网络安全:软件定义云计算微服务如何做好新环境下的网络隔离

Posted 国信智库

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络安全:软件定义云计算微服务如何做好新环境下的网络隔离相关的知识,希望对你有一定的参考价值。

软件定义网络(Software Defined Network,SDN)是由美国斯坦福大学CLean State课题研究组提出的一种新型网络创新架构,是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供了良好的平台。

云计算(Cloud Computing)是基于互联网的相关服务的增加、使用和交互模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云是网络互联网的一种比喻说法。过去在图中往往用云来表示电信网,后来也用来表示互联网和底层基础设施的抽象。因此,云计算甚至可以让你体验每秒10万亿次的运算能力,拥有这么强大的计算能力可以模拟核爆炸、预测气候变化和市场发展趋势。用户通过电脑笔记本、手机等方式接入数据中心,按自己的需求进行运算。对云计算的定义有多种说法。对于到底什么是云计算,至少可以找到100种解释。现阶段广为接受的是美国国家标准与技术研究院(NIST)定义:云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。

微服务是一个新兴的软件架构,就是把一个大型的单个应用程序和服务拆分为数十个的支持微服务。一个微服务的策略可以让工作变得更为简便,它可扩展单个组件而不是整个的应用程序堆栈,从而满足服务等级协议。

对于大型应用程序来说,增加更多的用户则意味着提供更大型的弹性计算云(EC2)实例规模,即便只是其中的一些功能扩大了规模亦是如此。其最终结果就是企业用户只需为支持超过微服务的那部分需求的EC2实例支付费用。 

概览


做年度计划的时候,公司企业总会将安全当作头等大事加以考虑,其中一个值得注意的防御方法就是网络隔离。



遭遇网络攻击的时候,如果有做网络隔离,便可以将攻击限定在特定区域,防止攻击者利用最初的立足点进一步探索公司网络,从而控制攻击的影响。分隔网络并在每个区域应用强访问控制的方法,可以隔离攻击,防患于未然。


但时至今日,企业网络已不仅仅是网络,而是大量传统网络、软件定义网络(SDN)、云服务和微服务的集合。该混合环境的分隔需要升级版分隔方法。


本文将介绍网络隔离该如何入手,讲述应该提前规划和避免的一些问题。


开始


指定基本网络区域是最成功的网络隔离切入方法。万变不离其宗,不管混合网络复杂到何种程度,应总是从最简单的区域开始分隔。初始区域通常包括内部、外部、互联网和隔离区(DMZ)。然后可对初始区域进一步调整细分和设置访问策略,最终形成可接受的分隔设置。


夯实安全策略


公司企业制定应用到区域间允许端口及协议上的标准策略。该策略应完全文档化,以可被快速查阅的形式呈现,不能仅仅是IT安全经理脑中那团变来变去的非正式“规则”。只要安全策略集中统一到一个地方,就可以放心做出协调一致的访问策略修改了。


随着分隔进程向纵深发展,可以考虑用用户ID和应用控制来进一步分隔网络。


限制出站


公司网络有极大可能性已经被感染,即便尚未感染,限制出站流量也是个良好操作。完全防止恶意软件是不可能的,但我们有另一种方法可以简单地缓解恶意软件感染的后果。只要将出站连接限制到非必要不允许的程度,就可以阻止恶意软件回连C2服务器或者上载被盗数据了。


传统网络、云及其他


当公司网络扩展至云端,你便需要与应用团队携手合作。如果采取整体迁移的方式,公司的云网络可能就是之前现场网络的延伸,而传统分隔架构将被沿用到云端。已经采用“云原生”操作的公司企业(以DevOps和CI/CD过程为特征)则不然,他们会围绕应用而非网络来构建云。这种情况下,云为相关应用团队所有,一旦发生安全事件,必须与相关应用团队紧密合作以限制泄露范围。


这种操作经常需要2个或2个以上的团队为了同一个目标联合起来,顺带提供了改善网络连接性和安全性的机会。规划需要自己负责分隔的网络时,你会想要囊括进可能与你现有网络融合的那些相关网络。认识到这种改变会引入新的安全顾虑和障碍,就可以更好地预期对你网络隔离策略的整体影响。


