如何構建云原生環境下的流量管理

周兵峰

不斷創新的技術帶來了一系列好處，例如自動化、敏捷性和效率，提高了公司的生產率，但是，隨著新技術的到來，漏洞和安全威脅也隨之而來。集裝箱化就是這種情況，盡管容器化已經存在了數十年，但近年來云計算的革命性發展才真正推動了容器化的普及。盡管具有很多優點，但是容器化也還是有一些漏洞，容器普遍壽命較短，迫切需要加強對容器環境安全性和合規性問題的研究與投入。

云隙是安全狗打造的自適應微隔離系統，基于CWPP有3種技術路線：基礎設施隔離、虛擬化層隔離以及工作節點主機代理模式（Agent）隔離。主要采用通過在公有云、私有云和混合云模式下的工作負載安裝Agent，采集工作負載之間的網絡流量，以可視化展示網絡訪問關系，實現根據業務需求設置訪問控制策略，工作負載支持主機服務器、虛擬主機和容器等節點模式。

在云隙新版本中，可通過Agent將容器成功接入管理中心，采用微隔離技術和NetworkPolicy機制，不僅能夠識別容器網絡，繪制容器之間、宿主機與容器間的業務拓撲，還可以進行安全策略配置，實現容器網絡的微隔離，保證網絡安全和業務優化。

容器網絡流量采集

采用鏈接跟蹤（conntrack）技術方案采集容器間的網絡流量，基于Netfilter實現的conntrack機制以及procfs提供的進程信息分析。conntrack本身并不會對包進行過濾，而是提供一種基于狀態和關系的過濾依據，只關注網絡流量的基礎數據。同時使用procfs提供的進程信息將進程和網絡做連接，從而達到所需的監控要求。

通過對進程下網絡信息的分析，結合conntrack捕獲到的鏈接數據，就可以將主機下的網絡拓撲還原出來，而容器的本質也是宿主機上的一個進程，最終主機棧的網絡拓撲和容器棧的網絡拓撲都可以被分析出來。

容器網絡流量可視化

通過采集容器資產信息，對容器資產進行分析，并基于全局標簽管理，為容器貼標簽，將容器標簽化，形成一組容器唯一的安全屬性，根據業務組標簽自動進行分組。針對容器業務構成及業務依賴關系進行分析，展示業務依賴路徑，完整顯示容器間的訪問關系，采用AntV G6方式進行訪問關系渲染與顯示，繪制出容器業務拓撲，實現容器網絡流量的可視化。

標簽化+自動化安全策略管控

通過去IP化、標簽化，實現多維度規則配置，達到集中性的管理策略，分散性的控制流量。與底層IP、端口等網絡元素解耦，當容器環境發生更新時，動態更新關聯容器的規則，自動適應容器環境。

采用流量學習自動化的思維，通過數據獲取與處理、策略規則配置、策略規則驗證及策略下發生效等流程，可基于訪問關系快速、有針對性地自動批量生成容器安全策略規則。

網絡微隔離助力風險閉環處置

通過全面地對容器端口調用進行監控，記錄容器互訪關系，針對端口調用關系，進行策略規則配置，實現按需開放。通過細粒度的訪問控制策略逐步細化、收緊工作負載的攻擊暴露面，防止攻擊者利用跳板竊取有價值的數據資產，防止病毒在內部網絡中傳播。

越來越多的企業采用容器化部署以此支持自身業務快速布局，但容器內東西向流量的不可見導致異常訪問不可視，進而導致黑客入侵、提權、劫持數據等損害企業利益的行為發生。安全狗云隙的全局可視化管理、實時流量檢測、實時業務拓撲、自動化策略配置等功能可為用戶提供安全防護。

基于標簽化的資產管理及可視化連接分析能力，數據中心內部容器資產屬性及業務間的互訪關系得以理清。為安全運營人員提供全局可視，及時阻斷異常入侵攻擊行為，有效緩解安全專業水平低等資源問題。

全面監控容器的端口調用關系，進行策略管控，基于流量訪問關系與策略匹配情況，快速發現異常訪問行為，快速定位業務系統上的異常流量，有效維護業務系統的穩定運行。

實時業務拓撲能夠了解攻擊者可使用的所有攻擊向量和開放路徑，防止攻擊者利用跳板竊取有價值的數據，數據中心內部防御能力得到顯著提升。有效防止數據被劫持、泄露進而勒索等事件發生。

高度自動化和可編排的策略配置能力，在容器發生遷移、IP變化和彈性拓展等場景時，安全策略能夠自動適應調整，減少人工參與，消除了手動配置發生錯誤的風險。有效賦能云原生容器化快速部署，讓業務拓展和安全實現雙贏。

面對難以修復漏洞的老舊系統、內部病毒橫向傳播、大型攻防演練等多種場景，安全狗云隙也能開展有效的監測，及時阻斷異常流量與病毒，確保內部業務系統、數據正常運作。