Безопасность с нулевым доверием — Часть 3: Безопасность с нулевым доверием с облачными микросервисами и контейнерами

Рагхав К.

Корпоративные сети имеют свою долю сложностей и преимуществ. В распределенной среде существуют различные факторы, которым нужно противодействовать и использовать. Сети годами сталкивались с попытками проникновения. Баррикадирование в качестве превентивной меры помогло обеспечить безопасность сетей и ресурсов. Хотя это не был комплексный подход к поддержанию безопасности, целостности инфраструктуры и решений, это была единственная линия защиты от вредоносных атак.

После внедрения облачных технологий контейнеры на основе Kubernetes помогли предприятиям реализовать свой истинный потенциал. Облачные микросервисы предоставили множество преимуществ для создания крупных приложений, требующих более быстрого цикла разработки и развертывания наряду с инновациями. Микросервисы заменили традиционный подход монолитных приложений на более простой и гибкий.

Безопасность с нулевым доверием помогает обеспечить высоконадежную среду и масштабируемое решение для обеспечения безопасности, которое может облегчить вам выход при управлении растущим числом микросервисов. Это также может помочь упростить сложности, связанные с SDLC. Микросервисы могут показаться проблемой безопасности, но они обеспечивают гораздо более простой подход к защите всего приложения. Вы можете добиться превосходной безопасности системы после внедрения модели безопасности с нулевым доверием с помощью микросервисов.

Зачем нам нужна модель безопасности с нулевым доверием с микросервисами?

Представление классификации микросервисов на платформе Alibaba Cloud представлено ниже:

Традиционно охрана создавала ограждения для ресурсов, а все внутри доверялось автоматически. При традиционном подходе ресурсы могут обращаться друг к другу без особого сопротивления, поскольку они используют одну и ту же основную кодовую базу. Однако архитектура микросервисов основана на более слабосвязанном подходе. Это гарантирует, что различные ресурсы могут быть вызваны только с использованием API, что делает систему более безопасной.

Я не намекаю на то, что традиционные методы возведения барьеров, такие как брандмауэры, должны быть упразднены. Эти решения безопасности по-прежнему полезны, но полагаться на традиционный подход к безопасности — устаревшая идея. Все развивается, и безопасность развивалась с использованием таких моделей, как нулевое доверие.

Принципы нулевого доверия

1. Сквозная аутентификация сетевых подключений на стороне клиента и сервера
2. Каждая транзакция должна обеспечивать повторную аутентификацию и повторную авторизацию. Подход к авторизации с одним рукопожатием не следует использовать для нескольких транзакций.
3. Должен соблюдаться принцип наименьших привилегий.
4. Непрерывный мониторинг сервисов, подключений и транзакций должен осуществляться с помощью расширенной аналитики на основе ИИ.
5. Политика безопасности и контроль должны применяться одинаково ко всем сущностям системы. Эти сущности могут включать приложения, пользователей, аппаратные устройства на основе IoT. Расположение на основе сетевого адреса не должно быть средством автоматической авторизации или аутентификации.
6. Инструменты IAM, такие как RAM и IDaaS, являются основными игроками. Все зависит от ИАМ.

Реализация архитектуры с нулевым доверием

Будь то архитектура микросервисов или контейнеры на базе Kubernetes, модель безопасности с нулевым доверием должна быть реализована для актуальной и всеобъемлющей структуры безопасности. Service Mesh появился как вариант обеспечения стабильности архитектуры при использовании Kubernetes для контейнеризации.

Архитектура Alibaba Cloud Service Mesh (ASM) указана ниже:

Alibaba Cloud Service Mesh — это полностью управляемый сервис, полностью совместимый с сервисной сеткой lstio с открытым исходным кодом. Service Mesh предназначен для простого управления услугами.

Вы можете использовать Service Mesh с приложениями микросервисов, поскольку он глубоко интегрирован с Container Service for Kubernetes (ACK). Вы можете управлять трафиком микросервисов в нескольких кластерах Kubernetes с помощью Service Mesh. Он обеспечивает постоянный контроль связи над контейнерными приложениями.

Глубокая интеграция с Alibaba Cloud ACK, сетями и функциями безопасности помогает Alibaba Cloud ASM обеспечивать безопасность с нулевым доверием с помощью контейнеров и микросервисов. Alibaba Cloud ASM может расширить превосходное формирование трафика и наблюдаемость для каждого микросервиса, создавая при этом согласованную сервисную сетку в облаке. Это позволяет проводить более глубокий анализ служб и протоколов, чтобы гарантировать, что ни один объект не будет упущен при реализации архитектуры безопасности с нулевым доверием.

Сетка облачных сервисов Alibaba — функции

1. Централизованное управление — Alibaba Cloud Service Mesh был создан для управления приложениями, работающими в управляемых и бессерверных кластерах Kubernetes. Он также поддерживает кластеры, зарегистрированные в гибридном облаке и мультиоблачных средах. ASM обеспечивает централизованный подход к управлению, который обеспечивает возможность наблюдения за службами приложений на более высоком уровне.
2. Контроль — Alibaba Cloud ASM управляет всеми основными компонентами в плоскости управления, чтобы сократить любые накладные расходы на ресурсы и затраты на эксплуатацию и техническое обслуживание.
3. Управление трафиком — Alibaba Cloud ASM может управлять ситуациями с трафиком между гибридными контейнерами и контейнерами виртуальных машин благодаря своим возможностям централизованного управления трафиком и формирования трафика.
4. Поддержка экземпляров — Alibaba Cloud ASM поддерживает контейнеры на основе Kubernetes и приложения, работающие в экземплярах контейнеров. Вы также можете использовать ASM для развертывания сервисов, отличных от Kubernetes.

Знакомство с нулевым доверием

Реализация возможностей безопасности с помощью Service Mesh — это введение в возможности нулевого доверия с вашей архитектурой микросервисов и контейнерами. Настоятельно рекомендуется внедрить модель безопасности с нулевым доверием в качестве проектного параметра, а не просто адаптировать ее к существующим системам. Однако для сред, изначально созданных до облака, миграция может быть перегрузкой. Alibaba Cloud Service Mesh предлагает отличные сценарии миграции для противодействия этому сценарию.

Вы можете использовать Alibaba Cloud ASM для развертывания и настройки экземпляров ASM для переноса существующих приложений в Alibaba Cloud. ASM предлагает сценарий бесшовной миграции, основанный на реальных возможностях передачи. Миграция из центра обработки данных в облако — это не только миграция приложений. Alibaba Cloud ASM позволяет динамически направлять входящий трафик в центры обработки данных или облачные ресурсы для миграции сервисов без сохранения состояния.

Архитектура миграции Alibaba Cloud ASM указана ниже:

В конце — что важно?

Реализация архитектуры безопасности с нулевым доверием заключается в контроле доступа с использованием удостоверения. Если говорить о реальных сценариях, доверие — это единственное, что можно использовать для получения доступа ко всей системе. Благодаря монолитному подходу к обеспечению безопасности самые важные и сложные системы могут быть выведены из строя за считанные минуты. Модель безопасности с нулевым доверием сокращает автоматическое доверие, обеспечивая большую безопасность и стабильность ваших микросервисов и контейнеров.

Предстоящие статьи

1. Упрощенное управление с помощью Service Mesh

Оригинальный источник: