云原生网络的微隔离实现技术

最新推荐文章于 2023-08-19 22:23:17 发布
最新推荐文章于 2023-08-19 22:23:17 发布
阅读量575 收藏 2
点赞数
文章标签: 云原生 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74079109/article/details/127582583
版权
在云原生环境中,尤其是云原生网络安全的建设和规划中,以零信任的架构和思路,实现云原生网 络的微隔离和访问控制是必要的。微隔离(Micro-Segmentation)最早是 VMware 为应对虚拟化隔离技术出来的。
摘要由CSDN通过智能技术生成

微隔离实现零信任的云原生

网络微隔离实现零信任
的云原生网络随着企业网络基础设施的日益复杂,尤其是云计算等虚拟化
网络应用的普及,这种复杂性超越了传 统网络边界安全的防护方法。基于传统物理、固定边界的网络安全也被证明是不够用的,“数据中心内 部的系统和网络流量是可信的”这一假设是不正确的。网络边界的安全防护一旦被突破,即使只有一台 机器被攻陷,攻击者也能够在所谓“安全的”数据中心内部横向移动。NIST在 2020 年 8 月,发布了最新的零信任架构 [34],在零信任安全模型中,会假设环境中随时可 能存在攻击者,不能存在任何的隐形信任,必须不断的分析和评估其资产、网络环境、业务功能等的安 全风险,然后制定相应的防护措施来缓解这些风险。在零信任中,这些防护措施通常要保证尽可能减少 对资源(比如数据、计算资源、应用和服务等)的访问,只允许那些被确定为需要访问的用户和资产访 问,并且对每个访问请求的身份和安全态势进行持续的认证和授权。
微隔离作为实现零信任的关键技术之一,在云原生网络安全建设中,同样起着重要的作用。本章将 重点介绍如何在云原生网络中实现零信任的微隔离系统。

概述

在云原生环境中,尤其是云原生网络安全的建设和规划中,以零信任的架构和思路,实现云原生网 络的微隔离和访问控制是必要的。

什么是微隔离

微隔离(Micro-Segmentation)最早是 VMware 为应对虚拟化隔离技术出来的。 Gartner 更是 从 2016 年开始,连续三年将其列为年度 Top10 的安全技术和项目(Micro-Segmentation and Flow Visibility,微隔离和流量可视化),通过对网络流量的可视化和监控,让运维人员能够详细了解系统内 部网络数据包的流向,进而使微隔离能够更好的设置安全策略。
微隔离,顾名思义就是一种更细粒度的网络隔离技术,其核心能力的诉求也是聚焦在东西向流量, 对传统环境、虚拟化环境、混合云环境、容器环境等东西向流量进行隔离和控制,重点用于阻止攻击者 进入数据中心网络或者云虚拟网络后进行的横向移动。
微隔离有别于传统的基于边界的防火墙隔离技术,微隔离技术通常是采用一种软件定义的方式,其
策略

