一鍵開啟雲原生網路安全新視界
隨著雲原生的興起,微服務、容器、kubernetes容器編排正在快速改變著企業軟體架構的形態,單體架構、分散式架構、微服務架構,軟體架構在持續演進的過程中,變得越來越複雜,管理和維護也越來越困難,不斷出現的安全漏洞也在持續挑戰著企業的安全運營響應能力,如何準確識別風險點,怎麼讓複雜的軟體架構變得清晰可見,不會隨著時間推移變得難以維護,成了雲原生時代軟體架構安全的重要課題之一。
傳統軟體架構場景網路安全往往是基於IP配置業務規則,不夠靈活,而且隨著業務發展,網路結構拓撲只有大框架,細節無從考究,沒有有效方案快速基於某個IP識別出相關資訊。特別是容器技術和kubernetes容器編排技術的發展,IP隨時可變,要想識別出IP的具體資訊,看到更加深層、更加人性化的網路靠傳統的技術方案就變得難以實現。
為了解決雲原生時代網路安全複雜多變的問題,可以通過識別IP身份、應用結構分析、構建高維拓撲,能夠清晰地展示真實軟體網路結構,幫助用戶更加便捷地實施網路安全運營。通過kubernetes平台一鍵安全部署,雲原生網路安全新視界盡在眼前。
在雲原生場景下,IP可分為集群內部IP和集群外部IP,集群內部IP又細分為Pod IP、Service IP、Node IP,我們通過解析kubernetes資源資訊,實時監聽資源變化,能夠準確識別出IP的詳細資訊,通過智慧篩選,可以快速找到IP相關詳細資訊。
智慧篩選識別IP身份的方式相比人工識別前進了一小步,但是距離我們的終極目標去IP化開啟網路安全新視界還有很長一段距離。京東云云原生網路安全平台通過採集所有連接資訊,再加上自動IP資訊識別,我們能夠準確地構建出更高維度的連接,準確識別出Pod之間、Service之間、Pod和Service之間。
同時還能夠解析基於helm部署的kubernetes應用結構資訊,準確識別出應用下的Service、Pod等資源資訊,再與上一步驟識別出的kubernetes資源連接資訊做進一步結合,就能夠實現應用之間連接可視化。
為了進一步提高可視化的便捷性,在連接列表的基礎上,進一步分析出了基於Pod、Service、應用之間到的拓撲結構,能夠更加清晰地展示相互之間的連接關係,幫助用戶進一步進行網路安全連接分析。
通過識別IP身份、應用結構分析、構建高維拓撲京東云云原生網路安全平台,以更加直觀地方式將kubernetes集群的網路結構清晰地展現在用戶面前,為用戶構建出網路安全的新視界。
在雲原生安全發展的道路上,可視只是第一步,未來我們將加入更多的數據分析,更加智慧化地幫助用戶識別整體的網路安全狀態,實時告警,預案執行等,進一步減少用戶安全管理的複雜度。
京東雲原生網路平台支援基於helm部署,在集群下通過一鍵安裝部署,簡單清晰的網路安全新視界就能展現在眼前。
作者:李卓嘉
