科技云報道原創(chuàng)。
2011年,Netscape創(chuàng)始人馬克·安德森一句“軟件正在吞噬世界”掀起熱浪;7年前,OpenStack基金會創(chuàng)始人Jonathan Bryce加上了定語:“世界的一切源于開源”;而隨著云計算概念清晰以及廣泛應(yīng)用,“云原生”成為了最大的機遇。
如今,國內(nèi)云原生同樣進入深度落地實踐,并在數(shù)字時代顯示出所未有的新價值。毋庸置疑,云原生被認為是云計算最重要的發(fā)展方向,它不僅是云服務(wù)商們在技術(shù)上的角力點,更成為企業(yè)數(shù)字化轉(zhuǎn)型和上云的必經(jīng)之路。放眼當下,從“上云”向“云原生”演進,全球都在深度參與并見證一場云原生的技術(shù)變革。
云原生帶來劃時代改變
在云計算進入到發(fā)展成熟期之時,云原生作為新基建支撐數(shù)字化轉(zhuǎn)型的重要技術(shù),逐漸在AI、大數(shù)據(jù)、邊緣計算、5G等領(lǐng)域嶄露頭角,成為數(shù)據(jù)驅(qū)動業(yè)務(wù)場景的強大引擎。IDC 預測,到2022年,90%的新企業(yè)應(yīng)用程序?qū)⑹褂迷圃鷳?yīng)用程序開發(fā)流程、敏捷方法論和API驅(qū)動架構(gòu)。根據(jù)一份調(diào)查報告,全球有大約650萬活躍的云原生開發(fā)者,約有400萬開發(fā)者使用無服務(wù)器架構(gòu)和云方法?,F(xiàn)在92%的組織在生產(chǎn)環(huán)境中使用容器。
云原生主要為行業(yè)帶來了三個方面的改變。
首先,云原生技術(shù)從單一容器技術(shù)發(fā)展到龐大的云原生技術(shù)群。云原生因容器而興起,隨后在容器、微服務(wù)、DevOps三大核心技術(shù)的推波助瀾下,迅速朝著全棧化技術(shù)體系發(fā)展。
其次,云原生的行業(yè)應(yīng)用從互聯(lián)網(wǎng)發(fā)展到千行百業(yè)。在云原生早期市場,互聯(lián)網(wǎng)企業(yè)是云原生技術(shù)應(yīng)用的主力軍。最近幾年,政府、金融、制造等傳統(tǒng)行業(yè)用戶也明顯加快了使用云原生的步伐,云原生開始在各大行業(yè)落地生花。
第三,云原生思維由單點技術(shù)思維發(fā)展到系統(tǒng)性產(chǎn)業(yè)思維。云原生誕生之初,是以容器技術(shù)為基礎(chǔ),在微服務(wù)治理、DevOps、CI/CD等一系列方向優(yōu)化應(yīng)用交付的思想理念,其核心目的是讓應(yīng)用開發(fā)、部署、運維更簡單。
如今,隨著云原生在各個行業(yè)業(yè)務(wù)場景中的深入應(yīng)用,云原生的思維方式也日趨形成共識,即從以往的單點技術(shù)思維發(fā)展到系統(tǒng)性的產(chǎn)業(yè)思維,云原生開始嘗試全面覆蓋業(yè)務(wù)的基礎(chǔ)設(shè)施、應(yīng)用、數(shù)據(jù)、安全等各個方面,以滿足行業(yè)客戶的數(shù)字化轉(zhuǎn)型需求。
云原生架構(gòu)引入新風險
雖然好處十分明顯,但云原生架構(gòu)也引入了各種新型安全風險和潛在的漏洞源?,F(xiàn)有的應(yīng)用程序安全性方法并不是針對新范式設(shè)計的。相反,DevOps團隊需要一種新的方法來幫助他們更好地識別潛在風險,并使它們能夠?qū)⒙┒垂芾砑傻介_發(fā)和交付流程中。
早期,軟件開發(fā)被認為是一個線性過程,但云原生架構(gòu)的興起導致了高度動態(tài)的應(yīng)用程序環(huán)境。在這里,變化是唯一不變的。根據(jù)研究,61%的組織認為他們的環(huán)境每分鐘或者更短時間就改變一次。云原生、基于容器的環(huán)境的動態(tài)特性,以及跟上敏捷開發(fā)速度的需要,使得檢測漏洞和管理應(yīng)用程序安全更加困難。
根據(jù)一份調(diào)查報告,在2020年上半年期間,每天有160起針對蜜罐的攻擊。其中95%的攻擊旨在劫持資源,而5%的攻擊旨在發(fā)起網(wǎng)絡(luò)拒絕服務(wù)攻擊。這個研究還表明,微服務(wù)、容器和Kubernetes為89%的CISO創(chuàng)建了應(yīng)用程序安全盲點。
?