最低0.47元/天 解锁文章
m0_74079109
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker与iptables实现bridge方式网络隔离与通信操作
01-08
Docker提供了bridge, host, overlay等多种网络。同一个Docker宿主机上同时存在多个不同类型的网络,位于不同网络中的容器,彼此之间是无法通信的。 Docker容器的跨网络隔离与通信,是借助了iptables的机制。 iptables的filter表中默认分为INPUT, FORWARD和OUTPUT共3个链。 Docker在FORWARD链中(forward到自定义的链),还额外提供了自己的链,以实现bridge网络之间的隔离与通信。 Docker的基本网络配置 当 Docker 启动时,会自动在主机上创建一个 docker0 虚拟网桥,实际上是 Linux 的一个
云原生隔离
key_3_feng的博客
05-24 325
云原生架构中,尤其是云原生网络安全的建设和规划中,以零信任的架构和思路实现云原生网络隔离和访问控制是必要的。 什么是隔离 隔离就是一种更细粒度的网络隔离技术,其核心能力的诉求也是聚焦在东西向流量,对传统环境、虚拟化环境、混合云环境、容器环境等东西向流量进行隔离和控制,重点在于阻止当黑客进入数据中心网络或者云虚拟网络后进行的横向移动。 隔离有别于传统的基于边界的防火墙隔离技术隔离技术通常是采用一种软件定义的方式,其策略控制中心与策略执行单元是分离的,而且通常具备分布式和自适应等特点。策略控制中
嗨,程序员,可能你还不懂得服务容错与隔离隔离机制是什么
m0_63437643的博客
01-07 941
上文给大家介绍的内容是Ribbon源码解析,那么本文给大家介绍的内容是服务容错与隔离隔离机制。 容错与隔离服务需要具备应对分布式环境的可容错性。在构建软件的开始阶段,就应该认识到网络和信息传递的不可靠性。我们需要对可能发生的故障设计出相应的软件隔离机制和措施,制定相应的容错策略,这个基本原则就是“Design for Failure”:为失败而设计。服务架构可以在发生故障时通过合理的行为快速做出错误隔离和恢复机制,提供高可用性的服务。 隔离机制 在构建可容错软件系统的过程中要解决的本质
服务保护之初识Sentinel、流量控制、隔离和降级、授权规则、规则持久化
qq_43430343的博客
05-19 763
什么是雪崩问题?服务之间相互调用,因为调用链中的一个服务故障,引起整个链路都无法访问的情况。限流是对服务的保护,避免因瞬间高并发流量而导致服务故障,进而避免雪崩。是一种预防措施。超时处理、线程隔离、降级熔断是在部分服务故障时,将故障控制在一定范围,避免雪崩。是一种补救措施。Sentinel是阿里巴巴开源的一款服务流量控制组件。官网地址:https://sentinelguard.io/zh-cn/index.htmlSentinel 具有以下特征:•丰富的应用场景。
云原生网络隔离
武天旭的博客
04-10 1106
Cilium是一种开源的云原生网络实现方案,与其他网络方案不同的是,Cilium着重强调了其在网络安全上的优势,可以透明地对Kubernetes等容器管理平台上的应用程序服务之间的网络连接进行安全防护。Cilium在设计和实现上基于Linux的一种新的内核技术eBPF,可以在Linux内部动态插入强大的安全和可见的网络控制逻辑,相应的安全策略可以在不修改应用程序代码或容器配置的情况下进行应用和更新。
K8s云原生部署中间件
09-21
6. **网络策略**:K8s Network Policy允许定义Pod之间的网络访问规则,提供了安全的隔离环境,有助于保护中间件服务免受潜在攻击。 7. **日志和监控**:K8s配合Prometheus、Grafana、Elasticsearch、Kibana等工具...
构建服务云原生应用——介绍.zip
10-25
在当前的数字化时代,云原生(Cloud Native)已经成为企业构建和运行应用程序的首选方式,而服务架构则是实现云原生的关键技术之一。本文将深入探讨如何构建服务云原生应用,从基础概念、架构设计到实施策略,全...
关于轻量而完备的云原生数据安全解决方案的分析说明.zip
11-05
2. **隔离**:通过实施细粒度的网络策略,确保服务之间的通信仅限于必要的连接。这可以防止横向移动攻击,限制潜在威胁的影响范围。 3. **零信任原则**:所有访问请求,无论来自内部还是外部,都应被视为潜在...
《 VMware vSphere with Kubernetes 基础知识》白皮书:云原生领域的一大进步.pdf
08-29
