云原生网络的微隔离实现技术

最新推荐文章于 2025-06-14 20:07:19 发布
原创 最新推荐文章于 2025-06-14 20:07:19 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

随着企业网络基础设施日益复杂,传统网络边界安全防护方法不够用。微隔离作为实现零信任的关键技术,在云原生网络安全建设中作用重要。本文介绍了微隔离概念、云原生需微隔离的原因、云原生网络组网架构,还阐述了云原生网络微隔离的实现技术,如基于Network Policy和Sidecar实现。

微隔离实现零信任

的云原生网络微隔离实现零信任的云原生
网络随着企业网络基础设施的日益复杂,尤其是云计算等虚拟化网络应用的普及,这种复杂性超越了传 统网络边界安全的防护方法。基于传统物理、固定边界的网络安全也被证明是不够用的,“数据中心
内 部的系统和网络流量是可信的”这一假设是不正确的。网络边界的安全防护一旦被突破,即使只有一台 机器被攻陷,攻击者也能够在所谓“安全的”数据中心内部横向移动。NIST在 2020 年 8 月,发布了最新的零信任架构 [34],在零信任安全模型中,会假设环境中随时可 能存在攻击者,不能存在任何的隐形信任,必须不断的分析和评估其资产、网络环境、业务功能等的安 全风险,然后制定相应的防护措施来缓解这些风险。在零信任中,这些防护措施通常要保证尽可能减少 对资源(比如数据、计算资源、应用和服务等)的访问,只允许那些被确定为需要访问的用户和资产访 问,并且对每个访问请求的身份和安全态势进行持续的认证和授权。
微隔离作为实现零信任的关键技术之一,在云原生网络安全建设中,同样起着重要的作用。本章将 重点介绍如何在云原生网络中实现零信任的微隔离系统。

概述

在云原生环境中,尤其是云原生网络安全的建设和规划中,以零信任的架构和思路,实现云原生网 络的微隔离和访问控制是必要的。

什么是微隔离

微隔离(Micro-Segmentation)最早是 VMware 为应对虚拟化隔离技术出来的。 Gartner 更是 从 2016 年开始,连续三年将其列为年度 Top10 的安全技术和项目(Micro-Segmentation and Flow Visibility,微隔离和流量可视化),通过对网络流量的可视化和监控,让运维人员能够详细了解系统内 部网络数据包的流向,进而使微隔离能够更好的设置安全策略。
微隔离,顾名思义就是一种更细粒度的网络隔离技术,其核心能力的诉求也是聚焦在东西向流量, 对传统环境、虚拟化环境、混合云环境、容器环境等东西向流量进行隔离和控制,重点用于阻止攻击者 进入数据中心网络或者云虚拟网络后进行的横向移动。

