- 2
- 0
- 约2.94万字
- 约 43页
- 2026-06-11 发布于江西
- 举报
2025年信息安全管理与网络技术手册
第1章网络架构演进与基础安全
1.1云计算与边缘计算环境下的安全架构设计
在构建云原生基础设施时,必须首先划分“计算区”、“存储区”和“网络区”三个物理或逻辑隔离的域,防止横向攻击蔓延。例如,在部署Kubernetes集群前,需使用网络策略(NetworkPolicies)将WorkerNode与Pod之间的通信限制在最小必要端口(如6443和10250)上,仅允许内部组件间通信,任何外部流量均被阻断。针对边缘计算节点,需采用“边缘网关”作为统一的安全入口,所有用户终端流量必须经过网关进行身份验证和规则匹配,严禁直接访问后端核心数据库。具体而言,网关应部署在靠近用户侧的机房,并配置动态IP映射,确保不同用户访问同一边缘节点时,网关能自动识别并应用不同的安全策略。
在微服务架构中,必须实施服务网格(ServiceMesh)模式,通过Istio或Linkerd将流量卸载至Sidecar代理,从而在应用层实现流量加密和细粒度访问控制。例如,所有微服务间调用默认开启TLS1.3加密,且通过mTLS进行双向认证,确保服务间通信链路的机密性和完整性。对于容器编排平台,需配置Pod的安全策略以限制容器运行时的资源请求和权限范围。具体做法是在Pod定义中明确设置`securityCon
原创力文档

文档评论(0)