云原生安全有何不同?
那么,云原生安全相比傳統(tǒng)安全又有何不同呢?其實,云原生安全并不獨特,傳統(tǒng)環(huán)境下的安全問題在云環(huán)境下仍然存在,比如DOS攻擊、內(nèi)部越權(quán)、數(shù)據(jù)泄露、數(shù)據(jù)篡改、漏洞攻擊等,但由于云原生架構(gòu)的多租戶、虛擬化、快速彈性伸縮等特點,對傳統(tǒng)安全的某些層面提出了新的挑戰(zhàn)。
如果要用一句話總結(jié)傳統(tǒng)安全與云原生安全的不同,那可以概括為:傳統(tǒng)安全更重視邊界防護,而云原生安全更重視持續(xù)安全。這也讓傳統(tǒng)的安全實踐根本不適合這種環(huán)境。事實上,云原生架構(gòu)從根本上破壞了應(yīng)用程序的安全性。傳統(tǒng)的安全漏洞管理方法無法跟上這些動態(tài)環(huán)境,因為傳統(tǒng)方法只能提供單一時刻的靜態(tài)視圖,這使得它們的效率越來越低,并且容易出現(xiàn)盲點。
如何保護云原生應(yīng)用?
當涉及云原生應(yīng)用程序時,安全性不能是事后諸葛亮。安全性必須集成到持續(xù)集成和持續(xù)開發(fā)流程中,而不是依賴于固定的解決方案和方法。采用基于風險的方法至關(guān)重要,但這并不是完整的解決方案。
一個完整的解決方案將這與各種其它安全層結(jié)合在一起,這些安全層超越了檢測和評估,而轉(zhuǎn)向了補救或緩解。這些措施包括安全左移、應(yīng)用邊界安全、貫徹最小角色和最低權(quán)限、安全共擔等。
安全左移許多企業(yè)依然在使用已有的工具,卻無法處理云原生應(yīng)用環(huán)境的速度、規(guī)模和動態(tài)網(wǎng)絡(luò)。如果再加上無服務(wù)器功能,會讓整個基礎(chǔ)設(shè)施變得更抽象,讓問題更嚴重。網(wǎng)絡(luò)攻擊者會尋找容器和無服務(wù)器代碼中的隱患,以及云基礎(chǔ)設(shè)施中的錯誤配置,以接入包含敏感信息的實體,再用它們提升權(quán)限,攻擊其他實體。另一個問題是企業(yè)在用CI/CD工具持續(xù)開發(fā)、測試和發(fā)布應(yīng)用。當使用容器部署云原生應(yīng)用的時候,開發(fā)者會從本地或者公共庫當中獲取鏡像,但一般不會檢查這些鏡像是否包含安全隱患。
一種解決方案是給安全團隊提供一些工具,阻止不受信任的鏡像進入CI/CD管道,以及啟用一些機制讓不受信任的鏡像在進入生產(chǎn)前就避免產(chǎn)生安全問題。通過在開發(fā)流程早期掃描鏡像的漏洞、惡意軟件成分等,開發(fā)者可以貫徹安全標準。
應(yīng)用邊界安全一個很重要的方式是使用為云原生環(huán)境而制作的API和應(yīng)用安全工具。除此以外,一個很普遍的操作是在功能級別使用邊界安全——識別功能是否被一個和平時不同的來源所觸發(fā),然后監(jiān)控事件觸發(fā)中存在的異常情況。
在容器化環(huán)境里,一個重要點是在不同級別都要實現(xiàn)安全——編排控制面板、物理主機、pod和容器。編排的一些最佳安全實踐包括節(jié)點隔離、限制和監(jiān)測容器之間的流量、以及對API服務(wù)器使用第三方認證機制。
