MikroisolierungDie drei Wege des

Wenn ein Benutzer Mikroisolierung in seinem Rechenzentrum einsetzen möchte, wie viele Wege gibt es dann? Laut Gartner sind es vier Wege.

Vier von Gartner vorgeschlagene Wege der Mikroisolationstechnologie

Der erste Weg ist der einfachste: Die Nutzer müssen nichts installieren, die Cloud-Infrastrukturplattform stellt Ihnen Mikroisolierungsfunktionen zur Verfügung. Das Problem bei diesem Ansatz ist jedoch, dass er in hohem Maße von den Fähigkeiten der verwendeten Cloud abhängt, und nicht alle Cloud-Plattformen können dies bieten. Gleichzeitig hat dieser Weg offensichtliche Einschränkungen in Bezug auf die Anpassungsfähigkeit der Umgebung, Mikroisolierungsfunktionen können nicht auf andere Cloud-Plattformen übertragen werden, und für Hybrid-Cloud-, Multi-Cloud- und andere Cross-Cloud-Architektur-Szenarien kann keine einheitliche Verwaltung erreicht werden.

Der zweite Weg, der bekannteste, ist die Verwendung einer virtuellen Firewall. Der Vorteil dieses Weges ist, dass jeder mit der Verwendung von Firewalls vertraut ist, aber er hat seine Probleme. Die Firewall ist inNetzwerksicherheitDie Isolationssegmentierungstechnologie, die in einem frühen Stadium der Entwicklung entwickelt wurde, ist für die Zugriffskontrolle des domänenübergreifenden Datenverkehrs konzipiert. Nach bestimmten Anpassungen können herkömmliche Firewalls in Cloud-Umgebungen eingesetzt werden, aber es ist immer noch schwierig, eine granularere Kontrolle auf Geschäfts- und Workload-Ebene zu erreichen. Angesichts der Auswirkungen des Umfangs der Richtlinien auf die Leistung der Firewall kann das Kontrollziel der Sicherheitsrichtlinien häufig nur auf der Ebene des Netzwerksegments erreicht werden.

Der dritte Weg, eine Kombination aus den ersten beiden, erreicht eine Netzisolierung innerhalb des Rechenzentrums durch die Komplementarität der beiden Technologieoptionen.

Der vierte Weg, der bei weitem der erfolgreichste und am häufigsten gewählte ist, ist der Host-Agent-Weg. Der Grund, warum dieser Weg von den Nutzern nur schwer abgelehnt werden kann, ist seine infrastrukturunabhängige Natur, die sich die breite Kompatibilität von Agent mit dem Betriebssystem zunutze macht, die Schwierigkeit der Anpassung an die Architektur aller Arten von Cloud-Umgebungen umgeht und durch das Modell des Overlay ein von der Infrastruktur völlig entkoppeltes Kontrollnetz über dem Basisnetz aufbaut. Die Vorteile liegen auf der Hand, denn der Nutzer kann das Netz völlig losgelöst von der Infrastruktur steuern. Die Vorteile liegen auf der Hand: Die Nutzer können diesen Weg nutzen, um eine einheitliche Verwaltung des Ost-West-Verkehrs über Rechenzentren und Plattformen hinweg zu erreichen. Da die meisten K8S-Netzwerk-Plug-ins die inhärente Fähigkeit des Host-(Node-)Kernels zur Netzwerkweiterleitung innerhalb der Container-Plattform nutzen, wird dieser Weg von den Container-Plattformen fast natürlich unterstützt, und lange Zeit war dieser Weg fast die einzige Möglichkeit, eine einheitliche Verwaltung von physischen Maschinen, virtuellen Maschinen und Containern zu erreichen.

Da der oben genannte dritte Weg aus technischer Sicht nichts Neues ist und es sich eher um eine "Lösung" als um einen "technischen Weg" handelt, gibt es nur drei Wege, die im wahrsten Sinne des Wortes beschritten werden können.

Gibt es also eine vierte Möglichkeit im wahrsten Sinne des Wortes? Oder ist es notwendig, einen anderen technischen Weg zu finden? Die Antwort lautet: Ja.

Cloud-nativmit Mikroisolierung

In der Tat, wenn es in der Cloud-Computing-Bedingungen ist, der Host-Agent im Grunde auf der ganzen Welt, um neu und anders zu sein und legte eine neue Technologie Linie ist bedeutungslos. Aber die Wolke native kam, werden die Dinge nicht ganz das gleiche.

