マイクロアイソレーション三つの道
ユーザーが自分のデータセンターにマイクロセグメンテーションを導入したい場合、オプションはいくつありますか? Gartner によると、それには 4 つのパスがあるとのことです。
Gartner が提案する 4 つのマイクロ絶縁技術ルート
最初のパスは最も単純です。ユーザーは何もインストールする必要はありません。基本的なクラウド コンピューティング プラットフォームにより、マイクロ分離機能が提供されます。しかし、このアプローチの問題は、使用しているクラウドの機能に大きく依存しており、すべてのクラウド プラットフォームがこのアプローチを提供できるわけではないことです。同時に、このパスには環境適応性において明らかな制限があり、マイクロ分離機能を他のクラウド プラットフォームに移転することはできず、ハイブリッド クラウドやマルチクラウドなどのクロスクラウド アーキテクチャ シナリオで統合管理を実現することもできません。
2 番目の方法は、誰もが最もよく知っている仮想ファイアウォールを使用する方法です。この方法の利点は、誰もがファイアウォールの使用に慣れていることですが、問題もあります。ファイアウォールがオンになっていますサイバーセキュリティ開発の初期段階で作成された分離およびセグメンテーション技術は、クロスドメイン トラフィックのアクセス制御を目的として設計されており、一定の適応と変革を経た後、従来のファイアウォールをクラウド環境に導入することは可能ですが、よりきめ細かいビジネスを実現することは依然として困難です-level 、ワークロード レベルの制御。さらに、ファイアウォールのパフォーマンスに対するポリシーの規模の影響を考慮すると、セキュリティ ポリシーの制御オブジェクトはネットワーク セグメント レベルまでしか到達できないことがよくあります。
3 番目のパスは最初の 2 つのパスを組み合わせたもので、2 つの技術的なルート ソリューションを補完することでデータ センター内のネットワーク分離を実現します。
4 番目のパスは、最も成功しており、最も多くの人が選択するパスです。それは、ホスト エージェント パスです。ユーザーがこのパスを拒否するのが難しい理由は、インフラストラクチャとは何の関係もないためです。エージェントとオペレーティング システムの幅広い互換性により、さまざまなクラウド環境アーキテクチャに適応する困難が回避され、オーバーレイ モードを使用して、基本ネットワーク上のインフラストラクチャから完全に分離された制御ネットワークを構築します。これによってもたらされる利点は明白で、ユーザーはこのパスを使用して、データ センターやプラットフォーム全体の East-West トラフィックの統合管理を実現できます。ほとんどの K8S ネットワーク プラグインは、ホスト (ノード) カーネルの固有の機能を使用してコンテナ プラットフォーム内でネットワーク転送を実装するため、このパスはコンテナ プラットフォームによってほぼ自然にサポートされていると言わざるを得ません。この道は、物理マシン、仮想マシン、コンテナの統合管理を実現するほぼ唯一の方法です。
上記の 3 番目の道は、技術的には何ら目新しいものではないことを考慮すると、「技術的ルート」というよりも「解決策」に近いものであり、本当の意味で考えられる道は 3 つだけです。
では、実際に4番目の可能性はあるのでしょうか?それとも、別の技術的なパスを提案する必要がありますか? 答えは「はい」です。
クラウドネイティブマイクロアイソレーション
実際、クラウドコンピューティングの状況下では、基本的にホストエージェントが世界を支配しており、革新的であるために新しい技術的ルートを提案することは意味がありません。しかし、クラウドネイティブの登場により、状況は変わりました。
クラウドネイティブの運用保守管理ロジックやネットワーク構築手法は、従来のクラウドコンピューティングとは大きく異なります。現在、国内外で誰もがクラウドネイティブ環境でマイクロ隔離を行っており、これは基本的にホストエージェントを通じて実装されていますが、Qiangwei Smart は過去にこれを実施しており、実際にうまく機能しました。
しかし、ファイアウォールがクラウド コンピューティングのために生まれたわけではないのと同じように、クラウド コンピューティング環境での「マイクロセグメンテーション」の実装には、多くの非互換性があるはずです。ホスト エージェントは決してクラウド ネイティブ用に生まれたものではなく、独自の非互換性があるのは必然です。仮想マシン上のエージェントとクラウドネイティブのエージェントは同じエージェントではないことを知っておく必要があります。仮想マシン内のエージェントは仮想マシンと非常に密接な関係にあり、「月が去れば私も行く」と言え、私たちは常に良い友達であり続けます。しかし、クラウドネイティブのエージェントは実際にはホスト上にデプロイされており、コンテナやオーケストレーションシステム全体から分離されており、エージェントの運用保守管理がオーケストレーションシステム全体から独立しているという問題が生じます。 PAAS プラットフォームのオーケストレーション管理に加えて、これは実際には不親切であり、DevSecOps ロジックを支持するクラウドネイティブの世界に反するものです。
したがって、クラウドネイティブ条件下では、新しいマイクロ隔離ルートが必要です。
DaemonSet - マイクロ分離の 4 番目のルート
クラウドネイティブ環境における最も適切なマイクロ分離テクノロジーのルートは何でしょうか? その答えは DaemonSet です。
デーモンセットとは何ですか?