最低0.47元/天 解锁文章
securitypaper
关注
详解容器云平台安全隔离方案
weixin_70923796的博客
08-19 185
此外,稳定不变的 IP 地址是防火墙访问控制持续生效的“锚点”,而在云原生环境中,容器 IP 的频繁无规律变化则彻底动摇了传统架构中这一确定因素,一旦容器开始新的生命周期,新的 IP 将直接逃逸原有静态策略的有效管控。安全策略的发布应能够被谨慎审查,并提供快速的回滚选项等。换言之,在多数用户的数据中心内,物理机实例、虚拟机实例、容器将长期并存,作为承载不同应用的工作负载,它们之间依然会产生密切的横向连接,需被统一纳入隔离的管控范围,而 Network Policy 显然仅适用于容器平台内部的隔离控制。
云原生隔离
key_3_feng的博客
05-24 506
云原生架构中,尤其是云原生网络安全的建设和规划中,以零信任的架构和思路实现云原生网络隔离和访问控制是必要的。 什么是隔离 隔离就是一种更细粒度的网络隔离技术,其核心能力的诉求也是聚焦在东西向流量,对传统环境、虚拟化环境、混合云环境、容器环境等东西向流量进行隔离和控制,重点在于阻止当黑客进入数据中心网络或者云虚拟网络后进行的横向移动。 隔离有别于传统的基于边界的防火墙隔离技术微隔离技术通常是采用一种软件定义的方式,其策略控制中心与策略执行单元是分离的,而且通常具备分布式和自适应等特点。策略控制中
云原生网络隔离
武天旭的博客
04-10 1776
Cilium是一种开源的云原生网络实现方案,与其他网络方案不同的是,Cilium着重强调了其在网络安全上的优势,可以透明地对Kubernetes等容器管理平台上的应用程序服务之间的网络连接进行安全防护。Cilium在设计和实现上基于Linux的一种新的内核技术eBPF,可以在Linux内部动态插入强大的安全和可见的网络控制逻辑,相应的安全策略可以在不修改应用程序代码或容器配置的情况下进行应用和更新。
隔离MSG
polarday的博客
06-11 7272
参考文章:用"隔离"实现零信任 参考视频:不仅是防火墙!用隔离实现零信任隔离(Micro Segmentation),隔离是一种网络安全技术,其核心的能力要求是聚焦在东西向流量的隔离上,它使安全架构师能够在逻辑上将数据中心划分为不同的安全段,一直到各个工作负载级别,然后为每个独特的段定义安全控制和所提供的服务。 多采用软件方式,而不是安装多个物理防火墙,隔离可以在数据中心深处部署灵活的安全策略。有别于传统防火墙单点边界上的隔离(控制平台和隔离策略执行单元都是耦合在一台设备系统中),隔离系统的控制
云原生容器网络隔离强化设计方案:Calico网络策略与命名空间级分段隔离控制(775页).pdf
02-04
【引言:云原生时代容器网络隔离的挑战与机遇、云原生网络隔离基础:从网络模型到安全边界、容器网络隔离技术全景:主流方案对比与选型考量、Calico核心原理深度剖析:从BGP路由到策略引擎、命名空间分段:...
访谈︱这家安全初创公司专注自适应微隔离技术
weixin_33958585的博客
11-15 565
云计算技术正在颠覆整个社会的IT基础架构,新的威胁,新的环境,新的基础技术将共同重新塑造网络安全体系,而网络安全产业也一定将会围绕着云计算发生巨大变革。 自适应与隔离,均为近年来新兴的网络安全技术,国内专注这两个领域的安全公司非常少。就在最近,安全牛获悉一家刚刚成立的安全公司——蔷薇灵动,被IDC选入其安全创新者报告,而其被选入的原因,正是由于其专注于...
什么是微隔离技术
a38417的博客
03-09 2714
隔离可以在数据中心深处部署灵活的安全策略。指数据中心内部服务器彼此相互访问所造成的内部流量,在云计算数据中心中,处于相同网络(子网)内用户业务虚拟机(容器)之间的流量,以及相同虚拟路由器不同网络(子网)内用户业务虚拟机(容器)间的流量,据统计,当代数据中心 75%以上的流量为东西向流量。指通过网关进出数据中心的流量,在云计算数据中心,处于用户业务虚拟机(容器)跟外部网络之间的流量,一般来说防火墙等安全设备部署在数据中心的出口处,来做南北向流量的安全防护。隔离的四种技术路线隔离的四种技术路线。
云原生安全防护:零信任网络隔离实践
2501_92431125的博客
06-14 800
零信任与隔离的协同实践,本质是“动态信任评估”与“精细化边界控制”的技术融合。根据Ponemon Institute数据,成熟应用该体系的企业平均安全成本降低42%,同时风险响应速度提升5倍。零信任即服务(ZTaaS)标准化和边缘计算环境适配。建议企业参考NIST CSF框架,建立包含策略管理持续验证审计追溯的三维评估体系。据Forrester预测,到2027年,采用零信任隔离方案的企业将占据全球云原生市场的78%。这要求技术供应商加速“身份-网络-数据”
VMware NSX Micro-segmentation 网络分段技术原理介绍
04-22
注意是英文原版!技术达人必备!VMware NSX 软件定义网络分段核心技术介绍
微隔离技术的重要性(德迅零域)
XRY_XIAO的博客
04-02 956
微隔离技术的重要性(德迅零域)
信息安全网络物理隔离技术原理与应用.
网络安全领域___专研者.
09-24 2063
随着网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。满足内外网信息及数据交换需求,又能防止网络安全事件出现 的安全技术就应运而生了,这种技术称为“物理隔离技术” 基本原理是避免两台计算机之 间直接的信息交换以及物理上的连通,以阻断两台计算机之间的直接在线网络攻击。 隔离的目的是阻断直接网络攻击活动,避免敏感数据向外部泄露,保障不同网络安全域之间进行信息及数据交换。
什么是容器隔离 - 容器微隔离技术有哪些
bocco的博客
05-06 887
容器隔离是一种在容器化环境中实现安全隔离技术。随着云计算和容器化技术的广泛应用,容器已成为企业IT架构中的重要组成部分。然而,随着容器数量的增加,容器之间的交互和通信也变得越来越频繁和复杂,这为企业带来了安全挑战。容器微隔离技术的出现,为解决这个问题提供了有效的手段。
