• SmartX Everoute 如何通过微分段技术实现 “零信任” | 社区成长营分享回顾


    在社区成长营网络与安全第一期分享中,SmartX 高级产品营销经理张涛介绍了网络安全的重要性,和虚拟化环境下东西向安全的指导思路(点击查看第一期图文总结)。

    网络与安全第二期分享继续由张涛老师提供,以下为内容回顾。

    SmartX 社区成长营

    在 SmartX 用户社区,我们将通过系列成长营活动,持续分享技术干货内容与行业解决方案,与社区成员共同成长。

    欢迎添加管理员,加入 SmartX 用户社区

    大家晚上好,我是来自 SmartX 的张涛。我今天将围绕 SmartX 网络与安全产品 —— Everoute —— 是如何通过微分段技术实现 “零信任” 的安全理念来进行分享。分享内容主要包括以下五个部分:

    • 回顾:为什么需要微分段?
    • 市场上主流微分段解决方案概述
    • “安全微分段” 内生在超融合架构中的原理和优势。
    • Everoute 微分段安全策略举例。
    • 如何对可疑虚拟机进行 “一键式” 隔离?

    回顾:为什么需要微分段?

    虚拟化和云计算的发展促进了应用和数据的高度集约化部署。面向最终用户应用需求的爆炸式增长,推动了应用开发、部署和迭代模式的变化:从传统的 “高、大、全” 的单体架构转向 “小、快、灵” 的微服务架构。

    应用网格化、敏捷性和移动性特点因此日益明显,云内和云间横向互访和数据交流的频度得以进一步提高,传统 “安全边界” 不再可靠。与此同时,“最小权限原则” 指导下的东-西向隔离的重要性却日益凸显。

    产生这样的原因是因为虚拟化技术的诞生,让以往信息化系统的最小单位从“物理主机” 变为 “虚拟主机”。连带着,用于连接各个单元的不再是网线,而是虚拟接口,主机彼此间的安全边界也逐步消融到虚拟化集群内部。

    基于物理主机为最小单位发展出来的安全体系,逐渐失去了防御的目标。容器化的普及,更是进一步加深了人们对不可见的边界及安全问题的忧虑。

    面向虚拟化和容器的 “微分段”(Micro-Segmentation)因此应运而生,这也是在云内/云间对应用/数据进行 “微颗粒度隔离” 的具体技术方法。

    SMTX OS 是由 SmartX 自主研发的超融合软件,提供计算虚拟化、分布式存储和网络与安全等功能。

    SmartX 解决方案中的 Everoute 是基于云原生和 SMTX OS 虚拟化、面向云原生和 SMTX OS 虚拟化的网络与安全产品,可以为虚拟机和容器创建符合 “零信任” 要求的微隔离环境,并通过集中的策略管理平台,减轻虚拟化和安全管理员繁重的日常操作。

    以下为超融合模式下的应用虚拟化和分布式架构示意图。

     

    市场上主流微分段解决方案概述

    目前市场上有三种主流的微分段解决方案。在基于虚拟化网络的微分段产品之前,常用的第一种是通过在每个虚拟机内部安装终端安全软件/插件,来实现微颗粒度的安全控制(如下图)。

     但这种方式存在以下三个不足:

    1)安装在客户虚拟机内部的安全产品仅能对单个虚拟机进行防护。

    2)大量虚拟主机可能基于不同操作系统类型和版本,安装有不同应用和服务,对安全策略有不同要求,难以统一管理。

    3)对大批量虚拟主机进行威胁库和补丁更新,在运维层面的操作难度大,对生产的影响大。

    第二种,是网络设备厂商推出的基于硬件交换机的微分段解决方案(如下图)。

     这种方案的原理是将同一子网的不同端点组(EPG)的虚拟机配置在隔离的 VLAN/PVLAN,从而使得虚拟机在虚拟交换机层面上无法互通。想要沟通,必须首先转发至 TOR 硬件交换机上,基于此实现 “安全服务链”。

