云原生网络的微隔离实现技术

最新推荐文章于 2024-03-09 15:27:14 发布
最新推荐文章于 2024-03-09 15:27:14 发布
阅读量578 收藏 2
点赞数
文章标签: 云原生 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74079109/article/details/127582583
版权
在云原生环境中,尤其是云原生网络安全的建设和规划中,以零信任的架构和思路,实现云原生网 络的微隔离和访问控制是必要的。微隔离(Micro-Segmentation)最早是 VMware 为应对虚拟化隔离技术出来的。
摘要由CSDN通过智能技术生成

微隔离实现零信任的云原生

网络微隔离实现零信任
的云原生网络随着企业网络基础设施的日益复杂,尤其是云计算等虚拟化
网络应用的普及,这种复杂性超越了传 统网络边界安全的防护方法。基于传统物理、固定边界的网络安全也被证明是不够用的,“数据中心内 部的系统和网络流量是可信的”这一假设是不正确的。网络边界的安全防护一旦被突破,即使只有一台 机器被攻陷,攻击者也能够在所谓“安全的”数据中心内部横向移动。NIST在 2020 年 8 月,发布了最新的零信任架构 [34],在零信任安全模型中,会假设环境中随时可 能存在攻击者,不能存在任何的隐形信任,必须不断的分析和评估其资产、网络环境、业务功能等的安 全风险,然后制定相应的防护措施来缓解这些风险。在零信任中,这些防护措施通常要保证尽可能减少 对资源(比如数据、计算资源、应用和服务等)的访问,只允许那些被确定为需要访问的用户和资产访 问,并且对每个访问请求的身份和安全态势进行持续的认证和授权。
微隔离作为实现零信任的关键技术之一,在云原生网络安全建设中,同样起着重要的作用。本章将 重点介绍如何在云原生网络中实现零信任的微隔离系统。

概述

在云原生环境中,尤其是云原生网络安全的建设和规划中,以零信任的架构和思路,实现云原生网 络的微隔离和访问控制是必要的。

什么是微隔离

微隔离(Micro-Segmentation)最早是 VMware 为应对虚拟化隔离技术出来的。 Gartner 更是 从 2016 年开始,连续三年将其列为年度 Top10 的安全技术和项目(Micro-Segmentation and Flow Visibility,微隔离和流量可视化),通过对网络流量的可视化和监控,让运维人员能够详细了解系统内 部网络数据包的流向,进而使微隔离能够更好的设置安全策略。
微隔离,顾名思义就是一种更细粒度的网络隔离技术,其核心能力的诉求也是聚焦在东西向流量, 对传统环境、虚拟化环境、混合云环境、容器环境等东西向流量进行隔离和控制,重点用于阻止攻击者 进入数据中心网络或者云虚拟网络后进行的横向移动。
微隔离有别于传统的基于边界的防火墙隔离技术,微隔离技术通常是采用一种软件定义的方式,其
策略

