深耕零信任领域,蔷薇灵动始终坚持不懈创新。作为国内微隔离技术的先行者,蔷薇灵动于12月1日发布“蜂针eBPF防火墙”。这款产品是蔷薇灵动基于eBPF技术打造的全新零信任策略执行点,作为蔷薇灵动蜂巢自适应微隔离安全平台的新一代访问控制代理,再次将数据中心零信任防护能力推向崭新高度,并进一步拓展了微隔离的应用场景和价值。
历经数年探索发展,微隔离技术已成为构建云工作负载基础保护能力和数据中心零信任架构的关键要素。微隔离技术的早期发展阶段主要分为三种技术路径,随着用户需求和市场的自然选择,基于主机代理(Agent)的微隔离逐渐成为业界的首选方案和事实标准。这种技术路径通过在工作负载中安装运行代理程序,驱动操作系统内核的主机防火墙(IPTABLES)来执行安全策略,至今已广泛应用并取得了显著成效。
尽管如此,传统的微隔离技术在持续深化的应用中依然显示出了自身的局限性。具体来说,这些局限性主要集中在两个方面的挑战,一是“可信性”,二是“可用性”。
可信性
在零信任架构中,策略决策点(PDP)和策略执行点(PEP)是达成“零信任”访问的最核心组件。PDP作为策略管理和动态访问控制引擎,负责策略设定和授权决策,而PEP则是具体的策略执行者,为了确保零信任体系和访问控制策略的完整性,PDP与PEP应当在互相受信的情况下开展协同。然而,传统微隔离系统的PEP实现却是“有缝隙”的,尽管运行于工作负载上的主机代理程序均会与上层的策略引擎建立可信连接,但主机代理程序与最终要执行策略的IPTABLES却存在着割裂。IPTABLES并非微隔离系统专属的控制点,这意味着能够使用和编排IPTABLES的不仅仅是微隔离系统,也包括其他应用和用户。在某些场景下,非恶意的用户或攻击者均有可能修改IPTABLES中的规则,并导致微隔离系统下发的策略被绕过。
(NIST零信任架构 )
从另一方面看,“零信任”并非“不信任”,而是一次信任体系的重构,是由“信任IP”到“信任ID”的转型。微隔离也被称作“基于身份的隔离(Identity-based Segmentation)”,指基于工作负载的身份实现微分段划分和访问控制。要实现控制对象的身份化,存在两种技术路径,一是通过在IP之上建立了一个逻辑上的身份层,实现资产与身份间的动态映射,即“身份映射”,另一种是通过在资产或其行为中直接标记唯一特征,即“身份染色”。传统微隔离所依赖的IPTABLES并不具备面向身份的识别和控制能力,因此仅能采用“身份映射”的方案来实现零信任控制。过去的做法是,微隔离的管理平面面向工作负载身份(ID、标签等)定义策略,并由策略引擎将身份策略“翻译”成IP策略,最终下发至IPTABLES中执行。显然,这种方法从全过程身份化来看是“不纯粹”的,因其并未彻底摆脱对IP的依赖,攻击者依然可以仿冒合法IP来欺骗IPTABLES中的微隔离策略。
(身份映射策略模式)
可用性
在蔷薇灵动过去的微隔离实践中,感触最深的莫过于多数用户都会讲的一句话“微隔离有用,但还必须可用”,足以看出“可用性”在用户业务中的分量。在微隔离应用开展的早期,主要的可用性挑战集中在上层的控制面,由于敏态环境对自适应策略计算的实时性要求极高,蔷薇灵动也在此方面做出了大量优化和改进,由此才满足了大型云环境下数万点工作负载统一管理的需求。随着微隔离的应用场景延展至复杂系统、云原生环境,下层的数据面性能瓶颈所带来的可用性挑战开始逐步显露。
不得不说,在工作负载上进行连接学习、策略执行,的确会给工作负载带来额外的资源开销和性能衰减,毕竟IPTABLES作为Linux系统自带的内核功能已是20多年前的产物。事实上,IPTABLES是位于内核空间的NETFILTER网络数据包处理框架在用户态的一个管理接口,从IPTABLES“四表五链”的复杂逻辑即可看出,其并非专为防火墙功能而设计,这意味着一些与访问控制无关的“冗余”功能将带来策略执行的低效率。而更重要的是,IPTABLES内的策略规则必须按照一定的优先级顺序串行匹配,策略条目数越多则执行的延迟和开销就会越大。实验数据表明,当IPTABLES中配置100条策略时,其新建连接速率的衰减将接近10%,而当策略数达到500条时,这项指标的衰减可能高达20%。
(复杂的IPTABLES处理流程 )
