-
經典乾貨:容器雲平台安全隔離方案詳解
原创 twt社区 【導讀】雲端原生技術在創造效益的同時,也面臨切實存在日益嚴峻的安全風險。 基於防火牆進行域間控制已顯得與雲端原生環境格格不入,無法真正滿足容器平台的隔離需求。 本文對現有容器雲平台隔離方案:基於 Network Policy 的容器隔離、主機代理形態的工作負載微隔離進行了分析,並提出理想的容器雲平台安全隔離解決方案應滿足的幾個條件。 希望能為準備和正在進行容器雲端平台安全設計的同行提供參考。 【作者】高鶴,嘉興銀行資訊安全中心負責人 一、雲端原生的技術背景 目前,數位化變革已逐漸滲透到每個具體產業,彈性算力已成為各行各業的“水電煤”,雲端運算則成為數位化世界的基石,從底層驅動產業變革。 隨著雲端運算發展進入成熟階段,以「生在雲端、長在雲端」為核心理念的雲端原生技術被視為雲端運算未來十年的重要發展方向。 在數位化大潮中,上雲並非是一種時尚,而是一種剛需,從“上雲”到“全面上雲”,從“雲化”到“雲原生化”,是企業數位化轉型的必由之路。 相較傳統 IT 架構,雲端原生具有無法比擬的優勢,將為企業帶來降低成本、提升效率、快速試誤、促進創新等業務增益價值。 雲端原生的技術理念始於 Netflix 等廠商自 2009 年起在公有雲上的開發與部署實務。 2015年雲端原生運算基金會(CNCF)成立,標誌著雲端原生從技術概念轉化為開源實作。 雲端原生的代表技術包括容器、服務網格、微服務、不可變基礎架構和聲明式 API。 這些技術能夠建構容錯性好、易於管理且便於觀察的鬆散耦合系統。 結合可靠的自動化手段,雲端原生技術使工程師能夠輕鬆地對系統進行頻繁且可預測的重大變更。 雲端原生的運用使本身複雜多變的企業業務可敏捷靈活、及時回應、快速迭代,從而讓數位轉型和營運過程中的持續創新成為可能。 目前業界較為認可的構成雲端原生的四大核心技術要素是微服務、DevOps、持續交付和容器化。 二、雲端原生環境的網路隔離訴求 原生技術能夠有效解決傳統雲端實務中應用升級緩慢、架構臃腫、無法快速迭代等「痛點」問題,並為業務創新提供動力。 然而,雲端原生技術在創造效益的同時,也面臨著切實存在日益嚴峻的安全風險。 例如,2018年特斯拉AWS上部署的K8S Dashboard暴露在公網,沒有做認證和授權控制,也沒有對網絡訪問做控制,黑客直接從dashboard中獲取S3憑證,從而獲取遙測數據,惡意拉取 POD,進行挖礦行為。 而「隔離」技術是最早、最基礎、也始終是最為核心的安全技術手段之一。 Gartner 提出的容器安全控制分層理論,將容器安全能力按照優先順序由高至低分為基礎控制(Foundational Controls)、基本控制(Basic Controls)和基於風險的控制(Risk-Based Controls),其中網絡 隔離(L3 Network Segmentation)被劃分為必備的基礎控制能力。 CNCF 於 2021 年發布的《雲端原生安全白皮書》指出,作為微服務部署的容器化應用程式的邊界就是微服務本身。 因此,有必要設定策略,只允許在獲得許可的微服務間進行通訊。 在微服務架構中引入零信任,可以在一個微服務被攻陷時阻止其橫向移動,從而縮小影響範圍。 維運人員應確保他們正在使用網路策略等功能,確保一個容器部署內的東西向網路通訊僅限於授權網路。 三、傳統防火牆在雲端原生中的捉襟見肘 基於所承載業務的屬性和安全級別,傳統資料中心往往將其內部劃分為多個安全域並進行客製化的安全管理,在安全域間通常會部署防火牆系統以實現存取控制。 在雲端平台建置初期,此類架構被相當一部分使用者繼續採用,並利用防火牆實施域間的存取控制策略,一些管理程度較高的使用者則基於存取來源和目的IP 進行了細粒度的策略規則設定…
-
勁爆! OpenAI CEO Altman 結婚了。 。 。 和程式設計師 Ollie(男)
