来自 DDOS 2022-06-09 05:00 的文章

云防护_网站防护多少钱_3天试用

云防护_网站防护多少钱_3天试用

使用CiliumplantirFollowMay 7.7分钟阅读

加强Palantir的Kubernetes基础设施已成为全行业的趋势,因为工程团队依靠Docker或Kubernetes等公司来管理、部署和扩展其环境;在这里,帕兰蒂尔也不例外。我们构建了Rubix,Palantir的Kubernetes基础设施,考虑到两个主要目标:简化和扩展我们软件平台的部署,加强我们的安全态势。

在这篇博文中,Palantir的信息安全(InfoSec)团队将分享我们最近使用Cilium的经验:Isovalent的一个开源项目,致力于保护基于容器的基础设施,实现优于传统防火墙的可见性和控制。Palantir的工程师使用Cilium作为网络控制的基础,对控制Rubix流量的网络规则进行了重大改进。同样,Palantir的计算机事件响应团队(CIRT)在编写针对适用于Rubix基础设施的理论攻击原语的警报和检测策略时,将Cilium的日志记录作为有价值的遥测来源。在这篇文章中,,Palantir的InfoSec团队希望:

深入了解Cilium的功能,该功能使Palantir能够进一步强化Rubix的攻击面。解决Cilium的日志遥测领域,我们发现这些领域对警报和检测很有价值。

传统安全工具和控制的缺点

传统的"传统"InfoSec当使用容器攻击面时,控制和工具(主要是在考虑静态基础设施的情况下设计的)可能会有缺点,特别是当攻击面基本上是短暂的,或者是SaaS环境中更广泛的微服务生态系统的一部分。

网络工具和控制

传统网络安全工具的一个常见缺点是,在由临时容器组成的环境中,相对缺乏对覆盖不同端点、微服务和资源的细粒度网络控制的支持。传统的3/4层防火墙可以根据端口和目的地来调节进出,但该规则是不加选择的,并且阻止(或允许)所有符合其规则集参数的流量。一些网络解决方案通过超出基本端口/IP入口和出口的控制(例如,按域、字节计数、时间或IP信誉进行的控制)来构建其功能集,但此类控制仍然倾向于基于标识符(如主机名、域或IP地址)进行操作。

在集装箱化生态系统中工作时,其中大多数交互发生在短暂的微服务和API资源之间,在传统TCP/IP术语的上下文中,维护给定端点或资源身份的概念可能具有挑战性。

端点工具和控制

另一个常见的安全工具缺点是依赖端点检测和响应(EDR)源(请参阅:整个企业的osquery)的遥测通过巩固基于IP地址或主机名的身份概念,将容器化基础设施与任何传统静态端点一样对待。每次旋转临时资源时,该资源都必须安装EDR代理,DDOS防御技术发展现状,而EDR代理又必须签入中央服务器,或者必须将其遥测数据直接记录到日志记录目标。一旦EDR代理位于临时主机上并成功报告遥测,它只会在该资源存在的时间内(可能是几秒钟)继续这样做。也许负责所述端点的服务每隔一分钟左右就启动这样一个资源;结果将是数十个端点在一个小时内旋转起来,所有端点都属于同一个服务,所有端点都做相同的工作。但是,对于每个旋转的端点,EDR遥测将其视为离散实体(具有自己的ID、主机名等)。

使用Cilium的集装箱化网络安全控制

Cilium在给定环境中的资源概念基于服务、pod或容器标识,它允许在给定资源(或资源系列)周围的持久可见性和控制,在这种情况下,对象可能只是暂时存在,ddos攻击自动防御,或者可能具有零星的生命周期。Kubernetes标签应用于Cilium已知的每一种资源,它通过围绕资源角色和功能的进一步上下文数据丰富了给定资源的标题。与基于主机名或IP地址的操作相比,使用详细标签和上下文元数据可以使分析师在导航集装箱化环境的定制细微差别时的工作更加轻松。

为了符合Palantir的安全控制,必须将Cilium部署到我们Rubix环境中的每个资源。一旦部署,Cilium将根据其网络策略中建立的规则进行操作。Cilium网络策略被指定为规则,规定给定环境中资源之间允许的连接和流。网络策略规则在第3层、第4层或第7层运行,每个规则基于与给定资源关联的Kubernetes标识符建立控制。例如:

微服务A应该只能对API资源X和API资源Y发出请求,如果这些请求符合Z标准。只有具有标签目的A的POD才能解析域B。

策略示例

让我们看两个典型的Kubernetes资源Cilium规则示例(来源于ISOVALUTE的网络策略文档)。首先,第3/4层示例演示了Cilium对端点控制流量的"角色"的理解。

云防护_网站防护多少钱_3天试用

标签依赖第4层规则[来源]