云防护_网站防护多少钱_3天试用

云防护_网站防护多少钱_3天试用

使用CiliumplantirFollowMay 7.7分钟阅读

加强Palantir的Kubernetes基础设施已成为全行业的趋势,因为工程团队依靠Docker或Kubernetes等公司来管理、部署和扩展其环境;在这里,帕兰蒂尔也不例外。我们构建了Rubix,Palantir的Kubernetes基础设施,考虑到两个主要目标:简化和扩展我们软件平台的部署,加强我们的安全态势。

在这篇博文中,高防cccdn,Palantir的信息安全(InfoSec)团队将分享我们最近使用Cilium的经验:Isovalent的一个开源项目,ddoscdn防御,致力于保护基于容器的基础设施,实现优于传统防火墙的可见性和控制。Palantir的工程师使用Cilium作为网络控制的基础,对控制Rubix流量的网络规则进行了重大改进。同样,Palantir的计算机事件响应团队(CIRT)在编写针对适用于Rubix基础设施的理论攻击原语的警报和检测策略时,将Cilium的日志记录作为有价值的遥测来源。在这篇文章中,,Palantir的InfoSec团队希望:

深入了解Cilium的功能,该功能使Palantir能够进一步强化Rubix的攻击面。解决Cilium的日志遥测领域,我们发现这些领域对警报和检测很有价值。

传统安全工具和控制的缺点

传统的"传统"InfoSec当使用容器攻击面时,控制和工具(主要是在考虑静态基础设施的情况下设计的)可能会有缺点,特别是当攻击面基本上是短暂的,或者是SaaS环境中更广泛的微服务生态系统的一部分。

网络工具和控制

传统网络安全工具的一个常见缺点是,在由临时容器组成的环境中,相对缺乏对覆盖不同端点、微服务和资源的细粒度网络控制的支持。传统的3/4层防火墙可以根据端口和目的地来调节进出,国外ddos防御,但该规则是不加选择的,并且阻止(或允许)所有符合其规则集参数的流量。一些网络解决方案通过超出基本端口/IP入口和出口的控制(例如,按域、字节计数、时间或IP信誉进行的控制)来构建其功能集,但此类控制仍然倾向于基于标识符(如主机名、域或IP地址)进行操作。

在集装箱化生态系统中工作时,其中大多数交互发生在短暂的微服务和API资源之间,在传统TCP/IP术语的上下文中,维护给定端点或资源身份的概念可能具有挑战性。

端点工具和控制

另一个常见的安全工具缺点是依赖端点检测和响应(EDR)源(请参阅:整个企业的osquery)的遥测通过巩固基于IP地址或主机名的身份概念,将容器化基础设施与任何传统静态端点一样对待。每次旋转临时资源时,该资源都必须安装EDR代理,而EDR代理又必须签入中央服务器,或者必须将其遥测数据直接记录到日志记录目标。一旦EDR代理位于临时主机上并成功报告遥测,它只会在该资源存在的时间内(可能是几秒钟)继续这样做。也许负责所述端点的服务每隔一分钟左右就启动这样一个资源;结果将是数十个端点在一个小时内旋转起来,所有端点都属于同一个服务,所有端点都做相同的工作。但是,对于每个旋转的端点,EDR遥测将其视为离散实体(具有自己的ID、主机名等)。

使用Cilium的集装箱化网络安全控制

Cilium在给定环境中的资源概念基于服务、pod或容器标识,它允许在给定资源(或资源系列)周围的持久可见性和控制,在这种情况下,对象可能只是暂时存在,或者可能具有零星的生命周期。Kubernetes标签应用于Cilium已知的每一种资源,它通过围绕资源角色和功能的进一步上下文数据丰富了给定资源的标题。与基于主机名或IP地址的操作相比,使用详细标签和上下文元数据可以使分析师在导航集装箱化环境的定制细微差别时的工作更加轻松。

为了符合Palantir的安全控制,必须将Cilium部署到我们Rubix环境中的每个资源。一旦部署,Cilium将根据其网络策略中建立的规则进行操作。Cilium网络策略被指定为规则,规定给定环境中资源之间允许的连接和流。网络策略规则在第3层、第4层或第7层运行,每个规则基于与给定资源关联的Kubernetes标识符建立控制。例如:

微服务A应该只能对API资源X和API资源Y发出请求,如果这些请求符合Z标准。只有具有标签目的A的POD才能解析域B。

策略示例

让我们看两个典型的Kubernetes资源Cilium规则示例(来源于ISOVALUTE的网络策略文档)。首先,第3/4层示例演示了Cilium对端点控制流量的"角色"的理解。

云防护_网站防护多少钱_3天试用

标签依赖第4层规则[来源]

热门推荐
  • cc攻击防御_cdn高防什么意思_快速解决

      Web应用程序编程接口(webapi)是我们数字化生活的重要组成部分。它们提供了使web和移动应用程序能够提供动态内容和最新的......

    04-17    来源:长虹华伟

    分享
  • 阿里云高防ip_香港高防cdn节点_怎么防

      FacebookTwitterLinkedIn分享这个星期四,我将给ISSA的奥斯汀分会做一个演讲。摘要是:本次互动演示将介绍web应用程序安全行业的......

    09-24    来源:长虹华伟

    分享
  • ddos盾_防cc攻击拦截代码_怎么防

      弗吉尼亚州福尔斯彻奇2015年1月26日诺斯罗普格鲁曼公司(纽约证券交易所:NOC)任命Heather M.Crofford为其企业共享服务(ESS)组织......

    11-12    来源:长虹华伟

    分享
  • cdn高防_服务器安全防护设备_免费试用

      弗吉尼亚州福尔斯彻奇——2016年12月8日——诺斯罗普格鲁曼公司(纽约证券交易所:NOC)宣布已选举德州农工大学布什政府与公......

    11-14    来源:长虹华伟

    分享
  • cdn高防_ddos高防ip阿里云_免费测试

      我们之前讨论过今天的孩子们如何同时生活在现实世界和数字世界中。数字部分很重要,太多人认为剥夺孩子的虚拟生活实际......

    02-12    来源:长虹华伟

    分享
  • cc攻击防御_天海神盾游戏租号系统_新用户

      这是我们正在进行的新系列中的第二个,它为您提供了成功部署DMARC所需的技巧和技巧。阅读前面的提示DomainKeys Identified Ma......

    09-02    来源:长虹华伟

    分享
  • ddos高防ip_云盾浏览器下载安装_快速解决

      威胁格局是一种移动的、不断变化的形式,对于不同的组织来说是不同的。对于今天的医疗保健机构来说,网络威胁的清单只......

    02-23    来源:长虹华伟

    分享
  • 防ddos_苹果x高防手机_秒解封

      从这里一切都好起来了网络学院教授员工新技能以填补人才缺口2018年10月,英国兰开斯特大学(Lancaster University)的两名学生......

    10-26    来源:长虹华伟

    分享
  • ddos防御工具_抗ddos攻击解决方案_怎么办

      弗吉尼亚州福尔斯彻奇2014年6月18日诺斯罗普·格鲁曼公司(纽约证券交易所:NOC)周二被费尔法克斯县商会授予"年度杰出企业公......

    11-12    来源:长虹华伟

    分享
  • ddos防火墙_cdn防御ddos效果_怎么防

      加利福尼亚曼哈顿海滩-2015年6月3日-诺斯罗普格鲁曼公司(纽约证券交易所:NOC)其全球航空航天系统部副总裁林斯基被任命为......

    11-10    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。