星環科技TDH基於Overlay網絡架構為數據安全保駕護航
近年來數據安全相關政策制度陸續推出,數據安全和隱私保護相關政策體系也在不斷完善。保證數據安全下的數據開放與服務能力已然成為當前行業發展熱點。在數據安全法正式通過後,保障數據安全合規使用成為當前企業用戶的一大需求。本篇文章將為您講述星環科技大數據基礎平台TDH是如何基於Overlay網絡架構為用戶提供全鏈路的數據安全保護能力。
業務背景
傳統的網絡安全概念建立在邊界安全的框架之上,需要找出網絡的安全邊界,並將網絡劃分為外網和內網等不同區域。但前提是網絡內部是安全可信的,一旦攻擊者突破防禦進入內網,整個網絡的安全防護就失去了功效。零信任理念的提出將公共和私人網絡的邊界消除,它認為整個網絡是不可信的,不信任任何用戶、設備終端和數據,在進入網絡訪問資源之前需要進行一定的身份認證和授權。但是,並非每個企業都擁有實施零信任網絡的能力,企業必須擁有大量的預算、人力、資源和時間來開發,構建、維護零信任網絡架構。伴隨着互聯網的高速發展,數據流量呈現爆發增長的趨勢,不同類型的數據流量也具有不同的性能要求。並且,數據流也在增加控制器的負載,在高流量負載的情況下,可能會出現丟包或顯著延遲。上述這些特性給目前網絡架構帶來效率低、可擴展性差、安全性較弱、維護困難等問題。
軟件定義網絡是一種新興的網絡架構,由應用層、控制層和基礎設施層組成。它將網絡設備的控制和數據轉發層解耦,引入了一種更靈活的方式來管理具有高度可編程性的網絡流量–Overlay網絡技術。Overlay指的是在網絡架構上疊加的虛擬化技術模式,該技術採用細粒度的軟件定義流量控制來實現網絡的安全性和可控性。通過使用Overlay技術,企業可以實現應用在網絡上的承載並充分具備大規模擴展以及負載均衡的能力,不受物理網絡設備的多種限制。比如,該技術可以做到在物理IP變更的情況下,不改變虛擬IP,不影響對IP敏感的系統等等。基於Overlay,企業可以實現容器跨主機通訊,數據傳輸等操作。然而,在Overlay網絡上實現的多租戶數據架構存在一定的安全隱患,比如共享數據服務器中的敏感數據存在暴露給惡意攻擊者或競爭對手的風險。因此,網絡安全管控至關重要。
TDH基於Overlay網絡架構全方位保護數據安全
Transwarp Data Hub(TDH)是星環科技自主研發的一站式多模型數據管理平台,採用了創新的多模型技術架構和統一的數據管理,可以構建服務於整個企業的統一數據資源庫,徹底打破不同部門間的數據隔閡,使得部門間的數據靈活調用有了技術支撐,有效降低了用戶的開發成本以及運維成本。
TCOS是星環科技推出的一款結合大數據技術與容器技術的雲原生操作系統,通過零信任技術構建安全基礎能力來實現隱私計算安全區,支撐大數據服務進行聯邦學習與可信計算時對計算安全、數據安全、網絡安全的需求。基於TCOS容器層的身份認證與權限管控機制,星環科技大數據基礎平台TDH採用kubernetes Overlay網絡技術實現了網絡層面的管控,保證了集群內部網絡和外部網絡安全可控的訪問權限控制,該模型不僅降低了用戶使用網絡進行訪問控制的難度,還提高了數據中心網絡的可用性、安全性和可靠性。為了有效扼制安全隱患以及數據泄露風險,TDH在數據生命周期的各個階段進行全鏈路敏感數據動態感知與防護,包括備份和恢復方案,數據清理方案,數據銷毀工作流程,介質的使用、轉儲、送修、銷毀及對存儲環境進行分級管理,全方位地實現數據安全管理的標準化、智能化。通過TDH統一的數據訪問接口,用戶無需再考慮底層數據庫、平台的SQL語法、存儲位置和拓撲,極大地提升產品易用性。
平台內的安全保護能力
採取存儲加密、權限控制策略,確保數據安全可控
