近年来数据安全相干政策制度陆续推出,数据安全和隐衷爱护相干政策体系也在不断完善。保障数据安全下的数据凋谢与服务能力未然成为以后行业倒退热点。在数据安全法正式通过后,保障数据安全合规应用成为以后企业用户的一大需要。本篇文章将为您讲述星环科技大数据根底平台 TDH 是如何基于 Overlay 网络架构为用户提供全链路的数据安全爱护能力。
业务背景
传统的网络安全概念建设在边界平安的框架之上,须要找出网络的平安边界,并将网络划分为外网和内网等不同区域。但前提是网络外部是平安可信的,一旦攻击者冲破进攻进入内网,整个网络的平安防护就失去了效用。零信赖理念的提出将公共和私人网络的边界打消,它认为整个网络是不可信的,不信赖任何用户、设施终端和数据,在进入网络拜访资源之前须要进行肯定的身份认证和受权。然而,并非每个企业都领有施行零信赖网络的能力,企业必须领有大量的估算、人力、资源和工夫来开发,构建、保护零信赖网络架构。随同着互联网的高速倒退,数据流量出现暴发增长的趋势,不同类型的数据流量也具备不同的性能要求。并且,数据流也在减少控制器的负载,在高流量负载的状况下,可能会呈现丢包或显著提早。上述这些个性给目前网络架构带来效率低、可扩展性差、安全性较弱、保护艰难等问题。
软件定义网络是一种新兴的网络架构,由应用层、管制层和基础设施层组成。它将网络设备的管制和数据转发层解耦,引入了一种更灵便的形式来治理具备高度可编程性的网络流量 –Overlay 网络技术。Overlay 指的是在网络架构上叠加的虚拟化技术模式,该技术采纳细粒度的软件定义流量管制来实现网络的安全性和可控性。通过应用 Overlay 技术,企业能够实现利用在网络上的承载并充沛具备大规模扩大以及负载平衡的能力,不受物理网络设备的多种限度。比方,该技术能够做到在物理 IP 变更的状况下,不扭转虚构 IP,不影响对 IP 敏感的零碎等等。基于 Overlay,企业能够实现容器跨主机通信,数据传输等操作。然而,在 Overlay 网络上实现的多租户数据架构存在肯定的安全隐患,比方共享数据服务器中的敏感数据存在裸露给歹意攻击者或竞争对手的危险。因而,网络安全管控至关重要。
TDH 基于 Overlay 网络架构全方位爱护数据安全
**Transwarp Data Hub(TDH)是星环科技自主研发的一站式多模型数据管理平台,采纳了翻新的多模型技术架构和对立的数据管理,能够构建服务于整个企业的对立数据资源库,彻底突破不同部门间的数据隔膜,使得部门间的数据灵便调用有了技术撑持,无效升高了用户的开发成本以及运维老本。
TCOS 是星环科技推出的一款联合大数据技术与容器技术的云原生操作系统,通过零信赖技术构建平安根底能力来实现隐衷计算安全区,撑持大数据服务进行联邦学习与可信计算时对计算平安、数据安全、网络安全的需要。基于 TCOS 容器层的身份认证与权限管控机制,星环科技大数据根底平台 TDH 采纳 kubernetes Overlay 网络技术实现了网络层面的管控,保障了集群外部网络和内部网络安全可控的拜访权限管制,该模型不仅升高了用户应用网络进行访问控制的难度,还进步了数据中心网络的可用性、安全性和可靠性。为了无效扼制安全隐患以及数据泄露危险,TDH 在数据生命周期的各个阶段进行全链路敏感数据动静感知与防护,包含备份和复原计划,数据清理计划,数据销毁工作流程,介质的应用、转储、送修、销毁及对存储环境进行分级管理,全方位地实现数据安全治理的标准化、智能化。通过 TDH 对立的数据拜访接口,用户无需再思考底层数据库、平台的 SQL 语法、存储地位和拓扑,极大地晋升产品易用性。**
平台内的平安爱护能力
采取存储加密、权限控制策略,确保数据安全可控