可管理


除了网络平台的不断改变,网络策略也在持续变化中。2019年里,你的公司很可能会开展云优先的项目、发布新的业务,或者在全球各地开设新的分公司——必须对此做好准备。


无论网络如何变化,管理和跟踪这些变化都是必须的。你的网络上之前配置的发现工具,或者目前用来管理你网络的那些工具,可以作为管理你网络隔离过程的良好起始点。如果有多个现有解决方案,不妨考虑自己是否能将之集成到一个中央控制台上,统一设计、实现和管理正在进行的网络隔离工作。


分阶段实现


进行到这一步,你应该清楚网络隔离过程中有哪些资源可以利用,有哪些人可以负责分隔设计和实现。有以上认知打底,你就该为分隔实现事项设置优先级了。


首先,在较高层次上评估网络,考虑要指定哪些区域。即使只分成两个区域,也能提供对连接性更好的管理,增加访问可见性,识别出之前可能漏掉的与现有访问规则相关的风险。


从上述内部、外部、互联网和隔离区这4个初始区域开始,你可以指定进一步的连接限制,设置哪些区域需要再细分(比如:敏感数据、网络资产等等)。


如果要符合特定行业监管规定,从指定敏感数据区开始(比如,为 PCI DSS 系统及数据专设一个区域)。脑子里想着合规,然后返回去总览整个网络。该方法可助你发现连接改进点、减少访问权限、增加攻击敏感数据的难度。


微分隔


应用安全的时候总是从宏观层次上开始:区域、子网、虚拟局域网等等。随着安全旅程的深入,微观层次上的问题也应进入视野。SDN、云平台和Kubernetes微服务之类现代架构以安全为本,提供灵活的方法为每个应用程序开发各自的访问控制。按应用程序实施连接限制,令用户可制定更具体的白名单,更容易发现异常行为,实现细粒度控制。而想要高效达成此目的,你得让应用拥有者也参与进来。


慢一点,少一点


记得谨慎实现分隔,因为在公司网络中实现这么细致的控制会随着分隔规模的扩大而变得无法管理。


过分分隔是网络隔离中需要特别注意避免的一条,分隔过度会因复杂性的上升而造成管理上的丧失。虽然网络隔离能改善整体安全性,促进合规,但公司企业应渐进式分隔网络,这样才能保持住可管理性和避免网络过于复杂。


分隔步子迈得过大过快,或者一开始就分得太细,会造成“分析瘫痪”的窘境,安全团队很快就会应接不暇,网络隔离的优势也就体现不出来了。


在拥有500个应用的环境里为每个应用分配一个安全区域就属于分隔过度。如果每个区域都单独配置,仅网络规则的规模都能耗尽公司安全资源,让公司更不安全。


采取行动


安全界每个人都知道,自动化解决方案是能发送太多太多警报的。网络安全策略管理(NSPM)解决方案可缓解该警报疲劳。NSPM可以审核安全策略违反事件,确定它们是否可接受的异常,需不需要做出修改以符合规定。除了合规,NSPM解决方案还可以评估访问违规是否遵循了经审核的异常规程。


安全人员常会成为攻击者的目标。NSPM解决方案也可用于确定网络违规是否攻击者利用被盗凭证授权敏感数据访问的结果。


永不停歇


网络隔离的正确方法是永不“完结”。每个网络都在经历改变,治理连接的访问控制也需要改变。循序渐进的方法是最佳操作。NSPM可使你在每一步都有机会审查、修正和持续优化分隔。


以上是关于网络安全:软件定义云计算微服务如何做好新环境下的网络隔离的主要内容,如果未能解决你的问题,请参考以下文章

云原生快速发展中,安全检测如何适配?

物联网环境下的云存储安全问题研究

云计算环境下的数据中心网络和系统架构

部署微服务于容器云平台,API网关应如何选择?

云计算与大数据应用环境下的信息安全管理 ——第四期线上金融科技论道台成功举办

云原生学习之一:微服务