    但这种方式对用作 Leaf 节点的交换机型号和版本有严格要求,无论逻辑拓扑还是物理拓扑都很复杂,大量 “发卡弯” 流量的存在也将降低系统的可维护性。

    “安全微分段” 内生在超融合架构中的原理和优势

    基于虚拟化网络的微分段解决方案与以上方式不同,将 Hypervisor 管理的虚拟交换机 VDS,和容器网络接口 CNI 作为实施虚拟机和容器微分段的切入点,并通过在虚拟化和容器环境里,增加策略 “维度” 的方式,解决虚拟机和容器的数量、用途和位置不断变化的困境。

    以 SmartX 网络与安全解决方案 —— Everoute 为例,SmartX 的安全微分段内生于超融合操作系统中(如下图)。

     其通过在每台主机上运行专用进程,对虚拟机之间的通信流量进行直接管理。若要对一个或多个超融合集群启用安全微分段,仅需在集中管理器上将此功能与对应的虚拟交换机进行关联就可以。

    开启后,虚拟机之间的数据包被 “允许” 或 “拒绝” 动作,其由集群上的每台主机分布式执行。

    优势体现在四个方面:

    • 不装插件:不在虚拟机上安装任何代理或插件,虚拟机可以采用任何操作系统、运行任何应用程序。
    • 不动网络:无需变更任何网络线路,无需修改物理网络上路由器、交换机、防火墙的任何配置,面向物理硬件的网络连接,与应用之间将是松耦合关系,访问控制功能已经被抽象到虚拟化网络层,不再通过特定的硬件网络设备实现了。
    • 没有瓶颈:安全功能分布在所有主机上,不会由于少数主机性能消耗过大而形成瓶颈。与此对照的是,基于专用设备(如 TOR 交换机、硬件防火墙等)承担安全功能,导致网络结构僵化、缺乏面向敏捷应用的容量和弹性,限制了应用以虚拟化、容器化方式的快速迭代和扩展。 
    • 应用可移动:应用层与特定物理设备解耦之后,同一个应用,可能被分布在不同物理位置、甚至不同的云上,虚拟化网络应在这些位置上保持同样的逻辑拓扑和功能;Everoute 安全策略可以跟随虚机位置进行移动,这就确保应用实现了“位置无关”的无缝连接和平滑迁移。

    此外,以上提到的虚拟机管理、标签管理、安全策略管理、虚拟机隔离等安全运维操作,都可以在 SmartX 超融合系统的 “管理中心”—— CloudTower ——上完成。

    CloudTower 是 SmartX 自主研发的多集群管理软件,在同一个管理界面上即可对不同集群上的虚拟机、分布式存储和安全微分段进行配置。虚拟机即使发生了跨集群的迁移,也仍然在原有 CloudTower 管理范围内,虚拟机标签可以保持、与标签关联的安全策略也可以在不同集群上被执行。

    通过 CloudTower, 可有效减轻虚拟化和安全管理员繁重的日常操作。而对于采用 “标签” 为条件的微分段安全策略后的实际效果,也可通过其进行查看和监控,评估现有策略的有效性和适用性,确保必要的应用流量没有被中断

    因此,Everoute 采用的基于软件 SDN 的微分段方式,是对于整体架构影响最小的方式。

    Everoute 微分段安全策略举例

    通过以上对比可以了解到,实施微分段的最佳切入点,是虚拟交换机。这是启用虚拟化或容器化环境所必需的原生网络组件。在此基础上应用 “标签” 和安全策略,是原生且最直接的微隔离方法。这就是 “内生安全” 的含义。

    微隔离如果不是内生于虚拟化和容器平台,将不可避免地成为业务敏捷性的累赘。

    传统访问控制策略的基本要素是 IP 地址、协议和端口号,扩展的安全策略中还可能包含时间和 MAC 地址,最多可实现 “五维” 安全策略。

    在 SMTX OS 环境中,可以设置 “标签(Tag 或 Label)”,并将标签作为一个新的安全控制要素,这就为安全规则的编写和维护带来了更多便利和可能性。制定包含六个 “维度” 的安全策略。