最低0.47元/天 解锁文章
m0_74079109
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8s云原生部署中间件
09-21
6. **网络策略**:K8s Network Policy允许定义Pod之间的网络访问规则,提供了安全的隔离环境,有助于保护中间件服务免受潜在攻击。 7. **日志和监控**:K8s配合Prometheus、Grafana、Elasticsearch、Kibana等工具...
云原生网络隔离
武天旭的博客
04-10 1134
Cilium是一种开源的云原生网络实现方案,与其他网络方案不同的是,Cilium着重强调了其在网络安全上的优势,可以透明地对Kubernetes等容器管理平台上的应用程序服务之间的网络连接进行安全防护。Cilium在设计和实现上基于Linux的一种新的内核技术eBPF,可以在Linux内部动态插入强大的安全和可见的网络控制逻辑,相应的安全策略可以在不修改应用程序代码或容器配置的情况下进行应用和更新。
浅入浅出 iptables 网络隔离原理
HarmonyCloud_的博客
06-05 695
Network Layer 网络层的数据流向,与数据链路层不同的是使用ip路由寻址的方式寻找网卡。IP-per-Pod,每个 Pod 都拥有一个独立 IP 地址,Pod 内所有容器共享一个网络命名空间。REJECT:拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息。ChainName:别的链路名称,在iptables中通过链路的调用构建庞大的链路体系。集群内所有 Pod 都在一个直接连通的扁平网络中,可通过 IP 直接访问。容器自己看到的 IP 跟其他容器看到的一样。
服务保护之初识Sentinel、流量控制、隔离和降级、授权规则、规则持久化
qq_43430343的博客
05-19 765
什么是雪崩问题?服务之间相互调用,因为调用链中的一个服务故障,引起整个链路都无法访问的情况。限流是对服务的保护,避免因瞬间高并发流量而导致服务故障,进而避免雪崩。是一种预防措施。超时处理、线程隔离、降级熔断是在部分服务故障时,将故障控制在一定范围,避免雪崩。是一种补救措施。Sentinel是阿里巴巴开源的一款服务流量控制组件。官网地址:https://sentinelguard.io/zh-cn/index.htmlSentinel 具有以下特征:•丰富的应用场景。
嗨,程序员,可能你还不懂得服务容错与隔离隔离机制是什么
m0_63437643的博客
01-07 942
上文给大家介绍的内容是Ribbon源码解析,那么本文给大家介绍的内容是服务容错与隔离隔离机制。 容错与隔离服务需要具备应对分布式环境的可容错性。在构建软件的开始阶段,就应该认识到网络和信息传递的不可靠性。我们需要对可能发生的故障设计出相应的软件隔离机制和措施,制定相应的容错策略,这个基本原则就是“Design for Failure”:为失败而设计。服务架构可以在发生故障时通过合理的行为快速做出错误隔离和恢复机制,提供高可用性的服务。 隔离机制 在构建可容错软件系统的过程中要解决的本质
云原生隔离
key_3_feng的博客
05-24 328
云原生架构中,尤其是云原生网络安全的建设和规划中,以零信任的架构和思路实现云原生网络隔离和访问控制是必要的。 什么是隔离 隔离就是一种更细粒度的网络隔离技术,其核心能力的诉求也是聚焦在东西向流量,对传统环境、虚拟化环境、混合云环境、容器环境等东西向流量进行隔离和控制,重点在于阻止当黑客进入数据中心网络或者云虚拟网络后进行的横向移动。 隔离有别于传统的基于边界的防火墙隔离技术隔离技术通常是采用一种软件定义的方式,其策略控制中心与策略执行单元是分离的,而且通常具备分布式和自适应等特点。策略控制中
隔离实现零信任.pdf
05-18
【零信任架构与隔离】 零信任架构是一种现代网络安全模型,它强调了“不信任任何人,始终验证”的原则...随着SDN(软件定义网络)和虚拟化技术的发展,隔离已经成为现代企业实现高效且安全的网络环境的必要手段。
构建服务云原生应用——介绍.zip
10-25
在当前的数字化时代,云原生(Cloud Native)已经成为企业构建和运行应用程序的首选方式,而服务架构则是实现云原生的关键技术之一。本文将深入探讨如何构建服务云原生应用,从基础概念、架构设计到实施策略,全...
关于轻量而完备的云原生数据安全解决方案的分析说明.zip
11-05
2. **隔离**:通过实施细粒度的网络策略,确保服务之间的通信仅限于必要的连接。这可以防止横向移动攻击,限制潜在威胁的影响范围。 3. **零信任原则**:所有访问请求,无论来自内部还是外部,都应被视为潜在...
《 VMware vSphere with Kubernetes 基础知识》白皮书:云原生领域的一大进步.pdf
08-29
