Микроизоляциятри дороги
Если пользователь хочет развернуть микросегментацию в собственном дата-центре, сколько вариантов у него есть? По мнению Gartner, у этого есть четыре пути.
Четыре маршрута технологии микроизоляции, предложенные Gartner
Первый путь самый простой.Пользователям не нужно ничего устанавливать.Базовая платформа облачных вычислений предоставит вам возможности микроизоляции. Но проблема этого подхода в том, что он сильно зависит от возможностей используемого вами облака, и не все облачные платформы могут его предоставить. В то же время этот путь имеет очевидные ограничения в плане адаптации к окружающей среде.
Второй способ, который всем наиболее знаком, — это использование виртуального брандмауэра. Преимущество этого способа в том, что все знакомы с использованием брандмауэров, но и здесь есть проблемы. Брандмауэр включенинформационная безопасностьТехнология изоляции и сегментации, созданная на ранних стадиях разработки, предназначена для контроля доступа к междоменному трафику. После определенной адаптации и трансформации традиционные межсетевые экраны можно развернуть в облачных средах, но добиться более детального бизнеса по-прежнему сложно. -уровень, контроль уровня рабочей нагрузки. Кроме того, ввиду влияния масштаба политики на производительность брандмауэра, объекты управления его политиками безопасности часто могут достигать только уровня сегмента сети.
Третий путь представляет собой комбинацию первых двух путей и обеспечивает изоляцию сети внутри центра обработки данных за счет дополнения двух решений технических маршрутов.
Четвертый путь на сегодняшний день является наиболее успешным и выбранным большинством людей. Это путь хост-агента. Причина, по которой пользователям трудно отказаться от этого пути, заключается в том, что он не имеет ничего общего с инфраструктурой. Он использует агент и операционную систему. Его широкая совместимость позволяет избежать трудностей с адаптацией к различным архитектурам облачной среды и использует режим наложения для построения сети управления, которая полностью отделена от инфраструктуры поверх базовой сети. Преимущества этого очевидны: пользователи могут использовать этот путь для достижения унифицированного управления трафиком восток-запад между центрами обработки данных и платформами. Надо сказать, что поскольку большинство сетевых плагинов K8S используют присущие возможности ядра хоста (Node) для реализации сетевой переадресации внутри контейнерной платформы, этот путь почти естественным образом поддерживается контейнерной платформой. В прошлом этот путь был практически единственным способом добиться унифицированного управления физическими машинами, виртуальными машинами и контейнерами.
Ввиду того, что указанный выше третий путь не имеет ничего нового с технической точки зрения, он является скорее «решением», чем «техническим маршрутом», поэтому возможных путей в истинном смысле всего лишь три.
Так существует ли реальная четвертая возможность? Или необходимо предложить другой технический путь?Ответ – да.
облачный родноймикроизоляция
Фактически, если это происходит в условиях облачных вычислений, хост-агент фактически доминирует в мире, и нет смысла предлагать новый технический маршрут ради инноваций. Но с появлением Cloud Native все изменилось.
Облачная логика управления эксплуатацией и обслуживанием, а также методы построения сети сильно отличаются от традиционных облачных вычислений. В настоящее время в стране и за рубежом все используют микроизоляцию в облачных средах, которая в основном реализуется через хост-агенты. Qiangwei Smart делала это в прошлом, и на самом деле она проделала хорошую работу.
Однако, поскольку брандмауэры не были созданы для облачных вычислений, реализация «микросегментации» в среде облачных вычислений должна иметь для них множество несовместимостей. Хост-агент ни в коем случае не предназначен для использования в облаке, и у него обязательно есть своя несовместимость. Вы должны знать, что агент на виртуальной машине и агент в облаке — это не один и тот же агент. Агент в виртуальной машине имеет очень тесную связь с виртуальной машиной, можно сказать, что когда уйдет луна, я пойду, и мы всегда будем хорошими друзьями. Однако агент в облаке фактически развертывается на хосте. Он отделен от контейнера и всей системы оркестрации. Это разделение создает проблемы, то есть управление эксплуатацией и обслуживанием агента не зависит от всей системы оркестрации. Помимо управления оркестровкой платформы PAAS, это на самом деле недружелюбно или даже противоречит облачному миру, который защищает логику DevSecOps.
Поэтому нам нужен новый маршрут микроизоляции в облачных условиях.
DaemonSet — четвертый путь микроизоляции
Какой маршрут технологии микроизоляции наиболее подходит в облачной среде? Ответ: DaemonSet.