DaemonSet は、Kubernetes の Pod コントローラーの一種であり、Pod のコピーがすべての (または一部の) ノードで確実に実行されるようにすることができます。ノードがクラスターに参加すると、DaemonSet はそれに新しい Pod を追加します。クラスターから移動 削除されると、これらの Pod もリサイクルされます。 DaemonSet 形式に基づくマイクロ分離ソリューションは、ガード コンテナーの形式でコンテナ プラットフォームにマイクロ分離ポリシー実行ポイントをデプロイするため、常にすべてのノードで実行されます。
Rose Smart Honeycomb 適応型マイクロアイソレーション セキュリティ プラットフォームの展開図
「デーモン」という言葉の「ガーディアン」の意味と同様に、DaemonSet のサポートにより、マイクロ分離機能はコンテナ プラットフォームの柔軟なスケーリングと常に「歩調を合わせる」ことができます。それでは、クラウドネイティブ環境でマイクロアイソレーションを実装するユーザーにどのような実際的な価値をもたらすことができるでしょうか?
まず、このモデルでは、従来のエージェントベースの「プラグイングラフティング」インストールを完全に変更し、「組み込み融合」の形でクラウドプラットフォーム上でのマイクロアイソレーション機能のネイティブ展開を実現しました。はもはや俊敏性と柔軟性ではありません。つまずきのブロック」という問題が発生した場合、クラウド ネイティブの技術的恩恵を完全に解放することができます。
2つ目は、アプリケーションの拡張や新しいサービスの開始時に、管理者はエージェントのインストールや初期設定などの事前作業が不要となり、日々ガードコンテナイメージをメンテナンスするだけで済むため、運用保守の自動化が大幅に向上します。管理コストを削減します。
もちろん、ほとんどの大規模ユーザーにとって、セキュリティ、ネットワーク、運用保守部門は明確な役割分担を持ち、それぞれが独自の職務を実行していると言わざるを得ません。ワークロードにエージェントをインストールすることは、「些細な問題」です。運用保守部門は「root権限を与えることはできない!」、ビジネス部門は「エージェントがビジネスにどれだけの影響を与えるのか?」など、複数の部門が関係することがよくあります。新型モデルの登場により、マイクロアイソレーションの適用は完全になくなりました。
これは 4 番目の方法です。PAASプラットフォーム自体によって提供されるものは、独立したファイアウォールやエージェントによって提供されるのではなく、PAASDaemon プラットフォーム上の独立したビジネスSet メソッドは K8S などのオーケストレーション システムによって均一に管理され、均一に確立および破棄されます。
ローズスマートの継続的なイノベーション
名前に棘があるからかもしれませんが、Qiangwei のマイクロ隔離という賢い道は茨の中を歩んできました。遠くから見ると、マイクロ隔離は繁栄していて繊細なものであり、無関係に手を差し伸べることができない人は誰もいません刺された。特にクラウド ネイティブ環境では、ネットワーク スイートが大きく異なるため、マイクロ分離の実装に大きな課題が生じています。中国でマイクロ分離しかやっていない唯一の頑固な企業である Qiangwei には、マイクロ分離を実装する以外に選択肢はありません。 「隔離。私たちはこの課題に対処するために最善を尽くしました。幸いなことに、それは私たちにとって厄介なことでしたが、最終的には解決策を見つけました。現在、私たちは中国で数万のクラウドネイティブなマイクロ隔離ネットワークを運用しています。国内ネットワークセキュリティへの貢献として、自らの強みを発揮します。
しかし、技術の進歩に終わりはなく、ユーザーとの共同イノベーションの過程で、多くのユーザーはこれをより「クラウドネイティブ」な方法で実現でき、運用や保守、導入が容易になることを期待しています。社内のコラボレーションがより効率的になります。
ユーザーのニーズが私たちの動機であるため、DaemonSet に基づいて新しいバージョンを作成しました。 Agent から DaemonSet になるまではまだまだ難しいところがあり、Agent がホストの権限を取得した後は、実際には何をするにも便利ですが、DaemonSet にすると、ホストから切り離されるのと同じことになります。この層は、マイクロアイソレーションを実行するために必要な多くのアクションに重大な障害をもたらします。
これ以上は言いませんが、とにかく大変でした。幸いなことに、Qiangwei Smart のエンジニアは、途中で決して楽なことはしませんでした。最終的に、彼らは一連の困難を克服し、新しいバージョンを正常にリリースしました。構成 -
「厳しい一日の仕事の終わりに、Qiangwei Smart のエンジニアは額の汗をぬぐい、幸せな笑みを浮かべながら夕日に明るく輝く超大規模なクラウドネイティブのゼロトラスト ネットワークを眺めました。」
この記事は寄稿によるものであり、最高セキュリティ責任者の立場を代表するものではありません。転載する場合は、出典を明記してください:https://cncso.com/jp/クラウド・ネイティブ・マイクロ・セグメンテー