原创 twt社区 【導讀】雲端原生技術在創造效益的同時，也面臨切實存在日益嚴峻的安全風險。 基於防火牆進行域間控制已顯得與雲端原生環境格格不入，無法真正滿足容器平台的隔離需求。 本文對現有容器雲平台隔離方案：基於 Network Policy 的容器隔離、主機代理形態的工作負載微隔離進行了分析，並提出理想的容器雲平台安全隔離解決方案應滿足的幾個條件。 希望能為準備和正在進行容器雲端平台安全設計的同行提供參考。 【作者】高鶴，嘉興銀行資訊安全中心負責人 一、雲端原生的技術背景 目前，數位化變革已逐漸滲透到每個具體產業，彈性算力已成為各行各業的“水電煤”，雲端運算則成為數位化世界的基石，從底層驅動產業變革。 隨著雲端運算發展進入成熟階段，以「生在雲端、長在雲端」為核心理念的雲端原生技術被視為雲端運算未來十年的重要發展方向。 在數位化大潮中，上雲並非是一種時尚，而是一種剛需，從“上雲”到“全面上雲”，從“雲化”到“雲原生化”，是企業數位化轉型的必由之路。 相較傳統 IT 架構，雲端原生具有無法比擬的優勢，將為企業帶來降低成本、提升效率、快速試誤、促進創新等業務增益價值。 雲端原生的技術理念始於 Netflix 等廠商自 2009 年起在公有雲上的開發與部署實務。 2015年雲端原生運算基金會（CNCF）成立，標誌著雲端原生從技術概念轉化為開源實作。 雲端原生的代表技術包括容器、服務網格、微服務、不可變基礎架構和聲明式 API。 這些技術能夠建構容錯性好、易於管理且便於觀察的鬆散耦合系統。 結合可靠的自動化手段，雲端原生技術使工程師能夠輕鬆地對系統進行頻繁且可預測的重大變更。 雲端原生的運用使本身複雜多變的企業業務可敏捷靈活、及時回應、快速迭代，從而讓數位轉型和營運過程中的持續創新成為可能。 目前業界較為認可的構成雲端原生的四大核心技術要素是微服務、DevOps、持續交付和容器化。 二、雲端原生環境的網路隔離訴求 原生技術能夠有效解決傳統雲端實務中應用升級緩慢、架構臃腫、無法快速迭代等「痛點」問題，並為業務創新提供動力。 然而，雲端原生技術在創造效益的同時，也面臨著切實存在日益嚴峻的安全風險。 例如，2018年特斯拉AWS上部署的K8S Dashboard暴露在公網，沒有做認證和授權控制，也沒有對網絡訪問做控制，黑客直接從dashboard中獲取S3憑證，從而獲取遙測數據，惡意拉取 POD，進行挖礦行為。 而「隔離」技術是最早、最基礎、也始終是最為核心的安全技術手段之一。 Gartner 提出的容器安全控制分層理論，將容器安全能力按照優先順序由高至低分為基礎控制（Foundational Controls）、基本控制（Basic Controls）和基於風險的控制（Risk-Based Controls），其中網絡 隔離（L3 Network Segmentation）被劃分為必備的基礎控制能力。 CNCF 於 2021 年發布的《雲端原生安全白皮書》指出，作為微服務部署的容器化應用程式的邊界就是微服務本身。 因此，有必要設定策略，只允許在獲得許可的微服務間進行通訊。 在微服務架構中引入零信任，可以在一個微服務被攻陷時阻止其橫向移動，從而縮小影響範圍。 維運人員應確保他們正在使用網路策略等功能，確保一個容器部署內的東西向網路通訊僅限於授權網路。 三、傳統防火牆在雲端原生中的捉襟見肘 基於所承載業務的屬性和安全級別，傳統資料中心往往將其內部劃分為多個安全域並進行客製化的安全管理，在安全域間通常會部署防火牆系統以實現存取控制。 在雲端平台建置初期，此類架構被相當一部分使用者繼續採用，並利用防火牆實施域間的存取控制策略，一些管理程度較高的使用者則基於存取來源和目的IP 進行了細粒度的策略規則設定…