12月23日,由中国信息通信研究院(以下简称“信通院”)主办的零信任发展论坛在线上隆重召开。本界论坛,信通院重磅发布了“安全守卫者计划”优秀案例评选结果,蔷薇灵动与中国光大银行联合申报的“光大银行全栈云微隔离建设实践”案例,凭借零信任微隔离技术在银行生产现网万点规模成功落地的示范效应,以及充分适应云原生环境的多项技术创新探索,成功入选优秀案例。
以下为本次获奖案例摘要:
背景与需求
中国光大银行(以下简称“光大银行”)成立于年8月,是经国务院批复并经人民银行批准设立的全国性股份制商业银行。在数字经济席卷全球的背景下,光大银行一直积极拥抱云计算技术,坚持从业务需求出发服务金融应用,不断建设发展云平台,目前已进入云平台3.0——全栈云平台建设阶段,并初步完成“双栈并举、一栈多芯”两地多中心分布式云化数据中心经建设,构建了全行级统一数字化基础设施体系。
在规模庞大的数据中心内部进行安全域分隔和网络控制,是银行业的长期通行做法。随着数据中心架构几代演变,光大银行在历史上尝试过多种网络隔离控制方案,例如从最初的域间防火墙方案、到上云初期的虚拟防火墙方案等。
数据中心隔离与控制方案演进
项目前期,光大银行已建成了混合架构全栈云(生产云+开发测试云),采用青云、华为云双架构,X86/ARM双技术栈。而随着容器平台的投产,容器网络中的IP地址已失去其本身的秩序,基于IP的静态策略自然不再有效。需要通过微隔离系统在云平台中建立逻辑边界,实现业务间互访控制,并通过微隔离系统的统一策略框架提升访问控制精细度和效率。由此开始,光大银行正式踏上了微隔离技术的探索之路。
对于微隔离系统,光大银行有几点明确的功能性需求,包括:
1)构建业务访问可视化能力:因大量业务迁移上云,云内流量激增,需能够实现核心业务访问关系可视化展示,清晰洞察内部东西向流量,协助摸清家底。
2)安全策略应与IP地址解耦:因容器平台投产,IP地址不确定,应能够对工作负载进行基于业务属性的分组和标签化管理,利用基于标签的微隔离策略框架,实现安全策略与IP地址解耦。
3)建立细粒度的访问控制策略:引入统一、便捷的访问控制策略管理体系,提升访问控制的精细度,简化安全策略的运维工作量。
除此之外,为充分实现产品与光大银行全栈云在各方面的契合度,产品还需符合以下非功能性指标要求,包括:
1)微隔离系统必须具有较好的环境适应性:应能够支持现用容器平台、实现全栈云的跨平台统一管理、虚拟机和容器的同台管理。
2)系统应具备高性能和低资源开销:在大规模策略执行和高连接速率的情况下,工作负载的性能消耗应在可接受范围。目前光大银行工作负载规模已达到数万点,可以预见在未来几年将达到更大规模。
3)产品应适应并满足行内现有的运维规范:涉及产品部署安装、所需的依赖库、所需分配的系统权限、可能存储于本地的数据文件等。
方案与实施
蔷薇灵动针对行方提出的微隔离需求,进行了详细的方案设计及充分验证,并最终在现网生产环境成功交付。方案以蔷薇灵动蜂巢安全自适应微隔离平台为主体,利用蜂后安全计算中心(QCC)、蜂群安全守护容器(BDC)和蜂群安全管理终端(BEA)三大核心组件,完成对数据中心的跨地域、跨平台、跨集群统一管理。
项目实施以“五步法”为指引开展。所谓“五步法”,是指定义、分析、设计、防护和运维5个关键步骤,它既是行业公认的零信任理念落地方法,也是蔷薇灵动经过大量实践总结出的一套切实可行的微隔离实施方案。
项目实施五步法
定义阶段,主要完成系统的部署和工作负载纳管。首先,为满足光大银行近万点规模的统一管理需求,蔷薇灵动在计算中心的部署上进行了充分的性能和可用性保障设计,将一个多机计算中心集群分布部署于同城的两个双活数据中心中,实现了工作负载就近接入、双集群A/A备份的效果。其次,针对容器环境,采用了基于DaemonSet的“无代理”模式部署,通过自动化的守护容器部署,省去了在各节点安装Agent的繁冗,实现了光大银行“原生化部署运行”。
