クラウドにおける適応型セキュリティ管理について話す

クラウドにおける適応型セキュリティ管理について話す

導入

クラウド テクノロジーの急速な発展に伴い、ますます多くのユーザーがビジネスをパブリック クラウドまたはプライベート クラウドに移行しています。クラウド コンピューティングは利便性、スピード、柔軟性などの利点をもたらしますが、従来のネットワーク セキュリティ アーキテクチャも変化し、新たなセキュリティ上の課題ももたらします。これらのセキュリティ上の課題は、クラウド コンピューティングの発展を制限するだけでなく、重要なビジネスのクラウドへの移行を妨げます。

  • SDN ネットワークでは、クラウド内のトラフィックと脅威は見えず、仮想マシンとコンテナ間の通信はすべて OverLay ネットワークを介して行われるため、従来の技術的手段では認識できません。
  • 仮想マシンとコンテナの間には、便利で効率的な脅威分離メカニズムが欠けています。ネットワークの脅威がクラウド プラットフォームに侵入すると、自由に拡散する可能性があります。
  • クラウド セキュリティは、仮想マシンとコンテナの柔軟な拡張に適応し、動的に展開および移行できる必要があります。

道路は何千とありますが、安全が第一です。クラウド時代の新たなセキュリティリスクに直面しているG銀行は、一方では安全で制御可能なテクノロジーを使用してサービスサポート機能を向上させ、さまざまな業務の「安全な運用」を確保しています。一方で、ゼロトラストセキュリティモデルやマイクロアイソレーション技術の適用可能性についても積極的に検討しています。

1. ゼロトラスト セキュリティ モデルとマイクロセグメンテーションの概要

2010 年に当時 Forrester Research の主席アナリストであった John Kindervag 氏によって開発されたゼロ トラスト アーキテクチャは、企業の最も貴重な資産を効果的に保護することを約束する広範なフレームワークです。すべての接続とエンドポイントが脅威とみなされるという前提で動作します。このフレームワークは、外部または内部の脅威、さらには内部ですでに接続されている脅威からも保護します。ゼロ トラスト ネットワークの特徴は次のとおりです。

  • すべての企業ネットワークトラフィックをログに記録して表示する
  • ネットワークへのアクセスを制限および制御する
  • ネットワークリソースの認証と保護

マイクロセグメンテーションは、ゼロトラスト セキュリティ モデルのベスト プラクティスです。マイクロセグメンテーション技術の概念は、2016 年のガートナー セキュリティおよびリスク管理サミットで提案されました。マイクロセグメンテーション技術に基づくセキュリティ ソリューションは、企業にトラフィックの可視性と監視を提供する必要があります。可視化ツールを使用すると、セキュリティ運用および管理担当者は内部ネットワーク情報の流れを把握でき、マイクロセグメンテーションによってポリシーをより適切に設定し、修正を支援できます。

マイクロ分離を実現するための技術的な方法は 4 つあります。

2. 適応型セキュリティ管理に関する研究

G 銀行のフルスタック クラウド インフラストラクチャは多様であり、デュアル テクノロジー スタックが同時に構築されています。仮想マシン、コンテナ、ベアメタルでクラウドにデプロイされるアプリケーションをサポートします。ホストエージェントベースのモデルを考慮すると、G 銀行のフルスタック クラウド セキュリティ構築のニーズにより適しています。したがって、ホストエージェントベースの適応型セキュリティ管理の方向性に関する研究と試験に重点が置かれています。

1. 展開モード

適応型セキュリティ管理は、管理役割の観点から、管理側クラスタ(QCC クラスタ)とクライアントに分かれています。より高い可用性を実現するために、3 つのデータ センターのそれぞれに QCC クラスターのセットが展開されています。各データセンターの QCC は、独自のワークロードのみを管理できます。多くの企業のトラフィックはデータセンター間を行き来します。各データセンターの管理者がローカル アクセス制御ポリシーを構成すると、他のデータセンターのワークロードのロールと関連オブジェクトを呼び出すことができるため、独立した管理とグローバル制御の管理ニーズを満たすことができます。

