11月6日,由位元組跳動、阿裡雲、華為、Intel、騰訊雲共同發起的2022第三屆中國雲計算基礎架構開發者大會(簡稱CID大會)在杭州舉辦。星環科技作為國産大資料基礎軟體的重要推動者之一,受邀出席大會,進階網絡開發工程師吳正東和李陽在平台管理分論壇分享了星環科技雲原生大資料平台零信任網絡安全實踐。
大資料時代來臨,各行業資料規模呈TB級增長,擁有高價值資料源的企業在大資料産業鍊中占有至關重要的地位。在實作大資料集中後,如何確定網絡資料的完整性、可用性和保密性,不受到資訊洩漏和非法篡改的安全威脅影響,已成為政府機構、事業機關資訊化健康發展所要考慮的核心問題。
企業和機構迫切需要大資料安全防護與加強,對于資料應用層,需要可信的資料應用機制,能夠通過對内授權、對外隐私計算等方式幫助資料安全流通;對于資料資源層,需要對進行資料安全治理和安全防護,對資料分級分類、脫敏、溯源,管理權限等;對于大資料平台層,需要可信的軟體環境,能夠進行平台元件管理,資料加密傳輸和存儲,審計操作,确權通路等;對于雲基礎設施層,需要可信的計算環境,能夠對資源進行安全監控,資源隔離,漏洞檢測等。
針對這些需求,星環科技在産品的各層級上都完善了安全技術,進而可以給使用者提供體系化的資料安全防護能力。
在基礎設施層,星環科技提供基于容器的雲原生作業系統 TCOS,它不僅能夠提供容器隔離和鏡像掃描,還新增了漏洞檢測以及面向業務的微隔離安全技術,進而可以為使用者開辟一個獨立的資料與計算環境,外部的服務未經授權無法進入,減少資料對外暴露風險。
在資料平台層,星環科技大資料基礎平台 TDH 在新版本上做了大量的安全加強,一個是引入了微隔離安全技術,第二個是資料庫支援行列級權限控制、動态脫敏等新能力,優化了資料透明加密并支援了用國密的算法,第三是增強了資料審計能力。
在資料資産層的安全防護上,星環科技資料安全管理平台Defensor可以幫助企業建構整個的資料安全管理域;資料流通平台Transwarp Navier,包含隐私計算平台Sophon P²C以及資料交易門戶,提供包括聯邦學習、差分隐私等技術能力,以及資料釋出和資料合約等業務能力。
吳正東和李陽圍繞星環科技體系化的資料安全與流通産品,重點介紹了其中的微隔離安全區功能、叢集安全邊界功能、統一身份認證功能三大技術點。
微隔離安全區
不再局限于傳統微隔離中的IP位址,使用多元化的邏輯辨別作為微隔離的基本元語;以網絡安全區為核心重新定義微隔離基本元素,靈活配置微隔離邏輯範圍,避免過度隔離。除了基礎的功能實作,還具備微隔離流量按需加密、微隔離安全區支援多種CNI(Calico、Flannel、Antrea等)、微隔離流量可視化、微隔離流量L7安全政策、微隔離安全政策引擎等特性。
- 微隔離流量按需加密特性:不再簡單粗暴的對整個叢集進行流量加密,而是靈活的按需加密,可以實作微隔離單元内以及對外東西向流量加密。
- 微隔離安全區支援多種CNI:微隔離安全區功能與 CNI 插件解耦,微隔離安全區功能可以相容多種主流 CNI 插件,如:Calico、Flannel、Antrea 等。
- 微隔離流量可視化特性:多個緯度對微隔離安全政策的流量進行統計,并可視化展示。
- 微隔離流量L7安全政策特性:支援L7安全政策設定,滿足雲原生業務的各種需求。
- 微隔離安全政策引擎特性:以流量可視化為基礎,以微隔離SecurityZone為應用單元,根據動态政策分析對SecurityZone配置安全通路政策,滿足SecurityZone 内靈活的上下架多樣化的大資料業務的安全微隔離需求。
叢集安全邊界
- 安全邊界負載均衡器:統一叢集南北流量,在做到高性能,高可用的同時,增強了安全相關的特性。
- 跨叢集安全通信:在實作跨叢集 Full Mesh 通信的基礎上,增強了安全相關特性,確定跨叢集 Pod-To-Pod 的安全通信。
- 邊界防火牆:支援對 NodePort 類型的 Service、HostNetwork 類型的 Pod 設定叢集次元、節點次元、外部通路次元等多個次元邊界安全規則。
統一身份認證
- 租戶企業組織資訊的管理:面向角色的租戶角色劃分,輕松實作租戶企業組織資訊管理。
- 租戶認證管理:基于身份認證的資源管理,嚴格的授權和安全管控以及租戶資料管理。
- Spire內建:大資料元件的身份認證與網絡身份認證整合,統一管理,支援政策關聯。