Der Betrieb und die Wartung Management-Logik und Netzwerk-Konstruktion Methode der Cloud native sind sehr verschieden von traditionellen Cloud Computing. Derzeit im In- und Ausland, tun wir Mikro-Isolierung in der Cloud native Umgebung, im Grunde durch den Host-Agent Weg zu erreichen, Rosebud Geist in der Vergangenheit auch so tun, in der Tat, auch eine gute Arbeit leisten.

So wie Firewalls jedoch nicht für das Cloud Computing geschaffen wurden, wird die Implementierung der "Mikrosegmentierung" in Cloud Computing-Umgebungen zwangsläufig eine Reihe von Unannehmlichkeiten für sie mit sich bringen. Host-Agenten sind keineswegs für Cloud-Native konzipiert und werden zwangsläufig ihre eigenen Probleme haben. Es ist wichtig zu wissen, dass der Agent auf der virtuellen Maschine und der Agent in der Cloud Native nicht mehr ein Agent sind. Der Agent in der virtuellen Maschine hat eine sehr enge Beziehung zu der virtuellen Maschine, so dass man sagen kann, wenn der Mond weggeht und ich weggehe, werden wir immer gute Freunde sein. Aber der Agent in der Cloud Native, in der Tat, ist auf dem Host bereitgestellt, es und der Container und die gesamte Orchestrierung System getrennt sind, bringt diese Trennung Probleme, das heißt, der Agent den Betrieb und die Wartung Management ist unabhängig von der gesamten PAAS-Plattform außerhalb der Orchestrierung Management, das ist eigentlich unfreundlich zu den Befürwortern der DevSecOps Logik der Cloud Native Welt, oder sogar umgekehrt.

Wir brauchen also einen neuen Weg zur Mikroisolierung unter Cloud-Native-Bedingungen.

DaemonSet - Der vierte Weg zur Mikroisolierung

Welcher Weg der Mikroisolierungstechnologie eignet sich am besten für Cloud-native Umgebungen? Die Antwort lautet: DaemonSet.

Was ist Daemonset?

DaemonSet ist eine Art von Pod-Controller in Kubernetes, der sicherstellt, dass eine Kopie eines Pods auf allen (oder einem Teil) der Knoten läuft und dass ein neuer Pod zu einem Knoten hinzugefügt wird, wenn er dem Cluster beitritt, und dass diese Pods zurückgewonnen werden, wenn ein Knoten aus dem Cluster entfernt wird. Das auf der DaemonSet-Form basierende Mikroisolierungsschema besteht darin, die Durchsetzungspunkte der Mikroisolierungspolitik in Form von Daemon-Containern in der Container-Plattform bereitzustellen, so dass sie immer auf jedem Knoten ausgeführt werden.

Schematische Darstellung des Einsatzes der Rosy Spirit Honeycomb Adaptive Micro-isolation Security Platform

Da das Wort "Daemon" so viel wie "Wächter" bedeutet, sind die Mikroisolierungsfunktionen von DaemonSet immer im Einklang mit der Elastizität und Skalierbarkeit der Container-Plattform. "Das DaemonSet ist das erste seiner Art auf der Welt. Worin besteht also der tatsächliche Nutzen für Anwender, die Microisolation in Cloud-nativen Umgebungen einsetzen?

Zunächst einmal hat dieses Modell vollständig verändert die ursprüngliche Agent-basierte "Plug-in"-Typ der Installation auf "Embedded Fusion" Weg, um die ursprüngliche Bereitstellung von Mikro-Isolation Fähigkeiten in der Cloud-Plattform zu erreichen, ist die Bereitstellung von Sicherheitsfunktionen nicht mehr agil, Elastizität, "Stolperstein", Cloud-native Technologie Dividenden können in vollem Umfang freigegeben werden. "Die Bereitstellung von Sicherheitsfunktionen ist nicht mehr ein Stolperstein für Agilität und Elastizität, und die Dividende der Cloud-native Technologie kann vollständig freigegeben werden.

