本文探讨了网络分割在动态环境中的挑战,如自动部署导致的IP和端口变化,以及服务细分的重要性。文章指出,传统的网络分割方法在现代调度程序中变得复杂,而基于意向的安全服务细分能有效解决这个问题。服务网格作为一种解决方案,提供了基于身份的授权和集中管理,简化了网络安全策略的实施。
NIC JACKSON
网络分割是限制网络入侵影响的一种高效策略。但是, 在诸如群集调度程序这样的现代环境中, 应用程序通常会在没有操作员干预的情况下启动和重新启动。这种动态资源调配会导致不断变化的 IP 地址和应用程序入口端口。使用传统的防火墙和路由方法对这些动态环境进行细分可以在技术上具有挑战性。
在这篇文章中, 我们将研究这种复杂性以及服务网格是如何成为现代动态环境中安全网络通信的潜在解决方案的。
动态环境
我们先来定义一下动态环境的含义。最简单的情况是, 动态环境是应用程序和基础结构经常发生更改的环境, 要么是通过手动个更改常规部署和基础结构,要么就是在没有操作员干预的情况下触发大小自动调整或实例自动替换。像 HashiCorp Consul或 Kubernetes 这样的调度程序展示了这种行为, 就像许多云提供商提供平衡自动缩放组的自动冗余功能。但是, 这种效果不仅限于云环境, 任何平台 (如 vSphere 配置在高可用模式下) 也可以归类为动态环境。
网络分割
我们还需要澄清为什么网络分割对网络安全有很高的价值。传统的网络分割主要是使用外围防火墙实现的。此方法的问题在于受信任区域是平坦的。它只需要一次入侵就能获得对网络的广泛访问, 而网络越大, 入侵检测的机会就越有限。
每个主机和网络应该被分割和隔离在最低的水平, 这个是可以实际实现的。路由器或3层交换机使用诸如虚拟 LAN (VLAN) 或访问控制列表 (acl) 等措施将网络划分为不同的较小网络。网络防火墙则是为了过滤各小块网络之间的网络通信, 而基于主机的防火墙则主要负责过滤来自本地网络的通信来添加额外的安全性。
如果您在基于云的环境中运行, 则通过使用虚拟私有云 (VPC) 和安全组来实现网络细分。虽然交
最低0.47元/天 解锁文章
扫一扫
1298
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
