目前网络流量分析(NTA)解决方案的流量信息收集主要集中在用户到数据中心的数据通道上,比如在物理链路上做流量镜像,接入物理TAP,WOC设备,门户网关,负载均衡器,NGNIX,第三方防火墙或者应用防火墙WAF等设备上收集数据流量及日志信息。
而此类日志主要集中在南北流向和Web流量中。对于数据中心内部的东西向流量,以及K8S集群内部微服务之间交互的东西向流量可能成为解决方案的盲点。
同时,对于一些K8S集群内加密流量的处理可能会有一定可视性问题,导致传统网络流量分析(NTA)解决方案无法监控最重要的业务交互流量。
借助于雅客云赤岩石vTap模块,可以为网络流量分析解决方案解决东西向流量可视性的问题,在K8S集群里为需要监控的业务接入vTap模块,可以把该业务的东西向流量镜像出来并导入到流量分析设备(NTA)做流量分析,并且借助安全模块对主机系统及K8S上下文的感知能力,为网络流量分析解决方案提供更细粒度的信息。
我们的网络收集器支持:
把容器、K8s节点间的东西向流量,镜像到流量分析系统中,同时提供基于容器和K8s的流量上下文(例如目标流量的容器信息,比如容器内进程、容器镜像、开发者等等),集群里容器的IP地址是动态变化的,因此参考意义有限,然而提供流量上下文信息可以给流量分析设备提供更细粒度的流量报告,让用户可以把有问题的流量精准地定位到有问题的容器/镜像,帮助用户从源头解决根本问题,实现云原生环境强调的安全左移。
对于实现了Service Mesh层的容器, 我们的收集系统可以镜像解密后流量,给流量分析系统提供明文数据增加可视性。
如果在K8S节点部署我们的容器沙箱,把我们自己的分析(僵木蠕,病毒文件,攻击等)日志也同时提交给流量分析系统参考,提供更丰富的安全报告,用户对自己的资产有更细致的风险评估依据。
我们的云原生网络方案,支持链接级的流量强制能力,包括阻断、转发和镜像禁用,隔离有问题的容器等操作。对此类操作可以提供标准API接口。对于流量分析系统的分析结果,用户可以下发通过分析结果所产生的流量强制和控制策略到赤岩石主控台引擎实现安全管控。
总结下来,部署雅客云的vTap,可以让传统网络监控解决方案同时把K8S集群东西向的流量监管起来,解决东西向流量盲点的问题,让网络分析设备对全网的流量有整体的感知能力,并根据我们提供的流量上下文信息,更精准的定位问题,实现安全左移。