在一场讨论实战攻防的网络安全会议上,安全419发现如今越来越多的甲方企业对于“合规框架只是安全起点”有了更明确的认知,对于新技术上的采用,引入零信任技术正成为当下和未来的重要工作之一。在另外一场会议上,有甲方企业分享指出,实现零信任技术落地,重点需要解决的是如何将零信任融入到当前的整体安全架构当中,以至于没有企业敢一步到位,但阶段性部署案例已十分常见。
“零信任正在展现新价值,成为企业参与数字化竞争的核心能力之一。”“零信任已步入落地时代。”有零信任实践厂商也告诉安全419,随着零信任技术成熟度的进步,如系统化的解决了框架性的融合问题,同时作为新型安全基础设施,其技术用例也越来越完善,且能够以场景化的分阶段加以实践部署,将完全打消客户对于业务影响上的担忧。
总结而言,零信任已经成为企业强有力的安全运营新范式,大多数甲方用户正从早期的技术关注,到技术了解,已经开始大范围尝试落地零信任。鉴于不同甲方用户存在不同的应用场景,安全419也从各家零信任厂商处征集了一些具有代表性的零信任实践案例,仅供实践需求企业借鉴参考。
微隔离技术在超大规模云原生混合环境下的应用实践
需求企业:信息服务领域某大型专业企业
承建企业:北京蔷薇灵动科技有限公司
(1)、案例概述:
蔷薇灵动向我们分享的是零信息微隔离技术在信息服务领域某大型专业企业下的落地实践案例,在数字化及信息化建设推动下,信息服务领域某企业依托先进云计算、云原生技术构建了新一代大规模混合架构云平台,用于支撑全新的信息生态系统建设。随着大量业务迁移上云,云平台安全风险逐渐成为企业业务运营的全新挑战。其中归纳总结主要有以下三点体现:
首先,基于两地三中心网络架构,该企业当前云平台运行业务系统已超过200个。由于内部互访关系盘根错节,资产关系难以梳理,给内部隔离管控造成了极大阻碍。而在过往攻防演练中,也多次因基础隔离问题丢分。
其次,作为以信息服务为主营业务的企业,随着业务开放性增强,大量位于非互联网区的业务需直接对外提供服务,而这些业务在内网可直达其他核心资产,导致安全隐患进一步加剧。
最后,在云平台持续建设中,伴随容器大量投产,逐渐形成多虚拟化技术应用的混合架构。容器环境弹性敏捷性进一步增强,传统虚拟化环境下的管控手段,无法简单复制使用,由于缺乏有效统管手段,导致内部流量管控实际处于割裂状态,极易造成管控盲区,引发安全风险。同时,多种运维手段的方式,也给安全运维管理带来诸多困难。
基于业务安全防护及运维管理刚需,该企业亟需有效技术手段增强内部隔离访控,同时提升安全运维能力,此时,近年来越加成熟的零信任的基础构件微隔离技术进入了客户的采购视野。
(2)、整体方案:
据介绍,该机构云平台为两地三中心架构,整体需纳管资产包括80个容器集群及3000+虚拟机、物理服务器,合计10000+工作负载。我们了解到,基于企业的具体需求,方案使用了蔷薇灵动蜂巢自适应微隔离安全平台,平台架构由控制平面和数据平台两部分组成。
控制平面,即策略决策点(蜂后安全计算中心QCC),根据纳管规模采用4机集群模式部署于主数据中心。
数据平面,即策略执行点(蜂群安全管理终端BEA、蜂群安全守护容器BDC), 根据工作负载属性,将BEA批量安装于虚拟机及物理服务器,将BDC以DaemonSet形式安装于容器工作负载。并经由分布式分支节点连接两个异地数据中心,从而实现对10000+工作负载的无差别统一管理。
在隔离能力构建上,首先基于工作负载所属业务属性,对所有已纳管的工作负载进行分组及标签设定,基于标签化的策略体系搭建,并结合微隔离系统业务连接可视化能力,实现各业务系统应用级隔离;其次,针对非互联网区对外提供服务的业务及重要靶标关键业务,基于业务标签进行区分,并通过微隔离系统精细管控能力进行更细粒度控制,进一步缩减风险暴露面,有效限制前端资产访问权限,降低威胁入侵及被攻陷风险。
(3)、方案创新:
作为微隔离产品在大规模云原生混合环境下的典型应用,其方案创新性可被归纳为需充分发挥产品效用,对微隔离系统具有更强的环境兼容及性能要求。
·通过原生化部署,实现微隔离安全能力与容器云平台的内嵌融合。
当前基于主机代理agent的技术路线,因其与基础架构无关、可广泛兼容各类工作负载的特性,成为微隔离应用实施的主流技术路线。此技术路线诞生时面向的隔离对象以云平台虚拟机实例为主,虽然可支持容器环境,但Agent无法随容器的弹性扩缩容而自动部署,随着云原生技术应用的不断扩展,这种外挂式方案的弊端也更加凸显,制约了云原生敏捷、弹性特征的充分释放。