    常见的一个 “Web-App-DB” 三层应用架构,如果每一层都由 3~4 个虚拟机或容器组成 (如下图)。

     那么为这个应用编写基于 IP + Port 的安全策略,规则数量有可能多达十几条;当每一层中需要对虚拟机或容器进行增、删、改操作时,都必须调整与之关联的安全规则,甚至有可能需要调整 IP 网段设置。

    与之对照的是,如果基于“ 标签” 这个维度在 Everoute 中制定安全策略,安全规则数量就可以减少到 3 条,而且对虚拟机或容器进行增、删、改操作,都不需要调整安全规则。

    Everoute 的安全策略,以 “默认拒绝” 作为底线规则,这与 “零信任” 安全所要求的 “最小权限” 原则相一致。

    如何对可疑虚拟机进行 “一键式” 隔离?

    对于运维人员而言,没有什么安全措施是万全的保障,必须提前备好在突发安全状态下的紧急预案,才能对 “万一” 发生的安全事件进行快速响应。

    Everoute 的微分段功能,也包含了对于虚拟机进行紧急隔离的技术方法。

    具体来说,当管理员或安全运维中心(SOC)发现某个虚拟机的行为异常,比如某个用作文件服务器的虚拟机上的收/发流量突增,但所有普通用户都无法连接到这个服务器,此时就可以:

    1)立刻通过超融合管理界面或 API 将这台虚拟机置于 “网络隔离” 状态。

    2)被 “隔离” 的虚拟机与周边的通信被完全切断,不会再影响到同一环境内的其他虚拟机,为管理员排除安全威胁或系统故障争取了时间。

    3)如果排查 / 修复过程中,管理员需要临时与虚拟机进行通信(比如需要通过运维跳板机上传补丁文件、运行远程诊断程序),则可以通过设置 “诊断隔离白名单”,允许被隔离虚拟机与特定目标之间的临时单点通信。

    4)故障 / 安全漏洞修复后,还可以 “一键式” 恢复虚拟机的正常运行状态,隔离之前已经应用在这个虚拟机上的安全策略无需调整,重新生效。

    以上是第二期的内容回顾。在下期分享中,张涛老师将介绍基于微分段技术实现东西向安全防护后,会给数据中心在虚拟化、网络、安全方面带来哪些思路和方法上的改变,并说明这些改变将如何影响和提升数据中心运维效率。

    社区版 Everoute 下载

    如果您想体验 Everoute 产品功能,可通过下载 SmartX 超融合套件社区版  5.0.1 来进行体验。

    社区版 Everoute 支持通过使用 CloudTower 社区版 2.0.0 及以上版本进行管理,可为虚拟机提供分布式防火墙功能。

    部署和使用方法可以从以下链接开始,参考官方文档:

    http://docs.smartx.com/everoute-1.0.4/docs/user_guide/user_guide_01.html

    点击下载 SmartX 超融合套件社区版,体验 Everoute 产品功能。也欢迎各位小伙伴添加管理员微信,加入 SmartX 用户社区,和我们一同成长~

     

  • 相关阅读:
    海外专线网络费用
    【Leetcode】15. 三数之和
    Power BI 如何解决月份排序错误/乱序问题(自定义顺序/正确排序)
    linux修改root密码
    Spring源码级笔记(一)
    jmeter阶梯式线程组
    SQLite使用
    系统可用性:SRE口中的3个9,4个9...到底是个什么东西?
    C++ Reference: Standard C++ Library reference: C Library: cstdio: getc
    【InnoDB Cluster】修改已有集群实例名称及成员实例选项
  • 原文地址:https://blog.csdn.net/weixin_43696211/article/details/126664231