近年來星環科技圍繞着資料安全做了大量的工作,形成了一個資料安全的産品體系。本文主要給大家介紹下星環資料雲基于零信任安全理念在網絡安全上的思考與實踐。
首先對星環資料雲産品的安全需求進行梳理和分類,大緻可分為四類:
l 資料應用層需要可信的資料應用機制,能夠通過對内授權、對外隐私計算等方式幫助資料安全流通。
l 資料資源層需要對進行資料安全治理和安全防護,對資料分級分類、脫敏、溯源,管理權限等。
l 大資料平台層需要可信的軟體環境,能夠進行平台元件管理,資料加密傳輸和存儲,審計操作,确權通路等。
l 雲基礎設施層需要可信的計算環境,能夠對資源進行安全監控,資源隔離,漏洞檢測等。
針對這四類需求,星環科技都針對性的提供了對應的安全産品用來提供相應的服務能力:
l 在資料應用層能提供了 可信資料流通和可信隐私計算。
l 在資料資源層提供了 資料安全治理,資料安全防護。
l 在大資料平台層提供了 資料傳輸存儲安全,資料安全射進,平台權限管控産品。
l 在雲基礎設施層提供看基礎設施安全監控,包括容器隔離,鏡像掃描,動态漏洞檢測大家可以看到目前星環科技提供了很多元度的安全産品。
本文主要圍繞網絡和認證相關的底層技術如:微隔離安全區、 叢集安全邊界以及統一身份認證講述零信任網絡實踐。
首先介紹的是微隔離安全區功能。
針對大資料業務場景,我們對微隔離功能進行了深度打磨,從基本元語/元素到功能/特性實作做了大量的工作。不再使用傳統網絡中的五元組作為基本元素,而是更多的使用了多元化的邏輯辨別作為微隔離的基本元語 :Node、Namespace、Label、Service&Endpoints、Service Account、IPBlock等。
基于基本元語以網絡安全區為核心重新定義微隔離基本元素,靈活配置微隔離邏輯範圍,避免過度隔離或者隔離不到位。新的微隔離基本元素有:SecurityZone、SecurityGroup、SecurityRule。
SercurityZone是以微隔離基本元語為應用機關劃分的靈活的微隔離邏輯範圍。同時我們對安全政策通過SecurityGroup以組的形式進行管理。而SecurityRule則是具體微隔離安全政策的具體規則。SecuriytyRule最終會翻譯為OpenFlow Pipeline,實作安全政策功能。
微隔離安全區功還支援多種特性如:
l 流量可觀測性:多個次元對微隔離流量進行統計,并可視化展示,如:Node次元、Pod次元、Pod-Pod次元、Pod-Service次元、SecurityZone次元。
l 支援L7的安全政策:我們不僅支援L2-L4的安全政策通路控制,還在流量可觀測性的基礎上實作L7的更細粒度的安全防護。比如基于L7中的protocols、method以及pach等字段實作應用層的安全通路控制。
l 流量按需加密功能:在不借助service mesh的情況下實作輕量級的流量按需加密,比如可以對SecurityZone内部流量進行按需加密或者對SecurityZone和外部的流量按需加密。
l 微隔離安全區與 CNI 插件解耦:可以相容多種主流 CNI 插件,如可以支援Flannel、Calico以及Antrea。
l 安全政策引擎:對流量進行多元度的計算和學習。實作網絡安全區内上架的應用的動态感覺,自動根據流量通信記錄學習生成安全政策。
接着介紹的是叢集安全邊界功能。
前面介紹的微隔離安全區功能,主要確定了叢集内的網絡通路安全。而叢集外部安全的通路叢集内的應用也是重要的功能,為了確定這類通路安全,我們做了三方面的技術防護:
第一個是安全邊界負載均衡器:我們統一叢集南北流量,在做到高性能,高可用的同時,增強了安全相關的特性。如白名單管理、真實源 IP以及網絡加密。
K8s本身不包含負載均衡器,基本上通過nodeport或者ingress對外提供服務,我們為了確定安全通路,自研了輕量的負載均衡器,統一了南北流量的通路入口,可以将叢集内部應用統一對外暴露,在確定高性能,節點高可用,AZ高可用的同時,增強了以下安全功能。
l 白名單管理,放行指定源 IP/CIDR 對指定叢集應用的通路,并支援對阻止的封包進行流量審計。配合ingress可以做到七層網絡的安全通路控制。
l 真實源 IP,支援透傳用戶端 IP 功能,確定封包進入叢集内部後進一步的安全審計處理。
l 網絡加密,支援 WireGuard 隧道通信模式,包括使用者和叢集間以及叢集之間建立 WireGuard 隧道進行加密通信。
第二個是跨叢集安全通信:我們之前已經實作了跨叢集的Full Mesh 通信,即不借助網關節點兩個叢集之間pod和pod可以直接通信,在這之上,我們增強了安全相關特性,確定跨叢集 Pod-To-Pod 的安全通信。
可以在兩個SLB之間建立wireguard隧道。兩個叢集的pod之間集中通過SLB進行加密通信同時針對有能力配置wireguard隧道的使用者,負載均衡器也支援和使用者建立wireguard隧道,確定整個鍊路的安全加密。
第三個是邊界防火牆:支援對 NodePort 類型的 Service、HostNetwork 類型的 Pod 以及部配置設定置端口映射的Pod設定叢集次元、節點次元、外部通路次元等多個次元邊界安全規則。
最後介紹的是統一身份認證。
無論是隔離防護功能還是邊界防護功能主要是主動或者被動防護的功能,我們還需要星環資料雲中的workloads之間通信的身份認證 。我們認為星環資料雲中的workloads之間網絡通信都是不可信的,需要一個統一身份認證,在給workloads配置設定統一的辨別ID的同時,實作基于ID的認證和通信政策管理。