在本方案中,其容器工作负载数量占比超过70%,故针对容器环境,特别创新采用原生化部署方式,实现安全守护容器(BDC)以DaemonSet形式运行在K8S集群各节点上,同时利用DaemonSet的伸缩特性,使得微隔离的安全能力能够内嵌融合于云平台,并随应用变化实现快速部署,按需伸缩。在微隔离能力的自动加载下,不但消除了用户容器平台的防护盲区,还对业务应用实现了安全防护左移,也为后续云平台的扩展奠定了基础。
·高性能集群分布式部署,实现微隔离在大规模环境中的稳定运行。
微隔离产品解决的是数据中心内部工作负载间的业务关系和访问控制问题,属于计算密集型产品,伴随纳管规模增加其计算复杂度将指数级增长,故在大规模环境下实施微隔离,对产品各方面性能挑战极大。
为应对该企业过万点的超大纳管规模,微隔离系统在部署时进行了针对性设计,一方面将微隔离计算中心升级至4机集群模式,为高性能算法提供充足算力保障,另一方面针对异地数据中心部署集群的分支节点,为本地纳管工作负载提供汇聚接入服务,通过分支节点与微隔离计算中心的管理互联,实现对两地三中心统一管理。基于微隔离系统高性能算法及灵活的部署配置,在充分支撑当前纳管规模的同时,也为用户后续平台扩展提供保障。
(4)、解决困难
在具体实践过程中,我们也了解到了一些需要解决的困难,最主要的是作为创新安全技术,与传统面向IP的静态策略设置方式不同,微隔离基于业务属性进行策略设置及运维,其项目部署落地相对较为复杂。
蔷薇灵动分享指出,仅以“打标签”为例,针对所纳管工作负载基于业务属性进行标签梳理是微隔离其他功能实现的前提。工作负载标签一般由位置、环境、应用、角色等多维标签组合而成。对多数用户而言,受IT管理水平、组织架构及业务需求等因素影响,在业务资产梳理环节,会遇到各种问题,往往需要结合用户状况及隔离管控的核心需求,进行针对性方案设计及指导。
在该企业技术落地实施中,用户业务系统众多,规模庞大,资源管理水平参差不齐,给资产标签的梳理工作带来极大阻力。蔷薇灵动的做法是与用户项目实施运维团队多轮交流,进一步明确了问题现状,通过建立完整的“标签运维体系”为用户梳理、完善资产信息及后期进行策略运维提供了有效指引,同时结合用户资产现状输出“标签设置指南”,使其针对不同类型的工作负载及问题均可找到对应的操作指引。
最终我们看到的是,在双方紧密配合下,通过分区域、分系统逐级细化的方式,针对纳管工作负载标定业务标签的工作得以顺利开展,极大推动了微隔离系统的上线运行。
(5)、客户收益
·多地混合异构环境统管:基于微隔离系统软件定义架构,在一个控制平面实现跨中心、跨地域、跨集群的全局统一管控,不仅避免了安全死角,同时还实现了运维效率的大幅提升;
·全局资产与业务访问梳理:基于微隔离系统多维成熟的策略标签体系,使得用户可结合其网络管理逻辑,并结合业务属性实现明晰的网络及业务分区,达成预期网络隔离效果;
·缩减东西向流量暴露面:基于微隔离系统可精细至工作负载的访问控制能力,对重点及靶标业务进行细粒度管控,实现了暴露面的大幅缩减,极大规避了“单点突破、整网暴露”的风险。
总结这一具有代表性的案例,其价值点就是在于当云计算发展进入了云原生时代,其中新技术的应用使企业技术架构发生变化的同时,也带来了全新挑战。Gartner在其提出的云原生应用保护平台(CNAPP)中将微隔离纳入基础必备能力,而在安全能力构建中,如何突破技术瓶颈,充分适应云原生更加敏态的业务变化则成为多数企业普遍面临的课题。
以上案例企业微隔离项目实施中,我们看到的是国内安全厂商创新技术升级极大优化了微隔离能力在云原生环境下的应用效果,有力推进了微隔离技术在大规模云原生混合环境中的成功落地。基于业务视角的域内边界重建,不仅有力促进了案例当中企业数据中心整体防护能力的提升,其创新技术应用也为正在进行云原生安全建设的更多企业具有良好借鉴作用。
关于蔷薇灵动
“北京蔷薇灵动科技有限公司(简称“蔷薇灵动”)成立于2017年,主要专注于网络安全领域微隔离技术的前沿探索与研究,凭借专业的产品与服务为数据中心用户提供东西向(内部)流量解决方案,是国内零信任微隔离技术领域长期主义者。
微隔离作为解决网络内部东西向流量管理问题的创新安全产品,其应用场景复杂、开发难度大。蔷薇灵动旗下产品——蔷薇灵动蜂巢自适应微隔离安全平台经过长期探索打磨,在大规模工作负载统一纳管、跨域异构混合环境集中部署等方面凸显出了强大竞争力。截至目前,其产品和解决方案已成功运用政府、金融、大型企业、军工、能源、运营商等多个领域。”
京公网安备 11010802033237号
