【网络工程】网络隔离与微分段:VLAN、SDN 策略与零信任
网络隔离是安全架构的基石。本文从传统 VLAN 的 4096 限制、VXLAN 的 Overlay 隔离机制、SDN 下的 Calico/Cilium Network Policy 工程实践、微分段的设计方法论,到零信任网络架构的分段策略,系统讲解从物理隔离到软件定义隔离的演进和工程落地。
zero-trust 标签归档
共 6 篇文章 · 返回首页
【网络工程】mTLS 工程实践:服务间双向认证
mTLS(双向 TLS)在微服务架构中实现服务间的身份认证和通信加密。本文从工程角度剖析 mTLS 的握手流程差异、证书分发的三种模式、SPIFFE/SPIRE 的标准化身份框架,以及 Istio 和 Linkerd 中 mTLS 的实现原理。覆盖性能开销测量、调试方法和大规模部署的证书轮换策略。
【系统架构设计百科】零信任架构:不信任网络边界的安全模型
VPN 解决的是'谁能进入内网',但进入之后的横向移动几乎不受约束——这正是近年来大规模数据泄露事件的核心攻击路径。零信任架构(Zero Trust Architecture)将安全判定点从网络边界下沉到每一次请求,通过 mTLS、SPIFFE/SPIRE、持续身份验证和微分段实现'永不信任,始终验证'。本文从 BeyondCorp 模型出发,拆解零信任的核心组件、工程实现和选型取舍。
【Kubernetes 网络深度系列】Network Policy 入门到精通:不只是 YAML 游戏
从默认放行到零信任白名单,NetworkPolicy 的实现原理、策略模式与 CRD 扩展
【Kubernetes 网络深度系列】Cilium 身份识别与零信任网络
从 IP-based 到 Identity-based 安全,Cilium 零信任网络架构的实现与落地
【Kubernetes 网络深度系列】Kubernetes 网络的未来:趋势、挑战与架构师指南
四大趋势、AI 工作负载挑战、架构师决策矩阵,以及 K8s 网络的知识图谱