多雲管理安全架構介紹
- 分類:新聞報道(dào)
- 作者:
- 來源:
- 發(fā)布時間:2022-01-05 17:11
- 訪問量:
【概要描述】讓我們從一個多雲管理基礎架構開(kāi)始:建議以kubernetes自動編排和pod容器模式部署所有多雲基礎設施,盡量不要選擇虛拟機,因爲虛拟機無法編排其他公共雲的網絡,也無法實施更靈活的網絡隔離策略。
多雲管理安全架構介紹
【概要描述】讓我們從一個多雲管理基礎架構開(kāi)始:建議以kubernetes自動編排和pod容器模式部署所有多雲基礎設施,盡量不要選擇虛拟機,因爲虛拟機無法編排其他公共雲的網絡,也無法實施更靈活的網絡隔離策略。
- 分類:新聞報道(dào)
- 作者:
- 來源:
- 發(fā)布時間:2022-01-05 17:11
- 訪問量:
讓我們從一個多雲管理基礎架構開(kāi)始:
1.首先,建議以kubernetes自動編排和pod容器模式部署所有多雲基礎設施,盡量不要選擇虛拟機,因爲虛拟機無法編排其他公共雲的網絡,也無法實施更靈活的網絡隔離策略。雖然谷歌重新定義雲市場的伎倆,但用戶喜歡這(zhè)個想法。它不受單一雲的限制,而且是開(kāi)源的,免費的。
2.將(jiāng)多雲管理與容器編排管理分開(kāi)。多雲管理需要屏蔽底層多雲之間的差異,并創建虛拟機、基本網絡和存儲等基礎設施。容器編排系統負責更高級别的管理需求。
3.本地部署的kubernetes和中央控制中心需要分開(kāi)。這(zhè)樣(yàng),一個單獨的層可以幫助用戶快速遷移和部署。
4.采用lstio标準的網絡架構是統一的、多雲的。
有了标準的多雲基礎設施,我們的安全基礎設施很容易規劃。我個人認爲,每個多雲管理系統的差異主要體現在基礎安全部分,應用安全部分可以使用多種(zhǒng)産品。
1.如果我們統一使用kubernetes和pod作爲底層架構,那麼(me)我們的多雲基礎設施的安全實際上是基于容器安全的。然後(hòu),需要建立基于容器的安全生态。
1.對(duì)于基本能(néng)力模型中的圖像倉庫,我們需要掃描圖像倉庫,以确保進(jìn)入整個安全平台的圖像是安全的。
必須具備通過(guò)策略掃描上傳的集裝箱圖像的能(néng)力,完成(chéng)操作系統和軟件已知CVE漏洞的在線檢查功能(néng),并輸出報告。
您需要上載容器映像,對(duì)其關鍵位置文件執行病毒特洛伊木馬檢測和webshell檢測,并輸出報告。
上傳的容器圖像需要檢測其關鍵位置文件的敏感信息,并輸出報告。
2.kubernetes和pod需要進(jìn)行基線檢查。當然,需要在多雲管理平台一側設置一些基線配置。這(zhè)部分實際上已經(jīng)使用了CIS_ubernetes_uuu基準标準測試就足夠了。
3.容器在操作過(guò)程中是安全的。容器運行非信貸流程、文件和網絡連接需要限制。同時,鏈接停止或删除容器以控制網絡連接。形成(chéng)集裝箱安全管理的閉環。
2.多雲基礎設施容器是安全的,需要寄生在主機上(如虛拟機、裸機服務器、物理服務器)。因此,主機安全性需要支持上述任何環境中的安裝。
3.爲了更好(hǎo)地了解整個多雲集群的運行狀态,日志審計系統也是多雲基礎安全的必要功能(néng)之一。
4.能(néng)夠接入多雲管理系統的公司必須具有複雜的組織結構,需要多人協同做好(hǎo)閉環安全運營。
Copyright © 中軟天辰信息科技(北京)股份有限公司. All Rights Reserved. 備案号: 網站建設:中企動力 北京