最小角色與最低權(quán)限云原生資源之間會有大量頻繁的交互。如果能夠?qū)γ總€無服務(wù)器功能或者容易都能配置一些獨特的許可,就能有極大概率提升安全性??梢酝ㄟ^基于每個函數(shù)使用IAM,或者對容器進行顆粒度的許可,加強接入控制?;ㄒ稽c時間創(chuàng)建最小角色,或者為每個函數(shù)或容器創(chuàng)建一系列的許可。這就確保了即使云原生結(jié)構(gòu)中有一個點失陷,其造成的危害也是最小的。
安全共擔在開發(fā)者、DevOps和安全團隊之間建立親密的關(guān)系。開發(fā)者并不是安全專家,但他們可以被教育安全操作知識,從而確保他們可以安全地編寫代碼。安全團隊應(yīng)該知道應(yīng)用是如何開發(fā)、測試和部署的,還有哪些工具在流程中被使用,從而安全團隊能夠在這些流程中有效地加入安全元素。
同時,國內(nèi)也有像騰訊云這類云計算廠商根據(jù)云原生安全需求打造更具針對性的解決方案。近日,騰訊云正式發(fā)布云主機安全旗艦版,順應(yīng)了當前云原生安全防護的新需求,助力企業(yè)高效應(yīng)對安全合規(guī)、高級威脅、多云管理、應(yīng)急響應(yīng)等在內(nèi)的云上安全新挑戰(zhàn)。騰訊安全基于用戶核心需求,從“預防→防御→檢測→響應(yīng)”四個階段構(gòu)建主機安全防護體系。同時,云主機安全旗艦版依托七大核心引擎、百萬級終端防護、百億威脅數(shù)據(jù),幫助企業(yè)實時防護核心資產(chǎn)安全,滿足等保合規(guī)、資產(chǎn)風險管理及入侵防護需求。
問題之中往往蘊藏著機會,不論是傳統(tǒng)安全還是云安全,都強調(diào)應(yīng)對安全風險的能力,但云作為新興場景,用云原生安全的方式去解決云細分場景的問題,施展空間相比傳統(tǒng)傳統(tǒng)會更大,其不存在傳統(tǒng)安全防御的固有思維,可以創(chuàng)新的角度也更多。
隨著數(shù)字時代的來臨,越來越多的安全廠商正在從“救火隊員”的角色,變成安全架構(gòu)的“設(shè)計師”。他們將傳統(tǒng)的攻防解決方案,演變成進可攻、退可守的立體安全架構(gòu),將割裂的安全產(chǎn)品,打通為可協(xié)同聯(lián)動的安全體系,為企業(yè)的持續(xù)安全保駕護航。
來源:科技云報道
免責聲明:此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章,所有文字和圖片版權(quán)歸作者所有,且僅代表作者個人觀點,與極客網(wǎng)無關(guān)。文章僅供讀者參考,并請自行核實相關(guān)內(nèi)容。投訴郵箱:editor@fromgeek.com。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 折疊屏2024的新東西、好東西、舊東西
- “客服來電”懷疑有詐?抖音上線“驗證助手”幫助用戶防范詐騙
- 葉國富觀點很精彩,奈何名創(chuàng)優(yōu)品說得好聽、做得難看?
- 算力荒緩解,自主化智算還有必要嗎?
- 波司登千元鵝絨褲僅3克鵝絨,警惕被“國貨品牌”割韭菜
- 中國電車進入10萬級時代,2025年決生死,但日本車先頂不住了
- 谷歌成為手機市場的殺手,國產(chǎn)手機或被迫擁護國產(chǎn)操作系統(tǒng)
- 董明珠與小米的二次戰(zhàn)爭
- 芯片不賣中國,美芯無處賣了,本來不要的市場偷偷地賣,后悔莫及
- 僅售999元 月底開售 閃極打響AI眼鏡量產(chǎn)發(fā)令槍
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。