図1

すべてのワークロードは、クライアントを介して適応型セキュリティ管理プラットフォームに接続されます。 G-Bank のフルスタック クラウドは、アプリケーション用の仮想マシンとコンテナ リソースを提供できます。適応型セキュリティ管理プラットフォームには、仮想マシンとコンテナのワークロードに対して異なるトラフィック制御方法があります。

1.1 仮想マシンの負荷

図2

仮想マシンのワークロード フロー制御プロセスは次のとおりです。

(1)VMの役割を特定する:

エージェントは仮想マシンのオペレーティング システムにインストールされます。システム情報、開いているサービス ポート、インターフェイス アドレス、その他のホスト情報を識別します。エージェントは仮想マシンの一意の ID ファイルを生成します。 QCC は、認証コードの情報に基づいてロール タグとワークグループ名を割り当て、それらを ID ID にバインドします。

(2)接続情報を表示する:

エージェントはワークロードの接続情報を読み取り、それを QCC と同期します。QCC は視覚的な接続ビューを生成し、定期的に更新します。

(3)アクセス制御ポリシーの送信:

QCC では、仮想マシンのラベルとグループに基づいてアクセス制御ポリシーが設定され、対応する IP とポートが計算されてエージェントに送信されます。エージェントは、仮想マシン ネットワーク空間の IPTABLES/WFP にアクセス制御ポリシーを書き込み、仮想マシン間のマイクロセグメンテーションを実現します。

(4)戦略適応計算:

エージェントは仮想マシンの状態を継続的に監視し、QCC は仮想マシンのタグとグループに基づいて戦略を継続的に計算し、更新して配布します。

1.2 コンテナ積載量

図3

コンテナのワークロードフロー制御プロセスは次のとおりです。

(1)ポッドの役割を特定する:

エージェントはノード オペレーティング システムにインストールされ、ポッドのラベル キー値はインストール コマンドで事前に設定されます。エージェントは、プリセットキー値に基づいてポッドのラベルフィールドを読み取り、それを QCC に同期します。 QCC は、ラベルに基づいて、ポッドのロール ラベルとワークグループ名を自動的に定義します。

(2)接続情報を表示する:

エージェントは Conntrack コンポーネント内の接続情報を読み取り、それを QCC と同期します。 QCC は視覚的な接続ビューを生成し、定期的に更新します。

(3)アクセス制御ポリシーの送信:

QCC では、Pod ラベルとグループに基づいてアクセス制御ポリシーが設定され、対応する IP とポートが計算されてエージェントに送信されます。エージェントは、Pod ネットワーク空間の IPTABLES にアクセス制御ポリシー (Mangle テーブル) を書き込み、Pod 間のマイクロセグメンテーションを実現します。

(4)戦略適応計算:

エージェントはポッドの状態を継続的に監視し、QCC はポッドのラベルとグループに基づいて戦略を継続的に計算し、更新して配布します。

2. 主な機能

図4

ビジネス視覚化トポロジ: データセンター内の多数のコンピューティング ノード、複雑な内部トラフィック、効果的な管理と最適化の不可能といった現在の問題に対処するために、適応型セキュリティ管理では、完全なトラフィック モデル図を描画して、東西トラフィックを明確に表示および整理できます。

ビジネス指向のポリシー管理モデル: アプリケーションと仮想マシンを定義するための独自の方法を提供し、可視性、適応性、自然言語対応性に優れたポリシー モデルのセットを確立します。

ポリシー適応型コンピューティング: 適応型テクノロジーは、データセンター内の変更に基づいてセキュリティ ポリシーを自動的に調整できます。マイクロアイソレーション技術と組み合わせることで、適応型のエンドツーエンドの洗練されたアクセス制御を実現できます。

内部異常トラフィック分析: トラフィック フロー全体をキャプチャすることで、任意の 2 つのポイント間の通信関係を確認し、発生したすべてのトラフィックを監視し、攻撃元を追跡し、証拠を収集し、コンプライアンス チェックを実行する機能を提供できます。

脆弱性分析とシールド: ワークロード上の脆弱性のリスク スコアとネットワーク層での脆弱性の露出を包括的に分析し、マイクロセグメンテーションと組み合わせて、ユーザーに独自の脆弱性攻撃対象領域分析と脆弱性シールド ソリューションを提供します。