那么,在现实场景中是否真的会存在需要对单个工作负载写入几百条策略的情况呢?答案是肯定的。这种场景首先存在于一些多实例配置的应用系统,例如在一个虚拟机上提供大量数据库实例以供不同应用调用,其白名单策略即便经过优化和汇聚,数量也会维持在高位。而另一个更为普遍的场景则是在容器环境,一个Node节点上往往有超过100个Pod共存,若要实现Pod级的精细化控制,意味着Node节点不得不维护一张规模巨大的策略列表。在这些场景中,IPTABLES的性能表现对于很多业务都是难以接受的。
而在容器环境下,对可用性造成灾难性影响的还包括更具挑战的因素。首先,业务容器批量发布上线、扩缩容的情况高频发生,对应的策略必须及时更新至IPTABLES中,而IPTABLES的策略写入需通过Command接口完成,无法支持批量的策略操作,这使得大量策略下发时的耗时较长。而更糟糕的是,容器环境下依赖IPTABLES的组件和应用更多,例如K8S的Service、Kube-Proxy等同样需要向IPTABLES写入规则,它们极易与微隔离系统“争抢”对IPTABLES的操作权限,而争抢失败的一方则必须等待其他的策略操作完全执行完毕后才能开始任务。实际运维经验表明,在规模较大的容器场景下,有时微隔离策略分发和写入需要等待的时延甚至达到了“分钟级”,这对于强调业务敏捷发布的云原生架构是无法接受的。
由此看来,以上种种问题的焦点集中在了微隔离的策略执行点上,抛弃IPTABLES并重构一个更快、更安全的主机防火墙成为唯一的技术选择。“蜂针”便是在这样的背景下设计研发的,正如其命名一样,“蜂针”将成为蔷薇灵动解决微隔离“最后一公里”问题的关键性创新。
“蜂针”的设计研发充分考虑了零信任架构和微隔离应用场景中的可信性和可用性要求,在基于eBPF技术构建的高性能内核态处理架构基础上,实现了身份染色、高性能策略匹配、批量化策略编排等创新特性,为用户提供了三大核心能力。
独立可信的主机防火墙
蜂针是一款完全独立于Linux系统内核功能的主机防火墙应用,其以蔷薇灵动成熟的蜂后安全计算中心(QCC)为唯一的管理入口,与QCC建立双向认证的管理连接,采用专有的接口和通道进行数据交互,实现了微隔离系统管理平面和数据平面的彻底分离和完整互信。
由于蜂针的运行摆脱了对IPTABLES的依赖,因而彻底解决了IPTABLES策略篡改、冲突的问题,实现了其策略完整性和有效性的完全保障。同时,蜂针的“独立性”也使微隔离系统规避了与其他平台组件、应用抢占IPTABLES操作权限的可能,从而确保策略可被实时分发和写入,且免受其他应用的干扰。
(独立于IPTABLES的策略执行 )
当然,蜂针并非是一个完全“封闭”的系统,在其设计中预留了完整而安全的操作接口,完全能够支持与第三方的策略管理平台、安全管理中心等集成,并充分发挥其高性能零信任策略执行的优势。
基于ID的零信任微分段
蜂针是一款面向零信任网络而构建的主机防火墙应用,不但能够执行基于IP的策略,也创新性的实现了完全基于ID的访问控制,这种模式的优势在于访问控制策略可以完全不依赖IP,从而在可信访问的场景中有效排除了IP仿冒欺骗策略的问题。
具体来说,每一个运行在工作负载上的蜂针均会被分配一个代表唯一身份的Token,当启用ID策略后,访问源侧的蜂针会在出站报文中嵌入标识其身份的认证信息,而访问目的侧的蜂针在收到入站报文后对认证信息进行反向校验,从而确认访问源的身份及合法性。
(通过蜂针实现基于ID的访问控制 )
事实上,蔷薇灵动微隔离平台一直以来都构建和维护了一个面向工作负载的非人实体(NPE)身份空间。在过去,这个身份空间仅作用于策略定义的过程,而随着ID策略的功能实现,身份的作用范围拓展到了策略执行的过程,蔷薇灵动微隔离平台实现了从管理平面到数据平面的全身份化。
高性能策略分发及执行
蜂针是一款为适应大规模云原生环境而设计的主机防火墙应用,通过架构、机制、算法等的针对性设计,其在大规模策略分发和执行时,能够实现远超IPTABLES的性能表现。
首先,蜂针并非像IPTABLES那样通过命令操作实现策略配置,而是通过API与QCC建立起高速管理通道,在大规模的策略需分发时,QCC能够将多组策略更新统一封装至一个“配置数据块”,并一次性推送至蜂针执行,从而实现了策略的批量操作。实验表明,在向相同容器集群更新10000条策略时,蜂针的耗时仅为“数秒”,而在过去,即便排除了操作抢占的干扰,IPTABLES要写入如此体量的策略也至少需要“数十秒”。