深信服day4:隔离MSG
红肤色的博客
07-21 1635
基于业务设计策略,基于业务管理策略,提升策略的稳定性,安全设计与网络设计分离,网络变化不影响策略执行。1)网络策略的设计与实现相解耦2)统一的策略管理中心、统一的策略计算中心3)分布式的策略执行点4)自动化安全编排、与CMDB、安全事件管理系统及漏洞管理平台等系统对接,让隔离具备更多想象空间。
Android网络隔离框架
Y0000C的博客
11-16 413
一、背景 在日常开发过程中,网络请求功能是必不可少的,因此从中衍生出了一系列网络加载库,如URLConnection,Volley,OkHttp,Retrofit等。而在项目的开发过程中,随着需求的改变,我们使用的网络加载库也可能会随着改变(替换网络加载库)。因此,本章介绍的是如何设计一种网络隔离的框架,当出现网络加载库替换的情况时,尽可能小的改动源代码(即符合开闭原则,扩展是开放的,修改是封闭...
为什么说“微隔离技术“ 那么重要,德迅零域给您答案
dexunjiaqiang的博客
04-06 941
领先的隔离产品,能够做在十万点级别的数据中心内做到容器间流量的识别与访问控制,甚至能做到基于进程的访问控制,这个细粒度正是零信任所要求的。可部署在混合数据中心架构中,实现跨平台的统一安全管理,通过自主学习分析、可视化展示业务访问关系,实现细粒度、自适应的安全策略管理。在云计算、虚拟技术的广泛应用之下,现代企业内部网络庞大且复杂,想要实施东西向控制会遇到许多挑战,只有解决好这些痛点问题,才能使它成为解决安全问题的一把利刃。——聚合、统计网络连接,进行可视化呈现,根据业务流量生成网络策略,并分析策略的覆盖。
为什么要进行隔离
dexun123的博客
08-22 966
在当今数字化时代,随着云计算、大数据、物联网等技术的飞速发展,企业网络环境日益复杂,传统的网络边界防护策略面临着前所未有的挑战。传统的防火墙、入侵检测系统等安全设备虽然在一定程度上能够抵御外部威胁,但在内部网络安全防护上显得力不从心。因此,隔离(Micro-Segmentation)作为一种新兴的安全防护理念,正逐渐成为企业网络安全的重要组成部分。本文将从以下几个方面阐述为什么要进行隔离
初探下一代网络隔离与访问控制
美团技术团队
01-26 5776
概述 安全隔离是企业安全里最常见而且最基础的话题之一,目前主要的实现方式是网络隔离(特别重要的也会在物理上实现隔离)。对于很小的公司而言,云上开个VPC就实现了办公网和生产网的基础隔离,但对于有自建的IDC、网络基础设施甚至自己构建云基础设施的大型公司而言,网络隔离是一项基础而复杂的安全建设。基础在这里的意思并非没有技术含量,而是强调其在安全体系里处于一个根基的位置,根基做不好,...
如何使用ZTNA+隔离实现基于云原生架构的服务的零信任落地
最新发布
11-09
云原生架构的服务中使用ZTNA(零信任网络访问)和微隔离技术实现零信任落地,可采取以下方法: #### ZTNA 的应用 ZTNA 可通过提供细粒度的访问控制,确保只有经过授权的用户和设备能够访问服务。利用策略即代码(Policy - as - Code)技术,将身份验证、隔离和加密通道的配置效率提升。如软 Azure Arc 平台采用该技术后,身份验证等配置效率提升 300%,采用该技术的企业平均安全事件响应时间从 72 小时缩短至 4.8 小时。可以基于用户身份、设备状态、访问时间等多因素来动态授予访问权限。例如: ```python # 简单示例,模拟根据用户身份和设备状态判断是否授予访问权限 user_identity = "user123" device_status = "healthy" access_time = "2024-10-10 10:00:00" def check_access(user, device, time): # 这里可以添加更复杂的规则 if device == "healthy": return True return False if check_access(user_identity, device_status, access_time): print("Access granted") else: print("Access denied") ``` #### 微隔离技术的应用 在云原生架构中,微隔离技术可以将服务之间的通信进行隔离和控制。通过 eBPF 隔离(策略生效 <10ms),可以实现服务之间流量的细粒度控制。例如,限制只有特定的服务之间可以进行通信,防止一个服务被攻破后扩散到其他服务。可以定义隔离策略,如下: ```yaml # 示例隔离策略,定义 serviceA 只能与 serviceB 通信 apiVersion: security.example.com/v1 kind: MicroSegmentationPolicy metadata: name: serviceA - serviceB - policy spec: source: service: serviceA destination: service: serviceB action: allow ``` #### 结合两者构建零信任架构 将 ZTNA 和微隔离技术有机结合,构建具备自愈能力的安全体系。ZTNA 负责对外部访问进行严格的身份验证和授权,隔离负责对内部服务之间的通信进行保护。同时,结合自动化运维(基础设施即代码),实现安全策略的自动部署和更新。例如,当有新的服务上线时,自动为其分配相应的访问策略和隔离规则。 #### 持续验证和审计 零信任架构强调“永不信任,持续验证”。需要对用户和设备的访问行为进行持续监控和验证,一旦发现异常行为,立即撤销访问权限。同时,建立完善的审计机制,记录所有的访问行为和安全事件,以便后续进行安全分析和合规性检查。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值