云原生安全性之“SmartNIC分流源起”

Posted 2021-04-03 认知计算与云安全

近年来，服务提供商之间的DDoS攻击一直在上升。根据有关报告，DDoS相关攻击百分比大幅上升-从2018年的约31％增至2019年的77％。毫不奇怪的是，由于5G有效地形成了该技术的发源地，因此有望突显这一趋势。5G吹嘘的低连通性将把更多的IoT和智能设备连接到公共网络，再加上带宽的大量增加，意味着攻击者将需要数量更少的设备的僵尸网络来执行更大的攻击。

在进行网络分流之前，让我们首先了解边缘计算网络的需求。

虚拟交换：边缘云有很多类型。边缘云可以是企业本地边缘，电信公司的网络边缘和纯业务边缘运营商。边缘云有望成为云计算的扩展，许多人看到了云计算挑战的适用性，因此也看到了云解决方案在边缘计算世界中的适用性。每个节点内的虚拟交换成为基础架构网络的重要功能，其中虚拟交换负责根据DMAC（目标MAC）地址将流量切换到各种工作负载。

DDoS保护（或泛洪保护）：边缘计算不同于云计算。在云计算中，云中的工作负载为Internet用户提供服务。为了抵御任何DDoS攻击，部署应用程序的实体会进行Anti-DDoS和网络攻击防护。在某些情况下，公共云提供商自己提供此保护服务，在某些情况下，此保护由第三方服务提供商提供。请注意，边缘云可能没有很高的WAN带宽链接。暴露给Internet用户的任何服务都需要通过中间的某些DDOS保护服务。与云计算不同，边缘计算还通过LAN / Wifi / Private-LTE / Private-5G向本地设备公开服务。预计这些服务将提供低延迟和低抖动响应。问题是谁将保护边缘服务免受来自本地网络中实体的DDoS攻击。

防范网络攻击：本地网络中的设备会增加攻击面-因为它们可能会遭到破坏，因为它们可能会行为不当，因此有可能成为攻击边缘部署的服务的发射台。在边缘计算中需要防御已知的普通攻击，但需要进行计算或带宽密集型攻击。例如，预计通过基础结构网络可以保护免受此类攻击。

网络切片：网络切片需要多租户网络。多租户联网有助于在租户之间隔离工作负载和联网。但是，网络切片的一项主要要求是网络QoS。DDoS保护有助于避免资源耗尽。但是，如果不注意可能会降低重要流量。因此，需要针对工作负载的流量整形。工作负载规范可以指示最大PPS或bps，并且在将流量传递到工作负载或其网络名称空间的同时，预期基础结构网络将遵守这些限制。

防止数据包在网络上嗅探和窃取数据：边缘没有很好的物理安全性，因此，确定的攻击者有可能通过嗅探网络上的流量（通过挂接到L2交换机或引入L2交换机来窃取流量）。可以预期的是，基础架构网络会通过诸如Ipsec之类的加密协议来确保线路上流量的安全。

流量过滤：仅需要确保将相关流量发送到应用程序工作负载并过滤掉不需要的流量，以确保应用程序以更确定的方式响应。由于使用边缘计算来提供更好的体验质量（低延迟和低抖动），因此过滤在边缘中更为重要。预期基础结构网络将进行过滤。

平衡多个实例之间的流量：应用程序开发人员正在采用微服务架构。众所周知，微服务架构的好处包括按需扩展/扩展微服务实例。因此，具有状态连接跟踪和NAT的流量负载平衡对于边缘计算也非常重要。同样，人们期望基础架构网络能够平衡多个实例之间的流量。

零信任安全性和流量管理：微分段和向每个微服务靠拢的移动安全性（WAF等）正在成为提供零信任安全性的规范。带有边缘汽车代理的每个微服务的服务网格技术正在云原生世界中成为一种惯例，包括边缘计算。例如，带有Envoy的ISTIO提供了相互TLS功能，对谁可以与微服务的各个方面进行交谈（从而提供了零信任安全性），L7级别的负载平衡（HTTP / HTTP2），电路中断，粘性会话等方面提供了更精细的授权。基础设施网络有望包括WAF和其他应用程序防火墙增强的服务网格组件。

SD-LAN和SD-WAN连接：由于边缘计算工作负载为内部和外部用户提供服务，因此需要为内部服务提供入口连接。另外，由于微服务因其功能而有望连接到外部世界，因此还需要出口连接。SD-LAN和SD-WAN功能正在成为边缘计算平台的功能。因此，基础设施网络有望包含SD-LAN和SD-WAN功能。SD-LAN和SD-WAN有望通过IPsec或Wireguard提供安全的连接。SD-WAN除了提供安全的连接性之外，还有望在多个WAN连接之间提供绑定功能。SD-LAN和SD-WAN的其他功能包括边缘覆盖，用于入口/出口流量的状态检查防火墙。

就近突破：进行边缘计算的主要原因之一是使应用程序的关键微服务更接近用户。发生这种情况时，应确保将发往该应用程序的流量本地重定向到该应用程序的本地实例。这将在不更改客户端应用程序，DNS配置等的情况下发生。在5G世界中，这是通过UPF（用户平面功能）实现的。由于5G（公共或私有）将变得司空见惯，因此人们期望UPF将出现在每个边缘云中。边缘的基础架构网络预计将包括UPF。

存储网络：一些边缘云与群集范围的集中式存储以及基于SSD的存储设备一起使用。因此需要NVMe-over-fabric。使用RoCE的具有RDMA的NVMe-over-fabric成为常见的做法。任何基础架构网络都有望支持更快的网络访问远程存储。

随物联网的兴起，阻止攻击的最合乎逻辑的地方就是边缘-减轻攻击负担并防止大量恶意流量窃取跨多个站点的合法用户的网络带宽，并累计降低边缘到核心的数据传输成本随着时间的推移。 鉴于服务提供商选择尽可能多地虚拟化边缘节点以降低节点成本并允许部署更多节点，SmartNIC分流技术非常适合保护边缘网络。

请扫码关注我们：