网络分割是限制网络入侵影响的一种高效策略。然而，在现代环境中，例如集群调度程序，应用程序通常在没有操作员干预的情况下启动和重新启动。这种动态配置导致IP地址不断更改，应用程序进入端口。使用传统的防火墙和路由方法来分割这些动态环境在技术上是非常具有挑战性的。在这篇文章中，我们将探讨这种复杂性，以及服务网格如何成为现代动态环境中安全网络流量的潜在解决方案。»动态环境在继续之前，让我们定义一下动态环境的含义。最简单地说，动态环境是指应用程序和基础设施经常发生更改的环境，可以是通过定期部署和基础结构更改来手动执行的，也可以是不需要由自动扩展或自动实例替换触发的操作员干预。像HashiCorp Nomad或Kubernetes这样的调度器的操作表现出了这种行为，利用许多云提供商提供的自动调整组的自动冗余也是如此。然而，这种影响并不局限于云环境，任何以高可用模式配置的vSphere等平台也可以归类为动态环境。»网络分割我们还需要澄清为什么网络分段对网络安全有价值。传统的网络分割主要是通过外围防火墙来实现的。这种方法的问题是受信任区域是平面的。它只需要一次入侵就可以获得对网络的广泛访问，而且网络越大，入侵检测的机会就越有限。通过细粒度的网络分割，网络被分割成许多更小的网络，目的是在发生入侵时减小爆炸半径。这种方法涉及开发和实施一个规则集来控制特定主机和服务之间的通信。每台主机和网络应在可实际管理的最低级别进行分段和隔离。路由器或第三层交换机使用虚拟局域网（VLAN）或访问控制列表（ACL）等措施将网络划分为单独的较小网络。网络防火墙用于过滤网段之间的网络流量，基于主机的防火墙过滤来自本地网络的流量，增加了额外的安全性。如果您在基于云的环境中操作，则通过使用虚拟私有云（VPC）和安全组来实现网络分段。虽然交换机是虚拟化的，但为分段网络配置入口规则和ACL的方法基本上与物理基础设施相同。»服务细分当网络分段与区域之间的流量安全有关时，服务分段保护同一区域内服务之间的流量。服务分段是一种更细粒度的方法，特别适用于多租户环境，例如多个应用程序在单个节点上运行的调度程序。实现服务细分取决于您的操作环境和应用程序基础架构。最近，应用程序通过防火墙等网络配置来使用软件和服务。与网络分割一样，应用最小特权原则，只有在明确允许这种流量的情况下，才允许服务对服务通信。»网络分割和动态环境问题当我们试图在动态环境中实施这种方法时，会遇到许多问题：»应用程序部署与网络配置断开连接当使用自动调整组部署应用程序并创建新实例时，通常会从预先配置的块动态分配IP地址。这个特定的应用程序很少会单独运行，需要访问在同一个网段内运行的服务，可能还会访问另一个网段。如果我们对我们的网络安全采取了一种强化的方法，那么这两个网段之间就会有严格的路由规则，只允许预定义列表上的流量。除此之外，我们将在上游服务上配置主机级防火墙，这同样只允许特定的流量。在静态环境中，当应用程序部署到已知位置时，这一问题更容易解决。路由和防火墙规则可以在部署时更新，以启用所需的访问。在动态世界中，存在断开连接，应用程序独立部署以配置网络安全性和分配的IP地址，甚至可能连端口都是动态的。通常需要手动更新网络安全规则，这会减慢部署速度。»应用程序在现代调度程序中进行调度网络分割的目标是对网络进行逻辑划分，以减小网络的爆炸半径。考虑到限制，网段将只包括一对需要通信的服务。这就引出了服务分段的思想，在这里我们管理对服务层的访问。对于服务级别分段，我们关心的是服务之间的交互，而不管它们在网络上的哪个位置。如果您在Kubernetes或Nomad这样的调度程序上运行应用程序，那么利用覆盖网络是配置服务分段的常用方法。配置覆盖可能比管理多个网络路由和防火墙规则更简单，因为当应用程序位置发生变化时，通常会自动重新配置覆盖。我们需要考虑调度程序通常是更重要的基础设施部署的一部分。在这种情况下，我们还需要考虑调度器中的应用程序如何与其他网络服务通信。例如，您有一个100个节点的集群，其中一个应用程序实例需要与另一个网段中的服务通信。在调度程序中运行的应用程序可以在一百个节点中的任何一个上运行。这使得确定哪些IP应该被列入白名单变得很困难。调度程序经常在节点之间动态地移动应用程序，这导致路由和防火墙规则不断更新。现代环境由vm、容器、无服务器功能、云数据存储等组成。这种复杂的基础设施对管理网络安全提出了重大挑战。配置防火墙和路由规则的网络级安全性，以及覆盖网络的计划程序级安全性有助于提高系统的安全性。然而，我们必须在两个不同的区域管理安全配置。在操作上，我们还需要两种截然不同的方法来实现所需的配置。这两个需求大大增加了管理应用程序安全性的系统复杂性和操作开销。这种复杂性的一个不幸的副作用可能是安全性放松，网络分段被简化为路由规则块而不是绝对地址。允许整个集群路由，而不仅仅是运行特定应用程序的节点。从服务的角度来看，对本地网段应用了太多的信任。从安全角度来看，这是次优的，并且增加了应用程序的攻击面，需要一种一致的、集中的方式来管理和理解网络和服务分段。»基于意图安全的服务分段解决复杂性和提高我们的网络安全性的方法是不需要配置基于位置的安全规则，而转向基于意图的模型。基于意图的安全性基于身份而不是位置建立规则。例如，我们可以定义一个意图，声明前端服务需要与支付服务进行通信。通过意图定义网络分段可以减轻传统网络分割的复杂性，并允许对网络安全规则进行更严格的控制。出于意图，您将描述应用程序级别的安全性，而不是网络位置级别的安全性。例如，如果我们有以下基础设施：要启用"服务A"到"服务B"的通信，我们需要在两个段之间创建路由规则。必须创建防火墙规则以允许从"服务A"实例进行访问。此配置共有9条规则：服务A和服务B之间的9x防火墙规则请考虑替换"servicea"实例时的影响，记住这不仅仅是由于失败，也是由于持续集成。这些规则需要再次更新，删除的实例详细信息需要删除，新的实例详细信息需要添加。现在考虑通过基于意图的安全性来控制路由的方法。这种配置产生了一个单一的目的："服务A"->"服务B"，改变运行实例的规模或位置不会改变这个简单的规则。基于意图的安全可以通过使用服务网格来实现。服务网格由一个中央控制平面组成，允许您通过使用意图而不是网络位置集中配置网络和服务分段，数据平面提供路由和服务发现。这两个组件加在一起几乎可以完全取代对复杂路由和防火墙规则的需求。使用基于身份的授权，数据平面只允许由这些意图定义的服务之间的通信，并且由于意图由控制平面集中管理，所以一次更新就可以重新配置整个网络。»意图优于传统网络分割的优势服务意图极大地简化了保护服务的方法