光大银行云原生环境微隔离解决方案示意图
分析阶段,主要对工作负载进行分组和标签化管理,并为安全策略与IP的解耦打下基础。项目过程中,行方以微隔离实施为抓手,对已有的资产管理数据及现用的业务属性标签规范进行了梳理和优化,实现了高效的分组和标签化。例如,在云原生环境中,容器自身的标签体系被微隔离系统直接复用,通过容器Namespace的名称作为分组,并利用applabel的键值作为各容器角色标识。
设计阶段,主要梳理出东西向访问的基线。对于光大银行,业务容器上线时,业务需要提交应用的访问需求,这些信息可以从CMDB系统中直接获得。除此之外,在过去云平台中的防火墙、安全组中,运行着一些访问控制策略,这些策略经分析选择,也可通过工具自动化的导入微隔离系统。对于仍未覆盖的少部分策略,可以利用连接可视化分析能力,与业务部门逐条确认。
防护阶段,主要完成安全策略的下发与执行。微隔离策略的下发并非“一蹴而就”,而是需要经过一定时间的效果仿真和试运行,因此专业微隔离系统通常具有多种策略生效模式,例如“仅定义不下发”的建设模式、“仅下发不阻断”的测试模式或“完全执行”的防护模式。光大银行的业务容器投产前会先后运行于开发、测试、投产验证和生产环境,而微隔离能力是在最初的开发环境便开始生效,不同环境可根据用户的需求灵活的选择策略生效模式。
至此,微隔离实施的主要工作已基本完成,系统将进入运维阶段。目前,光大银行正在积极尝试将微隔离系统与ITSM、SOC等外部系统打通,实现智能化的策略变更和优化。
创新与意义
本项目的成功交付,是国内金融用户对零信任微隔离技术应用的一大跨越,具有以下重要创新点:
1)通过“主机代理”的微隔离技术路线,实现了多云平台、容器平台、多集群的无差别统一纳管,做到了真正的“基础架构无关”,也再次证明了“主机代理”微隔离技术路线在面对大型机构复杂环境时体现出的技术优越性。同时,方案创新性地通过守护容器(DaemonSet)的方式,将微隔离的策略执行点深植于云原生环境中,实现了专业微隔离能力向云原生的内嵌融合。
2)针对云内虚拟的工作负载,基于系统的“标签”体系,为工作负载在IP层之上建立起了一套脱离于基础设施、面向业务属性的、基于“身份”和“角色”的管理分层,从而应对云内资产高度动态、弹性的特点,实现了安全策略随工作负载迁移、扩缩容而动态自适应更新。
3)通过API打通了微隔离和多套管理系统的数据通道,完成了管理和运行数据的对接,实现了自动化的策略运维能力,从而使得微隔离完全适应并符合用户DevSecOps的运行流程,安全策略能够随工作负载的生成而同步生效,微隔离系统真切成为了云内安全的基础设施。
微隔离是云环境下实现基本隔离和访问控制的必要“基础设施”,也是“零信任”体系在服务间调用场景中的落地焦点,同时也是广大云用户尚处空白、亟待补充的关键安全能力。随着数字化转型的深入推进,对云内东西向流量实施精细化的微隔离管理,在银行、金融乃至全行业均具有普遍的必要性和迫切性,本项目的成功交付,再次证明微隔离已完成了从创新技术概念到工程落地转化的过程,必将助推微隔离技术的进一步推广和深化应用。
本次入选信通院“安全守卫者计划”优秀案例,既是对蔷薇灵动微隔离技术落地的认可,也反映了云时代对新兴网络安全隔离技术的共性需求。目前,蔷薇灵动产品已在多行业头部用户核心场景处成功应用。未来,我们将与用户携手,聚焦技术发展前沿需求,不断进行产品革新及行业标杆树立,为各行业用户网络安全能力建设保驾护航。