Что такое демонсет?
DaemonSet — это тип контроллера подов в Kubernetes, который может гарантировать, что копия пода будет запущена на всех (или части) узлах. Когда узел присоединяется к кластеру, DaemonSet добавит для него новый под. перемещены из кластера. При удалении эти модули также будут переработаны. Решение микроизоляции, основанное на форме DaemonSet, развертывает точку выполнения политики микроизоляции на контейнерной платформе в виде защитного контейнера, чтобы она всегда запускалась на каждом узле.
Схема развертывания адаптивной микроизоляционной платформы безопасности Rose Smart Honeycomb
Точно так же, как слово «Демон» означает «хранитель», благодаря поддержке DaemonSet возможности микроизоляции всегда могут идти «в ногу» с эластичным масштабированием контейнерной платформы. Итак, какую практическую ценность это может принести пользователям, реализующим микроизоляцию в облачной среде?
Прежде всего, эта модель полностью изменила исходную установку «прививки плагинов» на основе Агента и реализовала встроенное развертывание возможностей микроизоляции на облачной платформе в форме «встроенного слияния». больше не является гибким и гибким. Камень преткновения», технические дивиденды облачной среды могут быть полностью реализованы.
Во-вторых, при расширении приложений и запуске новых сервисов менеджерам больше не нужно выполнять предварительные операции, такие как установка агента и первоначальная настройка. Им нужно только ежедневно поддерживать образ защитного контейнера. Автоматизированный метод работы и обслуживания значительно снижает затраты на управление.
Конечно, надо сказать, что для большинства крупных пользователей отделы безопасности, сети, эксплуатации и обслуживания имеют четкое разделение труда и каждый выполняет свои обязанности.Установка Агента на рабочую нагрузку — «тривиальное дело», часто включает в себя несколько отделов, например, отдел эксплуатации и обслуживания скажет: «Я не могу дать ему root-права!», а бизнес-отдел задается вопросом: «Какое влияние агент окажет на бизнес?», и эти препятствия для применение микроизоляции полностью исчезло с появлением новой модели.
Это четвертый путь.Микроизоляция не вызванаПААСТо, что предоставляется самой платформой, не предоставляется независимым межсетевым экраном или агентом, а становитсяПААСНезависимый бизнес на платформе DaemonСМетод et управляется единообразно системами оркестрации, такими как K8S, и устанавливается и уничтожается единообразно.
Постоянные инновации Rose Smart
Может быть, это потому, что в названии есть что-то тернистое, но умный путь микроизоляции Цянвэя шел среди шипов. укололся. Будучи единственной упрямой компанией в Китае, которая не занимается ничем иным, как микроизоляцией, у Qiangwei нет другого выбора, кроме как внедрить микроизоляцию, особенно в облачной среде. изоляция. Мы изо всех сил старались решить эту проблему. К счастью, хотя это было занозой на нашем глазу, мы, наконец, нашли выход. Сегодня мы управляем десятками тысяч облачных сетей микроизоляции в Китае, которые можно рассматривать как как вклад в безопасность внутренней сети.собственные силы.
Однако технологический прогресс никогда не закончится.В процессе совместных инноваций с пользователями многие пользователи надеются, что мы сможем сделать это более «облачным» способом, что упростит их эксплуатацию и обслуживание, а также упростит установку. и внутреннее сотрудничество становится более эффективным.
Потребности пользователей — наша мотивация, поэтому мы сделали новую версию на основе DaemonSet. От Агента до DaemonSet по-прежнему много сложностей.После того, как Агент получает разрешения хоста, ему на самом деле удобнее делать что-либо.Однако, как только он превращается в DaemonSet, это эквивалентно отделению от хост на один слой.Этот слой создает значительные препятствия для многих необходимых нам действий для выполнения микроизоляции.
Больше не скажу, но это все равно было довольно трудоемко. К счастью, инженеры Qiangwei Smart никогда не делали ничего легкого на этом пути. В конце концов они преодолели ряд трудностей и успешно выпустили новую версию. Подать заявку Закончим предложением для начальной школы состав--
«В конце тяжелого рабочего дня инженер Qiangwei Smart вытер пот со лба и со счастливой улыбкой на лице посмотрел на сверхкрупномасштабную облачную сеть с нулевым доверием, ярко сияющую на закате».
Эта статья взята из материалов, не представляет позицию директора по безопасности, при воспроизведении просьба указывать источник: https://cncso.com/ru/облачная-нативная-микросегментация-html.