VMware NSX 提供了网络虚拟化和安全功能,允许在 Kubernetes 集群中实现隔离,增强了容器的安全性。 总的来说,vSphere with Kubernetes 是 VMware 为了适应云原生时代而迈出的重要一步,它将传统的虚拟化管理与...
SDNNFV技术演进趋势分析.docx
09-20
2019年,SDN/NFV进入v2.0发展阶段,这一阶段的关键技术包括更深入的虚拟化、服务化和云原生架构。随着容器技术的成熟,这些技术使得网络功能能够以更小、更独立的单元运行,增强了系统的可扩展性和敏捷性。例如,...
容器WAF和隔离相关知识点
SHELLCODE_8BIT的博客
03-13 372
Iptables 下 SNAT、DNAT和MASQUERADE三者之间的区别 (bbsmax.com)从 iptables 谈 ServiceMesh 流量拦截_51CTO博客_iptables 限制流量内核netfilter代码略图以及nfq的流程_内核nfq_n1wer的博客-CSDN博客
什么是服务的隔离和熔断
Winn~
12-06 1221
原创: 码农翻身刘欣 码农翻身 假设Tomcat线程池有100个线程, 每次有新的用户请求过来,Tomcat就会从中找出一个空闲的线程去执行, 抛开那些琐碎的小细节,这些请求其实非常简单, 无非就是这么几件事: 根据用户ID调用用户服务, 获取用户对象。 获取该用户的推荐商品 获取该用户的积分。 把这些信息组合起来,返回给浏览器。 有意思的是前三件事情全是HTTP调用,需要调...
配置 隔离策略_隔离不仅是防火墙
weixin_31815843的博客
01-08 618
前 言作为国内隔离市场的主要开拓者,我们经常被问一个问题,那就是我们的系统上都装了防火墙,为什么还需要隔离呢?我们通过自动化脚本配置主机防火墙策略不是也可以做到点到点白名单控制么?首先,我们必须承认这个看法本身还是有一定的道理的,在比较小比较静态的网络中(小于20台服务器)也基本是可以工作的。但是如果我们讨论的是一个定义为“云”或者“软件定义的数据中心”的中等规模以上的计算系统,...
隔离(MSG)
polarday的博客
06-11 6170
参考文章:用"隔离"实现零信任 参考视频:不仅是防火墙!用隔离实现零信任隔离(Micro Segmentation),隔离是一种网络安全技术,其核心的能力要求是聚焦在东西向流量的隔离上,它使安全架构师能够在逻辑上将数据中心划分为不同的安全段,一直到各个工作负载级别,然后为每个独特的段定义安全控制和所提供的服务。 多采用软件方式,而不是安装多个物理防火墙,隔离可以在数据中心深处部署灵活的安全策略。有别于传统防火墙单点边界上的隔离(控制平台和隔离策略执行单元都是耦合在一台设备系统中),隔离系统的控制
详解容器云平台安全隔离方案
weixin_70923796的博客
08-19 98
此外,稳定不变的 IP 地址是防火墙访问控制持续生效的“锚点”,而在云原生环境中,容器 IP 的频繁无规律变化则彻底动摇了传统架构中这一确定因素,一旦容器开始新的生命周期,新的 IP 将直接逃逸原有静态策略的有效管控。安全策略的发布应能够被谨慎审查,并提供快速的回滚选项等。换言之,在多数用户的数据中心内,物理机实例、虚拟机实例、容器将长期并存,作为承载不同应用的工作负载,它们之间依然会产生密切的横向连接,需被统一纳入隔离的管控范围,而 Network Policy 显然仅适用于容器平台内部的隔离控制。
使用iptables实现主机防火墙隔离
weixin_33022765的博客
03-14 660
#打开主机防火墙 iptables -P -INPUT DROP #集群内部 iptables -A INPUT -s $ip -j ACCEPT #外部系统访问限制 iptables -A INPUT -s $ip -p tcp -m multiport –dport 25,111,2049,2181,3181,3306,3306,4181,4242,7191,7337,8020,8022,8030,8031,8032,8033,8040,8042,8044,8088,8090,8480,8481,848
Cilium网络概述
Docker的专栏
08-12 4373
K8s已经成为一线大厂分布式平台的标配技术。你是不是还在惆怅怎么掌握它?来这里,大型互联网公司一线工程师亲授,不来虚的,直接上手实战,3天时间带你搭建K8s平台,快速学会K8s,点击下方...
云原生安全加固实战.pdf
最新发布
11-29
加固特权容器

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值