原创 小云 云头条 OpenAI 執行長 Sam Altman 與基友 Oliver Mulherin 最近在夏威夷舉行了一場由其兄弟 Jack Altman 主持的私人婚禮,在全球科技界的熱烈祝福下,這對新人表達了準備組建大家庭的雄心。 全球領先的 AI 研究實驗室 OpenAI 執行長、Y Combinator 前總裁 Sam Altman 在夏威夷與男友 Oliver Mulherin 舉行了一場低調的婚禮。 婚禮於2024 年1 月10 日舉行,是一場僅限小圈子的活動,並未對外公開,全程又不失優雅的氛圍,一小群親朋好友出席,舉辦地是在Altman 島上住所的附近 。 Oliver Mulherin 被朋友和新郎暱稱為 Ollie。 他基本上一直遠離公眾的視線,更喜歡低調的生活方式。 外界形容他與 Altman 的關係紮根於深厚的友誼,一路走來互相扶持,共渡難關。 在婚禮當天,Altman 和 Ollie 都穿著隨意搭配的服裝,穿著白色襯衫、淺米色褲子和白色運動鞋,象徵著純潔的戀情。 Oliver Mulherin 是軟體工程師。 Altman 的兄弟 Jack Altman 主持了婚禮,更是增添了家庭氣氛。 Jack 本人在創業界是個耳熟能詳的人物,他是…
-
大型資料中心雲端平台網路知識與實踐
叶一力 twt企业IT社区 【導讀】本文介紹了雲端運算中網路的一些重要知識和原理,以及結合實際業務分享產業雲的一些架構設計。 【作者】一力搜索,某銀行分散式資料庫架構師,重點負責行內分散式資料庫領域及私有雲。 最簡單的總結 SDN主流選擇了OverLay。 虛擬集群的規模(非實體機所能比擬) 使得Vxlan的組播傳播( 虛擬機構成的集群包含的MAC 地址數量往往多一兩個數量級MAC地址表)對網絡設備性能要求巨大(你不可能每 個交換器都買核心交換器一樣的配置吧)。 Overlay透過隧道技術(VxLAN或GRE)和控制平面可以減少叢集中MAC位址表和ARP請求( H3C VXLAN解決方案基於SDN架構,透過引入全網的SDN Controller來實現VXLAN的管理和維護,使得VTEP之間 的資訊可以透過Controller來進行反射。這樣,VTEP的MAC位址表映射關係不再透過組播向全網其他VTEP傳達,而是統一上報給控制器,由控制器統一下發給需要接受此訊息的 其他VTEP,由具體的VTEP執行轉發機), VxLan中Vlan內部只走2層網關,只有VxLan之間(不同租戶,雲端主機和裸金屬之間)才需要走3層網關。 進而有效降低二層核心網路設備壓力。 常見網路術語 普通的VLAN數量只有4096個,無法滿足大規模雲端運算IDC的需求,而IDC為何需求那麼多VLAN呢,因為目前大部分IDC內部結構主要分為兩種L2,L3。 L2( 二層網關 ) :位於同一網段的終端用戶通信,L2網關收到用戶報文後,根據報文中包含的目的MAC類型 進行轉發。 L2網關主要解決的就是同一VNI下的VM之間的互訪 。 L3(三層閘道):用於非同一網段的終端用戶通訊或VXLAN和非VXLAN用戶間的通訊。 L3閘道解決的是不同VNI(VXLAN Network Identifier)以及VXLAN和非VXLAN之間的互訪 VTEP(VXLAN Tunnel Endpoints,VXLAN隧道端點) 為VXLAN隧道的端點,封裝在NVE中,用於VXLAN封包的封裝和解封裝。 VTEP與實體網路相連,分配的位址為實體網路IP位址。 VXLAN封包中來源IP位址為本節點的VTEP位址,VXLAN封包中目的IP位址為對端節點的VTEP位址,一對VTEP位址就對應一個VXLAN隧道。 L2架構裡面,所有的伺服器都在一個大的區域網路裡面,TOR透明L2,不同交換器上的伺服器互通靠MAC位址,通訊隔離和廣播隔離靠的vlan,網關在內網核心上。 而L3結構是從TOR層級就開始用協定進行互聯,網關在TOR上,不同交換器之間的互通靠IP位址。 ToR(Top of Rack):存取方式就是在伺服器機櫃的最上方安裝接入交換器。 EoR(End of Row):接取交換器集中安裝在一列機櫃端部的機櫃內,透過水平纜線以永久連結方式連接設備櫃內的主機/伺服器/小型機設備。 EoR 對設備機櫃需要敷設大量的水平纜線連接到交換器。 對比: EOR佈線方式的缺點:從伺服器機櫃到網路機櫃的銅纜多(約有20-40根銅纜),且距離網路機櫃越遠的伺服器機櫃的銅纜,在機房中的佈線距離越長,由 此導致線纜管理維護工作量大、靈活性差。 TOR佈線的缺點:每個伺服器機櫃受電源輸出功率限制,可部署的伺服器數量有限,由此導致機櫃內交換器的存取連接埠使用率不足。 在幾個伺服器機櫃間共用1-2台接取交換機,可解決交換器連接埠使用率不足的問題,但這種方式增加了線纜管理工作量。 從網路設計考慮,TOR佈線方式的每台接入交換機上的VLAN量不會很多,在網路規劃的時候也要盡量避免使一個VLAN通過匯聚交換機跨多台接入交換機,因此採用TOR佈線方式的 在網路拓撲中,每個VLAN的範圍不會太大,包含的連接埠數量也不會太多。…