適応型セキュリティ管理はクラウド データ センターを対象としています。データセンターの内部トラフィックに対して包括的かつ詳細な視覚分析と非常にきめ細かいセキュリティ ポリシー管理を実行し、環境分離、ドメイン間分離、エンドツーエンド分離を迅速かつ便利な方法で実現します。セキュリティをワークロードの外部に実装するのではなく、セキュリティ機能をワークロードと密接に統合することで、基盤となるアーキテクチャから独立し、ビジネスとセキュリティを同時に提供できるようになります。

要約する

セキュリティは相対的であり、継続的で動的なプロセスです。永続的なセキュリティというものは存在せず、永遠に続く優れたメカニズムや方法も存在しません。 G 銀行のフルスタック クラウド セキュリティ構築は、技術の発展に合わせて、セキュリティ メカニズム、製品機能、オペレーティング システムなどの側面を継続的に改善し、効率的で便利で信頼性の高いセキュリティ管理機能を提供します。

<<:  Pod から Baidu にアクセスするときに VTEP が使用されますか?

>>:  知っていましたか?マネージドKubernetesが標準に

推薦する

5G はエッジ コンピューティングに何をもたらすのでしょうか?

人気の5Gとエッジコンピューティングの関係とは?それらの収束点はどこにあるのでしょうか?インターネッ...

百度、ウェブサイト開発者向けに端末適応サービスを開始

携帯電話ユーザーにより良い閲覧体験を提供するために、ウェブサイト開発者は通常、さまざまな端末デバイス...

Shadowless Cloud アプリがパブリックベータ版をリリース、数百 GB レベルのファイルをダウンロードせずに使用可能

あらゆるファイル、あらゆる場所 - 5月23日、アリババクラウドは、大規模ソフトウェアの将来の体験を...

独自のウェブサイトスタイルを作成する方法

今日では、人々は問題を解決するためにインターネットにますます頼るようになっています。たとえば、企業は...

インターネットでお金を稼ぐ方法(I):インターネットの収益モデルの分析

端午節の休暇中、私はとても快適に休んでいました。仕事のことを考えず、外にも出かけませんでした。スーパ...

最初のホームページのフレンドリーリンクとウェブサイト内部ページのアンカーテキストの組み合わせの分析

Baidu の外部リンク分析ツールの調査によると、優れたフレンドリーなリンクは重みをより効果的に伝達...

360検索エンジンのリリースはBaiduの8.23メジャーアップデートにつながるでしょうか?

8月16日、360検索エンジンがひっそりとリリースされました。わずか数日で大反響を呼び、インターネッ...

クラウドゲートウェイベースのコンピューティングネットワーク制御、オーケストレーション、サービス機能プラットフォームに関する簡単な説明

コンピューティング ネットワーク機能の構築と基本機能の開発という長期的なプロセスにおいて、Huiji...

電子商取引における最も激しい2つの価格戦争のレビュー:サプライヤーとの対立が勃発

過去6か月間、私たちは電子商取引の価格戦争を経験してきました6 か月も経たないうちに、電子商取引企業...

中国と米国のクラウド大手間の利益格差は拡大している。中国のクラウドコンピューティングはなぜ利益が出ないのか?

2月3日、アマゾンとグーグルの親会社アルファベットはそれぞれ2022年の年次業績報告書を発表した。マ...

ベテランウェブマスターが語る: SEO 担当者の将来はどこにあるのでしょうか?

実は、SEOerの育成や将来という話題は、多くの人から言及されています。私が今日このような話題を繰り...

Weitaoプラグインは無料時代に別れを告げ、今日から年間サブスクリプションは84元になります

4月1日、Ebrun Power Networkは、Taobaoがモバイルソーシャルアプリケーション...

cmivps: 「香港高帯域幅 VPS」、無制限のトラフィック、30% 割引、3 つのネットワークへの直接接続

cmivps は、年間高帯域幅の香港 VPS に大幅割引を提供します。年間支払いの場合は 30% オ...

1分で分布とクラスタリングを理解する

[[234487]]まず、定義についての私の理解を述べさせてください。分散システムとは、ネットワーク...

チャネルトラフィックの追跡と分析がなければ、APPプロモーションにいくらお金を費やしても無駄になってしまいます。

ローカルプロモーションは、アプリが顧客を獲得するための効果的な方法です。オンラインプロモーションと比...