F(xiàn)自適應(yīng)的端到端的精細化訪問控制。

內(nèi)部異常流量分析：對全流量的捕捉，能看見任意兩個點的通信關(guān)系，監(jiān)控所有發(fā)生過的流量，可提供對攻擊的溯源、取證、符合合規(guī)性檢查的能力。

漏洞分析與屏蔽：將工作負載上漏洞的風險評分與其在網(wǎng)絡(luò)層的暴露面進行綜合分析，并通過與微隔離的結(jié)合，為用戶提供一種獨特的漏洞攻擊面分析與漏洞屏蔽方案。

自適應(yīng)安全管理面向云化數(shù)據(jù)中心，能夠?qū)?shù)據(jù)中心的內(nèi)部流量進行全面精細的可視化分析和高細粒度的安全策略管理，用快速便捷的手段實現(xiàn)環(huán)境隔離、域間隔離以及端到端隔離。將安全能力與工作負載(workload)緊密結(jié)合起來，而不是在工作負載之外做安全，做到了與底層架構(gòu)無關(guān)，實現(xiàn)了業(yè)務(wù)與安全同步交付。

總結(jié)

安全是相對的，是一個持續(xù)的動態(tài)過程，從來沒有一勞永逸的安全，沒有永遠的好機制、好方法。G行全棧云安全建設(shè)緊跟技術(shù)發(fā)展，在安全機制、產(chǎn)品功能、運營體系等多方面進行持續(xù)改進，提供高效、便捷、可靠的安全管理能力。