Zweitens, in der Anwendung Expansion, neue Online-Geschäft, das Management-Personal nicht mehr brauchen, um Agent-Installation, Erstkonfiguration und andere Pre-Operation, nur in der täglichen Wartung des Wächters Container Bild kann, durch die Automatisierung des Betriebs und der Wartung Weg, um die Management-Kosten erheblich reduzieren.

Natürlich muss gesagt werden, dass für die meisten großen Nutzer, Sicherheits-, Netzwerk-, Betriebs-und Wartungsabteilungen sind klar in ihre jeweiligen Aufgaben, die Installation eines Agenten auf die Arbeitsbelastung dieser "Sesamkörner", die oft mit mehreren Abteilungen, zum Beispiel, Betriebs-und Wartungsabteilungen werden sagen: "Ich kann es nicht geben Root-Rechte! Ich kann ihm keinen Root-Zugriff gewähren!" und die Geschäftsabteilung wird fragen: "Wie sehr wird der Agent das Geschäft beeinträchtigen?". Diese Hindernisse für den Einsatz der Mikrosegregation sind mit der Einführung des neuen Paradigmas verschwunden.

Dies ist die vierte Möglichkeit, bei der die Mikroisolierung weder durch diePAASvon der Plattform selbst, noch von einer eigenständigen Firewall oder einem Agenten bereitgestellt, sondern in diePAASEin separates Unternehmen auf der Plattform zu DaemonSDer Ansatz von et wurde durch Orchestrierungssysteme wie K8S vereinheitlicht, die das Entstehen und Vergehen vereinheitlichen.

Kontinuierliche Innovation des Rose Spirit

Vielleicht gibt es einen Dorn im Namen, Rosebuds Mikro-Isolierung Straße wurde in den Dornen zu Fuß, Mikro-Isolierung dieses Ding sieht glühend aus der Ferne, zart und bunt, erreichen, ohne nicht stecken zu bleiben. Vor allem in der Cloud-native Umgebung, die Tausende von verschiedenen Netzwerk-Suiten für die Umsetzung der Mikro-Isolierung hat große Herausforderungen gebracht, und als die einzige zusätzlich zu Mikro-Isolierung nichts mit dem toten Augen Unternehmen zu tun, hat Rosebud keine andere Wahl, als ihr Bestes zu tun, um die Herausforderung zu erfüllen, obwohl es gesagt wird, um alle über die Dornen stecken, aber es ist schließlich watete aus der Straße, und heute sind wir in der inländischen Zehntausende von Punkten der Ebene der Cloud-native Mikro-Isolierung Netzwerk! Heute betreiben wir Zehntausende von Cloud-nativen Mikro-Isolationsnetzwerken in China, was auch als Beitrag zur inländischen Netzwerksicherheit angesehen wird.

Der technologische Fortschritt ist jedoch unaufhaltsam, und im Prozess der gemeinsamen Innovation mit unseren Nutzern hoffen viele von ihnen, dass wir dies auf eine "Cloud-native" Art und Weise tun können, die ihren Betrieb und ihre Wartung vereinfacht, die Installation und Bereitstellung erleichtert und die interne Zusammenarbeit effizienter macht.

Benutzer Nachfrage ist unsere Motivation, so dass wir eine neue Version auf DaemonSet basiert. Von Agent zu DaemonSet, in der Tat gibt es immer noch eine Menge Schwierigkeiten, Agent bei der Erlangung von Host-Privilegien, in der Tat ist es bequemer, alles zu tun, aber einmal in DaemonSet gemacht, ist es gleichbedeutend mit dem Host und eine Schicht der Isolation, diese Schicht gibt uns eine Menge von Mikro-Isolierung der notwendigen Maßnahmen durch ein großes Hindernis gebracht zu tun.

Mehr wird nicht gesagt werden, wie auch immer, ziemlich schwierig, gut Rose Spirit dynamische Ingenieure auf dem Weg nicht alles tun, was nicht schwierig ist, schließlich noch eine Reihe von Schwierigkeiten zu überwinden, und erfolgreich eine neue Version veröffentlicht, um einen Satz der Grundschule Aufsatz zu verwenden, um abzuschließen -.

"Am Ende eines harten Arbeitstages wischten sich die Ingenieure von Rosebud Spirit den Schweiß von der Stirn und blickten mit einem zufriedenen Lächeln auf das hyperskalige, cloud-native Zero-Trust-Netzwerk, das in der untergehenden Sonne leuchtete".