VMware NSX 提供了网络虚拟化和安全功能,允许在 Kubernetes 集群中实现隔离,增强了容器的安全性。 总的来说,vSphere with Kubernetes 是 VMware 为了适应云原生时代而迈出的重要一步,它将传统的虚拟化管理与...
Docker与iptables实现bridge方式网络隔离与通信操作
01-08
Docker提供了bridge, host, overlay等多种网络。同一个Docker宿主机上同时存在多个不同类型的网络,位于不同网络中的容器,彼此之间是无法通信的。 Docker容器的跨网络隔离与通信,是借助了iptables的机制。 iptables的filter表中默认分为INPUT, FORWARD和OUTPUT共3个链。 Docker在FORWARD链中(forward到自定义的链),还额外提供了自己的链,以实现bridge网络之间的隔离与通信。 Docker的基本网络配置 当 Docker 启动时,会自动在主机上创建一个 docker0 虚拟网桥,实际上是 Linux 的一个
什么是隔离技术
最新发布
a38417的博客
03-09 1288
隔离可以在数据中心深处部署灵活的安全策略。指数据中心内部服务器彼此相互访问所造成的内部流量,在云计算数据中心中,处于相同网络(子网)内用户业务虚拟机(容器)之间的流量,以及相同虚拟路由器不同网络(子网)内用户业务虚拟机(容器)间的流量,据统计,当代数据中心 75%以上的流量为东西向流量。指通过网关进出数据中心的流量,在云计算数据中心,处于用户业务虚拟机(容器)跟外部网络之间的流量,一般来说防火墙等安全设备部署在数据中心的出口处,来做南北向流量的安全防护。隔离的四种技术路线隔离的四种技术路线。
白话零信任03:第四章零信任组件技术
caoxiaoye的博客
01-07 1953
零信任架构中各个技术组件详解
【云安全系列】云原生场景下的容器网络隔离技术
Rethinking the Kernel
10-24 4880
随着云计算时代的到来,尤其是容器化技术的飞速发展,云原生作为云计算的未来阶段,其安全势必成为云安全的主要战场。从目前的云原生环境来看,云原生网络安全问题层出不穷,威胁程度逐渐上升,从业人员面临着严峻的挑战
隔离(MSG)
polarday的博客
06-11 6229
参考文章:用"隔离"实现零信任 参考视频:不仅是防火墙!用隔离实现零信任隔离(Micro Segmentation),隔离是一种网络安全技术,其核心的能力要求是聚焦在东西向流量的隔离上,它使安全架构师能够在逻辑上将数据中心划分为不同的安全段,一直到各个工作负载级别,然后为每个独特的段定义安全控制和所提供的服务。 多采用软件方式,而不是安装多个物理防火墙,隔离可以在数据中心深处部署灵活的安全策略。有别于传统防火墙单点边界上的隔离(控制平台和隔离策略执行单元都是耦合在一台设备系统中),隔离系统的控制
容器WAF和隔离相关知识点
SHELLCODE_8BIT的博客
03-13 381
Iptables 下 SNAT、DNAT和MASQUERADE三者之间的区别 (bbsmax.com)从 iptables 谈 ServiceMesh 流量拦截_51CTO博客_iptables 限制流量内核netfilter代码略图以及nfq的流程_内核nfq_n1wer的博客-CSDN博客
零信任之隔离详述
H3C的博客
03-18 9658
2020年8月NIST正式发布《零信任架构标准》,其中总结了基于隔离技术的零信任架构体系。结合隔离控制中心+代理/虚墙的工作模式,通过对数据中心工作负载进行风险评估,控制中心可以动态的向代理/虚墙下发控制策略,限制各业务之间的访问权限。隔离架构的明显优势在于能够实现网络流量的可视化,能自适应网络结构变化,当然,网络规模越大,控制中心策略分析就越复杂,其庞大的计算量,也注定了运维的高成本。 那么隔离架构究竟在零信任中担任了什么重要角色呢? 隔离谨遵零信任的核心原则——最小权限,不再划分网络边界,一切
详解容器云平台安全隔离方案
weixin_70923796的博客
08-19 100
此外,稳定不变的 IP 地址是防火墙访问控制持续生效的“锚点”,而在云原生环境中,容器 IP 的频繁无规律变化则彻底动摇了传统架构中这一确定因素,一旦容器开始新的生命周期,新的 IP 将直接逃逸原有静态策略的有效管控。安全策略的发布应能够被谨慎审查,并提供快速的回滚选项等。换言之,在多数用户的数据中心内,物理机实例、虚拟机实例、容器将长期并存,作为承载不同应用的工作负载,它们之间依然会产生密切的横向连接,需被统一纳入隔离的管控范围,而 Network Policy 显然仅适用于容器平台内部的隔离控制。
vArmor:云原生安全加固与容器隔离技术实践
"vArmor是云原生安全加固的一个开源解决方案,主要针对容器安全,利用Linux的LSM(安全模块)技术,如AppArmor和BPF,构建强制访问控制器,以提升容器的安全性。该系统旨在增强容器隔离,降低内核攻击面,使容器逃逸...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值