c114通信网多维度容器安全 护航5G云原生( 二 )
本文插图
图2:Knitter架构图
网络流量可视化
中兴通讯容器安全方案利用自研的DexMesh组件 , 实现对网络的监控、动态服务发现、流量管理(路由规则、故障注入、负载均衡、断路) , 并支持应用灰度发布、应用监控、度量和调用跟踪 。
通过集中管理模块统一下发网络管理策略,并对每个POD内的策略管理 , 实现基于服务的网络流量控制、超时策略、重试策略 , 断路器功能等 。
本文插图
图3:DexMesh架构
通过DexMesh组件实现对网络流量管理 , 使得网络管理不受容器应用IP变化、上下线和弹缩影响 。 上层流量管理模块可直接观察服务和对应流量状态 , 网络策略的实现直接基于应用标签 , 更适用于容器化平台的网络安全管理 。 该架构还可以集成第三方网络安全组件 , 实现集群的纵深防御 。
数据安全
中兴通讯容器安全方案采用存储动态provision方案, 为容器应用提供PVC服务 , 可以实现容器应用的移植便利性 , 也使得容器应用无法直接获取具体的存储卷信息 , 减少信息泄露风险 。
外挂存储的保密性和完整性保护特性有助于数据安全保护 , 容器化应用可采用Secret对象存储自己使用的密钥等敏感数据 , 并通过环境变量挂载方式实现特定驱动器的加密, 减小敏感信息的泄露几率 。
本文插图
图4:存储架构
基于CIS Benchmark 的容器配置构建方案, 实现全系统产品的统一合规基线 。 管理员可设定差异化的安全策略 , 实现主机、镜像和运行态容器、Kubernetes的安全状态检查 。
主机安全
主机安全主要是对操作系统进行安全加固 , 裁剪操作系统的非必要组件 , 关闭不使用服务端口;开启系统防火墙;使用最新安全协议 , 启动安全审计服务;提供漏洞和补丁管理 , 设置安全补丁或安全配置基线修补策略 , 实现自动化管理 。
访问安全
在SDN/NFV场景下 , 基于Oauth2.0授权机制 , 可实现NFV架构下各平台之间、API接口及应用间的双向认证鉴权 , 并利用基于Openstack的keystone组件实现资源级授权; l安全运维
中兴通讯容器安全方案集成了Prometheus、Elasticsearch、Heapster、Filebeat等开源组件 , 对平台组件、容器、k8s 原生对象的日志、事件、告警、资产进行全面监控;可实时监控容器内入侵事件 , 对容器内的反弹、提权行为进行监控 , 及时发现异常入侵的痕迹;对于发现容器入侵事件、网络安全问题的容器 , 及时对受感染容器进行隔离甚至停止运行并告警 。
总结与展望
基于对多个容器化应用安全威胁的深度分析 , 中兴通讯利用纵深化防御理念 , 通过资源隔离、镜像安全和安全监控等多种手段 , 有效保障容器安全部署和运维 。
中兴通讯愿与业界一起推动网络及信息安全 , 尤其针对电信边缘计算应用 , 提升电信网的安全服务能力 , 构建和谐的电信网安全生态圈 。
推荐阅读
- C114通信网|与盟国共投资?扶植华为对手?英国于7月底前再次做出华为5G决定
- C114通信网|传投资总额达65亿美元,三星在韩扩大第六代V-NAND闪存芯片产能
- c114通信网|河北联通携手华为完成河北首个A+P商用整站覆盖
- C114通信网|参与中国5G建设!爱立信斩获91个5G合同,已包括中国三大运营商
- c114通信网|手机界的天文望远镜,超感光夜拍荣耀30系列化身“星空艺术家”
- c114通信网|中国移动2020年PC服务器集采:华为、中兴、新华三等分享80亿大单
- c114通信网|小米员工晒出一代MIX Alpha 5G环绕屏手机
- c114通信网端到端能力打造“智能联接”战略体系:新华三全力赋能数字时代
- c114通信网中国信科王映民:推动5G技术标准演进 释放5G全部潜能
- 「像素」2020年最佳智能手机,多维度更多的选择(续)?