如何構(gòu)建云原生環(huán)境下的流量管理

周兵峰

不斷創(chuàng)新的技術(shù)帶來了一系列好處，例如自動化、敏捷性和效率，提高了公司的生產(chǎn)率，但是，隨著新技術(shù)的到來，漏洞和安全威脅也隨之而來。集裝箱化就是這種情況，盡管容器化已經(jīng)存在了數(shù)十年，但近年來云計算的革命性發(fā)展才真正推動了容器化的普及。盡管具有很多優(yōu)點，但是容器化也還是有一些漏洞，容器普遍壽命較短，迫切需要加強對容器環(huán)境安全性和合規(guī)性問題的研究與投入。

云隙是安全狗打造的自適應(yīng)微隔離系統(tǒng)，基于CWPP有3種技術(shù)路線：基礎(chǔ)設(shè)施隔離、虛擬化層隔離以及工作節(jié)點主機代理模式（Agent）隔離。主要采用通過在公有云、私有云和混合云模式下的工作負載安裝Agent，采集工作負載之間的網(wǎng)絡(luò)流量，以可視化展示網(wǎng)絡(luò)訪問關(guān)系，實現(xiàn)根據(jù)業(yè)務(wù)需求設(shè)置訪問控制策略，工作負載支持主機服務(wù)器、虛擬主機和容器等節(jié)點模式。

在云隙新版本中，可通過Agent將容器成功接入管理中心，采用微隔離技術(shù)和NetworkPolicy機制，不僅能夠識別容器網(wǎng)絡(luò)，繪制容器之間、宿主機與容器間的業(yè)務(wù)拓撲，還可以進行安全策略配置，實現(xiàn)容器網(wǎng)絡(luò)的微隔離，保證網(wǎng)絡(luò)安全和業(yè)務(wù)優(yōu)化。

容器網(wǎng)絡(luò)流量采集

采用鏈接跟蹤（conntrack）技術(shù)方案采集容器間的網(wǎng)絡(luò)流量，基于Netfilter實現(xiàn)的conntrack機制以及procfs提供的進程信息分析。conntrack本身并不會對包進行過濾，而是提供一種基于狀態(tài)和關(guān)系的過濾依據(jù)，只關(guān)注網(wǎng)絡(luò)流量的基礎(chǔ)數(shù)據(jù)。同時使用procfs提供的進程信息將進程和網(wǎng)絡(luò)做連接，從而達到所需的監(jiān)控要求。

通過對進程下網(wǎng)絡(luò)信息的分析，結(jié)合conntrack捕獲到的鏈接數(shù)據(jù)，就可以將主機下的網(wǎng)絡(luò)拓撲還原出來，而容器的本質(zhì)也是宿主機上的一個進程，最終主機棧的網(wǎng)絡(luò)拓撲和容器棧的網(wǎng)絡(luò)拓撲都可以被分析出來。

容器網(wǎng)絡(luò)流量可視化

通過采集容器資產(chǎn)信息，對容器資產(chǎn)進行分析，并基于全局標(biāo)簽管理，為容器貼標(biāo)簽，將容器標(biāo)簽化，形成一組容器唯一的安全屬性，根據(jù)業(yè)務(wù)組標(biāo)簽自動進行分組。針對容器業(yè)務(wù)構(gòu)成及業(yè)務(wù)依賴關(guān)系進行分析，展示業(yè)務(wù)依賴路徑，完整顯示容器間的訪問關(guān)系，采用AntV G6方式進行訪問關(guān)系渲染與顯示，繪制出容器業(yè)務(wù)拓撲，實現(xiàn)容器網(wǎng)絡(luò)流量的可視化。

標(biāo)簽化+自動化安全策略管控

通過去IP化、標(biāo)簽化，實現(xiàn)多維度規(guī)則配置，達到集中性的管理策略，分散性的控制流量。與底層IP、端口等網(wǎng)絡(luò)元素解耦，當(dāng)容器環(huán)境發(fā)生更新時，動態(tài)更新關(guān)聯(lián)容器的規(guī)則，自動適應(yīng)容器環(huán)境。

采用流量學(xué)習(xí)自動化的思維，通過數(shù)據(jù)獲取與處理、策略規(guī)則配置、策略規(guī)則驗證及策略下發(fā)生效等流程，可基于訪問關(guān)系快速、有針對性地自動批量生成容器安全策略規(guī)則。

網(wǎng)絡(luò)微隔離助力風(fēng)險閉環(huán)處置

通過全面地對容器端口調(diào)用進行監(jiān)控，記錄容器互訪關(guān)系，針對端口調(diào)用關(guān)系，進行策略規(guī)則配置，實現(xiàn)按需開放。通過細粒度的訪問控制策略逐步細化、收緊工作負載的攻擊暴露面，防止攻擊者利用跳板竊取有價值的數(shù)據(jù)資產(chǎn)，防止病毒在內(nèi)部網(wǎng)絡(luò)中傳播。

越來越多的企業(yè)采用容器化部署以此支持自身業(yè)務(wù)快速布局，但容器內(nèi)東西向流量的不可見導(dǎo)致異常訪問不可視，進而導(dǎo)致黑客入侵、提權(quán)、劫持?jǐn)?shù)據(jù)等損害企業(yè)利益的行為發(fā)生。安全狗云隙的全局可視化管理、實時流量檢測、實時業(yè)務(wù)拓撲、自動化策略配置等功能可為用戶提供安全防護。

基于標(biāo)簽化的資產(chǎn)管理及可視化連接分析能力，數(shù)據(jù)中心內(nèi)部容器資產(chǎn)屬性及業(yè)務(wù)間的互訪關(guān)系得以理清。為安全運營人員提供全局可視，及時阻斷異常入侵攻擊行為，有效緩解安全專業(yè)水平低等資源問題。

全面監(jiān)控容器的端口調(diào)用關(guān)系，進行策略管控，基于流量訪問關(guān)系與策略匹配情況，快速發(fā)現(xiàn)異常訪問行為，快速定位業(yè)務(wù)系統(tǒng)上的異常流量，有效維護業(yè)務(wù)系統(tǒng)的穩(wěn)定運行。

實時業(yè)務(wù)拓撲能夠了解攻擊者可使用的所有攻擊向量和開放路徑，防止攻擊者利用跳板竊取有價值的數(shù)據(jù)，數(shù)據(jù)中心內(nèi)部防御能力得到顯著提升。有效防止數(shù)據(jù)被劫持、泄露進而勒索等事件發(fā)生。

高度自動化和可編排的策略配置能力，在容器發(fā)生遷移、IP變化和彈性拓展等場景時，安全策略能夠自動適應(yīng)調(diào)整，減少人工參與，消除了手動配置發(fā)生錯誤的風(fēng)險。有效賦能云原生容器化快速部署，讓業(yè)務(wù)拓展和安全實現(xiàn)雙贏。

面對難以修復(fù)漏洞的老舊系統(tǒng)、內(nèi)部病毒橫向傳播、大型攻防演練等多種場景，安全狗云隙也能開展有效的監(jiān)測，及時阻斷異常流量與病毒，確保內(nèi)部業(yè)務(wù)系統(tǒng)、數(shù)據(jù)正常運作。