基于身份的微隔离技术主要应用在采用云原生架构的服务场景中,为微服务提供安全隔离,甚至可以对微服务间的流量进行安全检测,保护微服务运行安全。该技术主要包括服务的发现及身份识别、服务间依赖关系构建、基于服务身份的隔离策略制定和执行、内网流量的安全监测等。
在应用服务上云过程中,采用云原生架构及微服务化是很多应用厂商的选择,这让应用服务具有了更好的功能解耦、更灵活的资源调度和更敏捷的开发运营流程。但是,这种架构上的改变也给微服务的安全带来新的挑战。一是应用微服务化后,内网中暴露的端口和连接暴增,攻击面大大增加;二是微服务之间通信的增加导致东西向流量占比扩大,同时微服务支持弹性扩容的特性,导致内网IP快速变化,给东西向流量防护带来很大的挑战。因此,在微服务场景中,需要一个支持在服务粒度进行有效隔离,且可以适应快速变化的服务实例的安全机制,而传统的基于IP的防火墙隔离策略显然无法满足这些要求。
基于身份的微隔离技术,可支持服务粒度的策略制定,自动适应服务实例的变化,有效执行隔离策略。结合内网流量的安全检测,它还可以进一步发现内网中存在的webshell、爆破等攻击行为,指导管理员对隔离策略和内网环境进行加固。该技术在云原生快速发展的背景下,已经成为云原生平台中不可缺少的安全能力,是保护云原生服务的重要基础设施。