一鍵開啟雲原生網絡安全新視界
隨着雲原生的興起,微服務、容器、kubernetes容器編排正在快速改變着企業軟件架構的形態,單體架構、分佈式架構、微服務架構,軟件架構在持續演進的過程中,變得越來越複雜,管理和維護也越來越困難,不斷出現的安全漏洞也在持續挑戰着企業的安全運營響應能力,如何準確識別風險點,怎麼讓複雜的軟件架構變得清晰可見,不會隨着時間推移變得難以維護,成了雲原生時代軟件架構安全的重要課題之一。
傳統軟件架構場景網絡安全往往是基於IP配置業務規則,不夠靈活,而且隨着業務發展,網絡結構拓撲只有大框架,細節無從考究,沒有有效方案快速基於某個IP識別出相關信息。特別是容器技術和kubernetes容器編排技術的發展,IP隨時可變,要想識別出IP的具體信息,看到更加深層、更加人性化的網絡靠傳統的技術方案就變得難以實現。
為了解決雲原生時代網絡安全複雜多變的問題,可以通過識別IP身份、應用結構分析、構建高維拓撲,能夠清晰地展示真實軟件網絡結構,幫助用戶更加便捷地實施網絡安全運營。通過kubernetes平台一鍵安全部署,雲原生網絡安全新視界盡在眼前。
在雲原生場景下,IP可分為集群內部IP和集群外部IP,集群內部IP又細分為Pod IP、Service IP、Node IP,我們通過解析kubernetes資源信息,實時監聽資源變化,能夠準確識別出IP的詳細信息,通過智能篩選,可以快速找到IP相關詳細信息。
智能篩選識別IP身份的方式相比人工識別前進了一小步,但是距離我們的終極目標去IP化開啟網絡安全新視界還有很長一段距離。京東云云原生網絡安全平台通過採集所有連接信息,再加上自動IP信息識別,我們能夠準確地構建出更高維度的連接,準確識別出Pod之間、Service之間、Pod和Service之間。
同時還能夠解析基於helm部署的kubernetes應用結構信息,準確識別出應用下的Service、Pod等資源信息,再與上一步驟識別出的kubernetes資源連接信息做進一步結合,就能夠實現應用之間連接可視化。
為了進一步提高可視化的便捷性,在連接列表的基礎上,進一步分析出了基於Pod、Service、應用之間到的拓撲結構,能夠更加清晰地展示相互之間的連接關係,幫助用戶進一步進行網絡安全連接分析。
通過識別IP身份、應用結構分析、構建高維拓撲京東云云原生網絡安全平台,以更加直觀地方式將kubernetes集群的網絡結構清晰地展現在用戶面前,為用戶構建出網絡安全的新視界。
在雲原生安全發展的道路上,可視只是第一步,未來我們將加入更多的數據分析,更加智能化地幫助用戶識別整體的網絡安全狀態,實時告警,預案執行等,進一步減少用戶安全管理的複雜度。
京東雲原生網絡平台支持基於helm部署,在集群下通過一鍵安裝部署,簡單清晰的網絡安全新視界就能展現在眼前。
作者:李卓嘉
