对于东西向流量(比如有横移风险),那依靠微隔离手段采集流量数据是否会大幅度影响容器本身的性能?除微隔离外还有无其他手段应对东西向流量收集?
收起专门的流量监控设备(例如IDS),通常被应用在关键出入口位置,监控南北向流量,而很少用于监控东西向流量。原因是东西向流量过大,投入产出比不高,是的,做安全建设一定会考虑安全建设的成本与防护的资产价值、发生风险的概率之间的关系。
在容器安全建设中,通常会部署一个平行的防御容器对所在节点的其他业务容器进行监测,对检测到的各类入侵进行告警,包括端口扫描、上传恶意文件、反弹shell、逃逸、提权等,这其中也包括了横向移动时的攻击方式。入侵检测的数据源可以是容器内的进程执行、文件读写,也可以是网络流量,但如果实时分析网络流量,可能使得防御容器比较占资源,所以我了解的几家容器安全厂商是以分析进程执行和文件读写为主,这样处理的另外一个原因是网络流量最终落地时还是会映射到进程执行和文件读写上。虽然不全面,但这是平衡后的结果。
另外,问题本身可能有几个误解,一并解释。
1)流量数据的采集会消耗资源,但因为容器提供了资源限制的机制,所以如果给定的资源是确定的,防御容器可能会OOM,但不会影响到业务容器的性能;
2)微隔离和流量采集没有必然关系,微隔离更多是强调访问控制机制,允许或禁止容器之间的互相访问,即使没有流量采集也可以由管理员直接设置相应策略。而即使不提供微隔离功能,入侵检测功能也可以 采集网络流量作为风险判定的数据源。
希望能帮到题主。