腾讯自研的主机入侵检测系统(HIDS)“洋葱”,在上云过程中所面临的架构演进挑战和实践,是当前云计算领域安全研究的热点问题。在介绍了“洋葱”系统和业务发展的背景后,文章详细说明了当前架构面临的问题,并给出了上云改造的目标、思路和方案。下面,我将根据给定的内容,详细解析这些关键知识点。 “洋葱”系统作为腾讯自研的HIDS,其主要功能包括实时采集服务器上的行为数据,并进行实时关联分析和存储。该系统支持公司所有的服务器、虚拟机和容器入侵防护和漏洞检测。自2007年研发至今,“洋葱”经历了多代迭代和功能完善,以满足不断增长的服务器安全需求。随着云计算时代的到来,业务资产增加和数据量增长,原有的后台架构已经无法适应新的业务需求,因此“洋葱”后台系统需要进行改造以拥抱云原生技术。 针对当前后台系统存在的问题,文章列举了四大主要矛盾和突出问题: 1. TCP协议连接后台导致的负载均衡问题。 2. 大数据量下后台容量不足引起的超时雪崩问题。 3. 高耦合性的服务模块难以进行平行扩缩容。 4. 缺乏DevOps导致的开发和运维效率低下问题。 为了解决这些问题,并满足性能、稳定性和研发效能的提升要求,文章提出了上云改造的目标与思路。在这个过程中,面临两种选择:一是直接容器化现有业务程序,二是按微服务方式拆分和重新设计服务。经过评估,作者团队最终选择了第二种方式,原因在于微服务拆分后的系统更易于维护、开发效率更高,虽然前期改造工作量大,但长期看投入是值得的。 上云方案包括服务的无状态化改造和微服务拆分,通过容器化封装服务,并使用Kubernetes(K8S)进行编排部署,从而实现业务上云。利用K8S的服务编排能力,可以合理配置Pod资源使用,实现服务的自动扩缩容,从而优化了运维方式,减少了人工干预。 在安全方面,“洋葱”系统的演进涉及了多方面的安全知识,包括安全研究、安全分析、数据安全、金融安全和端点安全等。这些安全领域是当今企业信息化过程中所关注的焦点,它们之间相互关联,共同构成了企业信息安全的防护体系。 安全研究领域中,“洋葱”系统的研究和实践可以看作是安全研究的一个缩影。企业通过自研安全产品,结合最新的技术趋势进行改进和优化,以此提升自身在安全领域的竞争力。 在安全分析方面,通过分析系统架构中可能存在的安全风险和漏洞,可以提前采取措施,进行风险预防。例如,“洋葱”系统通过实时关联分析,及时发现并响应潜在的安全威胁。 数据安全是信息安全的核心,它包括数据的收集、存储、传输和处理过程中的安全保护。“洋葱”系统在数据采集和存储方面做了大量工作,确保数据在传输过程中不被非法截取或篡改。 金融安全涉及保护金融系统和交易不受外部攻击或内部滥用的影响。在金融系统中,安全性的提升尤为重要,因为这些系统经常处理大量敏感信息。 端点安全主要关注保护网络中的每个端点,以防止未经授权的访问。在“洋葱”系统中,每一个客户端agent都是一个端点,其安全性直接影响到整个系统的安全。 腾讯自研的“洋葱”系统在上云架构演进过程中所面临的挑战和解决方法,涵盖了云原生安全、信息安全研究和安全实践的多个方面。通过对企业自身安全产品的不断迭代和创新,以及对云原生技术的深入应用,可以为企业的信息安全提供更加强大和灵活的保障。
- 粉丝: 2262
- 资源: 8292
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助