蜂针的另一大创新,是彻底摒弃了传统防火墙按先后顺序串行匹配策略的低效方式,而是采用了一种独特的哈希映射方式,系统能够将待处理连接的五元组信息提取,并基于哈希索引快速匹配相对应的策略。这种方式的策略匹配效率几乎不会受到策略条目数的影响,在大规模策略执行场景下,网络性能大幅领先于IPTABLES。经实验验证,在100条策略的情况下,蜂针相较IPTABLES的新建连接速率提升达40%,而对于策略规模更大的高密度云原生环境,该项指标的提升可超过100%。
(IPTABLES和蜂针的性能对比 )
防火墙系统的底层架构是一个“古老”而“永恒”的话题,内核态在执行网络控制和转发时无疑具有最优的效率,但其功能却难以得到扩展,制约了复杂需求的满足。网络型防火墙可以通过DPDK技术或纯用户态的协议栈构建,将网络和防火墙功能“迁移”至用户空间执行,从而实现功能和性能的最优平衡。而主机型防火墙却因软件适配、资源开销等多方面挑战,无法复用这个方案。
eBPF技术的兴起为构造一个更快、更安全的主机防火墙提供了可能,蜂针通过诸多创新所实现的能力跃升,归根结底与eBPF技术的应用密不可分。在没有eBPF技术之前,应用软件若需实现超越系统内核功能之外的能力,必须基于运行于用户空间的程序完成,这会极大损失应用的性能,而eBPF的技术红利在于能够充分发挥在内核空间安全编程和高效运行的优势,使蜂针兼具丰富特性和高性能。
以“ID策略”功能的实现为例,事实上在蜂针问世之前,除“身份映射”方式外,蔷薇灵动微隔离平台便已经同时具备了身份染色和面向ID控制的能力,但效率并不理想。在之前实现方式下,身份策略必须首先将原始流量由内核空间拷贝至用户空间,利用用户态程序对报文进行ID插入,然后再重新将具有ID标识的流量拷贝回内核空间完成转发,而在访问目的一侧,同样需要进行类似的操作来实现ID的解封和校验。如此频繁的数据拷贝,加上用户空间和内核空间固有的I/O限制,无疑会使身份策略的处理时延大增,这也导致了在过去这项“真正意义”上的零信任能力仅能在一个较小的范围内使用。与此不同,蜂针实现了纯内核态的ID插入、验证和策略执行,免去了将流量在内核和用户空间来回拷贝的繁冗处理流程,相较传统的用户态实现达到了超过100%的性能提升,使得ID策略在全网范围内启用成为可能。
事实上,eBPF除了能够带来网络能力的显著提升外,在观测、跟踪、性能分析等方面同样具备丰富的特性和性能优势,这也为蜂针后续的创新和演进提供了无限潜力。
伴随蔷薇灵动在过去的实践,蔷薇灵动微隔离平台已经构建起了一个功能完备、性能可靠、适应性强的策略管理平面,打造出了一个极具竞争力的零信任策略决策点。本次蜂针的发布,又为用户带来了一个更加安全可信、性能卓越的策略执行点,不但解决了传统微隔离的“最后一公里”问题,也在零信任架构拼图中补强了数据平面所应具备的能力。
在功能和性能俱佳的“强强组合”下,蔷薇灵动微隔离平台的适用场景得到进一步拓展。
✅ 首先,从零信任的安全目标出发,策略应覆盖所有实体和资源,因此微隔离的应用场景不应像从前那样被限定在云化环境。事实上,在国内很多关键领域的用户网络中,越是核心关键的系统,越会采用传统的部署架构,他们并不具备敏态弹性的特点,但他们更加需要建立“可信”的防护边界和访问控制能力。在这个场景中,蔷薇灵动微隔离平台提供的高性能ID策略功能,能够在用户的数据中心内部建立一张完全基于身份的零信任网络,有效应对策略篡改、IP仿冒等攻击方式,为域内主机横向访问提供可信保障。
✅ 第二,不同于过往,微隔离部署时无需再刻意“躲避”那些访问流量超大、访问关系复杂、策略规则巨多的主机,蜂针实现了远超内核功能的连接学习、策略匹配性能指标,完全能够确保高压情况下的性能表现。
✅ 第三,蜂针的诸多特性使蔷薇灵动微隔离平台能够更好的满足和平衡高密度容器云场景中的网络挑战。平台彻底规避了与K8S争抢策略操作和执行的情况,能够与容器敏态变化同步完成高效率策略分发,并始终保持单主机大规模策略执行的高性能,这些特性使微隔离能够真正在大规模的云原生环境中有用、可用。
作为零信任技术领域长期主义者,蔷薇灵动本次发布“蜂针eBPF防火墙”,距离今年10月推出“知心东西向网络数据分析平台”仅仅过去了不到两个月,充分表明蔷薇灵动正在加速响应用户和市场需求,并通过多线技术创新持续补强其零信任安全能力。
相关链接
关于蔷薇灵动
北京蔷薇灵动科技有限公司(简称蔷薇灵动)成立于2017年1月,专注于网络安全领域微隔离技术的前沿探索与研究,凭借专业的产品与服务为用户提供数据中心流量安全管控解决方案,是国内零信任技术领域长期主义者。
应用场景
标杆用户
联系我们
产品试用
渠道合作
资料下载
产品咨询热线:400-069-8066转1