雲計算可以根據用戶的需要提供計算能力或數據存儲等計算資源。其優勢在於租戶可以通過網絡獲取到無限的資源,且不受時間和空間的限制。因此,雲計算可以提供一種靈活的方式在多個租戶之間有效地共享數據。但是,敏感數據在公共雲中存儲和處理很容易帶來數據安全隱患,而且多租戶數據架構也存在數據暴露給商業競爭對手或惡意攻擊者的風險。為了支持雲計算環境中安全高效的數據共享,並確保數據存儲與通信的安全,TDH支持用戶在數據寫入存儲介質前將數據進行加密,從而實現數據的存儲加密,最大程度的確保數據的機密性與安全性。並且,TDH通過採用安全傳輸協議提供了一個加密的通信流,對客戶端和服務器進行加密和驗證,確保數據發送到正確的客戶端和服務器並防止數據傳輸中途被竊取或被篡改,維護了數據的完整性。
此外,為了保障集群的安全,更好的認證和授權服務成為剛需。TDH提供統一的安全控制和資源管理的中央服務組件,實現了細粒度權限控制和租戶管理功能,保障內網的安全性。通過嚴格的權限控制功能,平台對各方數據交換和運算過程進行保護,防止數據泄露和逆推。
具備可信計算能力,預防惡意軟件、網絡攻擊、配置錯誤所引發的安全隱患
用戶在使用雲平台時,常常會遇到以下風險:
惡意軟件:容器鏡像運行時可能攜帶不受信任的軟件,甚至是惡意軟件;
網絡攻擊:容器引擎本身配置不當或被操縱,可能會引入漏洞;
配置錯誤:錯誤配置的程序,沒有啟用安全特性以及與安全相關的最佳配置來配置產品的運行參數,最終導致有安全漏洞
因此,TDH平台基於可信計算能力驗證容器引擎的完整性及其運行時的配置,以確保惡意用戶無法利用容器引擎本身獲取主機權限。其對主機操作系統本身也進行了驗證,儘可能的限制惡意用戶對軟件以及不安全的配置對宿主機進行攻擊。TDH通過採用可信計算架構針對各種軟件問題提供強大的保護,防止軟硬件與數據因偶然或惡意的原因而遭受到破壞、更改、暴露。由此,用戶可以安全地存儲和操作敏感數據。
應用基於容器技術的隔離,預防容器逃逸風險
多個容器之間使用的是同一宿主機的操作系統內核,容器的隔離性很弱。缺乏與主機的隔離可能會增加被攻擊的可能性,任何惡意代碼都可能擴散到其他容器和底層操作系統。主機上存在隱患的容器也可能會危及其他容器的安全,從而危及整個系統。所以多個容器共享主機資源的多租戶容器基於雲的系統很容易受到信息泄漏等威脅。當攻擊者通過應用層面漏洞進入容器內,如果不進行徹底的隔離,一旦發生容器逃逸問題,則宿主機的數據很容易被攻擊獲取。TDH應用基於容器技術的隔離,防止產生容器逃逸等風險隱患,保護整個系統的機密性、保密性、完整性以及可用性。
提供豐富組件,全方位保護數據隱私
TDH創建了安全、可控、有跡可循的軟硬件數據訪問環境,作為安全管理的核心基礎,平衡了保密性與可用性,保障了網絡信息安全。平台還對數據隱私採取了一系列的安全手段杜絕其泄露和被濫用的風險。
例如,大數據安全管理組件Transwarp Guardian為TDH提供集中的安全和資源管理服務。它支持LDAP和Kerberos,可以保護集群免受惡意攻擊和安全威脅,而且還可以對資源做細粒度的ACL控制以實現網絡訪問控制,保障內網的安全性。在Guardian的安全保護下,所有的應用服務都可以藉助Kerberos實現數據加密,或者通過LDAP實現身份驗證,增加企業級安全性並進行統一的數據權限管控。此外,Guardian還實現了租戶級別的資源管理,其通過圖形化工具為用戶提供權限配置以及資源配置接口,全方位提供安全保護。
下圖列舉了TDH在數據生命周期各階段所採取的手段:
隨着越來越多的終端設備加入網絡,數據交互和資源訪問也越來越頻繁,網絡安全逐漸成為熱點話題。星環TDH具備基於零信任技術構建的安全基礎能力,其在kubernetes Overlay網絡上自定義安全數據訪問模型,並提供基於用戶和角色的權限訪問控制功能,增加企業級安全性並進行統一的數據權限管控。TDH配套的Transwarp Aquila、Manager、Audit、Guardian等工具組件也讓系統的安裝部署、擴容升級、安全防衛、風險告警、權限管理等工作變得更便捷,不僅能夠減小運維人員的操作難度,也能讓企業管理人員更輕鬆的管控數據訪問權限,避免各類數據安全問題。