云计算能够依据用户的须要提供计算能力或数据存储等计算资源。其劣势在于租户能够通过网络获取到有限的资源,且不受工夫和空间的限度。因而,云计算能够提供一种灵便的形式在多个租户之间无效地共享数据。然而,敏感数据在公共云中存储和解决很容易带来数据安全隐患,而且多租户数据架构也存在数据裸露给商业竞争对手或歹意攻击者的危险。为了反对云计算环境中平安高效的数据共享,并确保数据存储与通信的平安,TDH 反对用户在数据写入存储介质前将数据进行加密,从而实现数据的存储加密,最大水平的确保数据的机密性与安全性。并且,TDH 通过采纳平安传输协定提供了一个加密的通信流,对客户端和服务器进行加密和验证,确保数据发送到正确的客户端和服务器并避免数据传输中途被窃取或被篡改,保护了数据的完整性。
此外,为了保障集群的平安,更好的认证和受权服务成为刚需。TDH 提供对立的安全控制和资源管理的地方服务组件,实现了细粒度权限管制和租户治理性能,保障内网的安全性。通过严格的权限管制性能,平台对各方数据交换和运算过程进行爱护,避免数据泄露和逆推。
具备可信计算能力,预防恶意软件、网络攻击、配置谬误所引发的安全隐患
用户在应用云平台时,经常会遇到以下危险:
恶意软件:容器镜像运行时可能携带不受信赖的软件,甚至是恶意软件;
网络攻击:容器引擎自身配置不当或被操纵,可能会引入破绽;
配置谬误:谬误配置的程序,没有启用平安个性以及与平安相干的最佳配置来配置产品的运行参数,最终导致有安全漏洞
因而,TDH 平台基于可信计算能力验证容器引擎的完整性及其运行时的配置,以确保歹意用户无奈利用容器引擎自身获取主机权限。其对主机操作系统自身也进行了验证,尽可能的限度歹意用户对软件以及不平安的配置对宿主机进行攻打。TDH 通过采纳可信计算架构针对各种软件问题提供弱小的爱护,避免软硬件与数据因偶尔或歹意的起因而蒙受到毁坏、更改、裸露。由此,用户能够平安地存储和操作敏感数据。
利用基于容器技术的隔离,预防容器逃逸危险
多个容器之间应用的是同一宿主机的操作系统内核,容器的隔离性很弱。不足与主机的隔离可能会减少被攻打的可能性,任何恶意代码都可能扩散到其余容器和底层操作系统。主机上存在隐患的容器也可能会危及其余容器的平安,从而危及整个零碎。所以多个容器共享主机资源的多租户容器基于云的零碎很容易受到信息透露等威逼。当攻击者通过利用层面破绽进入容器内,如果不进行彻底的隔离,一旦产生容器逃逸问题,则宿主机的数据很容易被攻打获取。TDH 利用基于容器技术的隔离,避免产生容器逃逸等危险隐患,爱护整个零碎的机密性、保密性、完整性以及可用性。
提供丰盛组件,全方位爱护数据隐衷
TDH 创立了平安、可控、有迹可循的软硬件数据拜访环境,作为平安治理的外围根底,均衡了保密性与可用性,保障了网络信息安全。平台还对数据隐衷采取了一系列的平安伎俩杜绝其泄露和被滥用的危险。
例如,大数据安全治理组件 Transwarp Guardian 为 TDH 提供集中的平安和资源管理服务。它反对 LDAP 和 Kerberos,能够爱护集群免受歹意攻打和平安威逼,而且还能够对资源做细粒度的 ACL 管制以实现网络访问控制,保障内网的安全性。在 Guardian 的平安爱护下,所有的应用服务都能够借助 Kerberos 实现数据加密,或者通过 LDAP 实现身份验证,减少企业级安全性并进行对立的数据权限管控。此外,Guardian 还实现了租户级别的资源管理,其通过图形化工具为用户提供权限配置以及资源配置接口,全方位提供平安爱护。
下图列举了 TDH 在数据生命周期各阶段所采取的伎俩:
随着越来越多的终端设备退出网络,数据交互和资源拜访也越来越频繁,网络安全逐步成为热点话题。星环 TDH 具备基于零信赖技术构建的平安根底能力,其在 kubernetes Overlay 网络上自定义平安数据拜访模型,并提供基于用户和角色的权限访问控制性能,减少企业级安全性并进行对立的数据权限管控。TDH 配套的 Transwarp Aquila、Manager、Audit、Guardian 等工具组件也让零碎的装置部署、扩容降级、平安防守、危险告警、权限治理等工作变得更便捷,不仅可能减小运维人员的操作难度,也能让企业管理人员更轻松的管控数据拜访权限,防止各类数据安全问题。