數(shù)字化時代 云原生安全為何變得如此重要？

科技云報道原創(chuàng)。

2011年，Netscape創(chuàng)始人馬克·安德森一句“軟件正在吞噬世界”掀起熱浪；7年前，OpenStack基金會創(chuàng)始人Jonathan Bryce加上了定語：“世界的一切源于開源”；而隨著云計算概念清晰以及廣泛應(yīng)用，“云原生”成為了最大的機(jī)遇。

如今，國內(nèi)云原生同樣進(jìn)入深度落地實踐，并在數(shù)字時代顯示出所未有的新價值。毋庸置疑，云原生被認(rèn)為是云計算最重要的發(fā)展方向，它不僅是云服務(wù)商們在技術(shù)上的角力點，更成為企業(yè)數(shù)字化轉(zhuǎn)型和上云的必經(jīng)之路。放眼當(dāng)下，從“上云”向“云原生”演進(jìn)，全球都在深度參與并見證一場云原生的技術(shù)變革。

云原生帶來劃時代改變

在云計算進(jìn)入到發(fā)展成熟期之時，云原生作為新基建支撐數(shù)字化轉(zhuǎn)型的重要技術(shù)，逐漸在AI、大數(shù)據(jù)、邊緣計算、5G等領(lǐng)域嶄露頭角，成為數(shù)據(jù)驅(qū)動業(yè)務(wù)場景的強(qiáng)大引擎。IDC 預(yù)測，到2022年，90%的新企業(yè)應(yīng)用程序?qū)⑹褂迷圃鷳?yīng)用程序開發(fā)流程、敏捷方法論和API驅(qū)動架構(gòu)。根據(jù)一份調(diào)查報告，全球有大約650萬活躍的云原生開發(fā)者，約有400萬開發(fā)者使用無服務(wù)器架構(gòu)和云方法?，F(xiàn)在92%的組織在生產(chǎn)環(huán)境中使用容器。

云原生主要為行業(yè)帶來了三個方面的改變。

首先，云原生技術(shù)從單一容器技術(shù)發(fā)展到龐大的云原生技術(shù)群。云原生因容器而興起，隨后在容器、微服務(wù)、DevOps三大核心技術(shù)的推波助瀾下，迅速朝著全?；夹g(shù)體系發(fā)展。

其次，云原生的行業(yè)應(yīng)用從互聯(lián)網(wǎng)發(fā)展到千行百業(yè)。在云原生早期市場，互聯(lián)網(wǎng)企業(yè)是云原生技術(shù)應(yīng)用的主力軍。最近幾年，政府、金融、制造等傳統(tǒng)行業(yè)用戶也明顯加快了使用云原生的步伐，云原生開始在各大行業(yè)落地生花。

第三，云原生思維由單點技術(shù)思維發(fā)展到系統(tǒng)性產(chǎn)業(yè)思維。云原生誕生之初，是以容器技術(shù)為基礎(chǔ)，在微服務(wù)治理、DevOps、CI/CD等一系列方向優(yōu)化應(yīng)用交付的思想理念，其核心目的是讓應(yīng)用開發(fā)、部署、運維更簡單。

如今，隨著云原生在各個行業(yè)業(yè)務(wù)場景中的深入應(yīng)用，云原生的思維方式也日趨形成共識，即從以往的單點技術(shù)思維發(fā)展到系統(tǒng)性的產(chǎn)業(yè)思維，云原生開始嘗試全面覆蓋業(yè)務(wù)的基礎(chǔ)設(shè)施、應(yīng)用、數(shù)據(jù)、安全等各個方面，以滿足行業(yè)客戶的數(shù)字化轉(zhuǎn)型需求。

云原生架構(gòu)引入新風(fēng)險

雖然好處十分明顯，但云原生架構(gòu)也引入了各種新型安全風(fēng)險和潛在的漏洞源?，F(xiàn)有的應(yīng)用程序安全性方法并不是針對新范式設(shè)計的。相反，DevOps團(tuán)隊需要一種新的方法來幫助他們更好地識別潛在風(fēng)險，并使它們能夠?qū)⒙┒垂芾砑傻介_發(fā)和交付流程中。

早期，軟件開發(fā)被認(rèn)為是一個線性過程，但云原生架構(gòu)的興起導(dǎo)致了高度動態(tài)的應(yīng)用程序環(huán)境。在這里，變化是唯一不變的。根據(jù)研究，61%的組織認(rèn)為他們的環(huán)境每分鐘或者更短時間就改變一次。云原生、基于容器的環(huán)境的動態(tài)特性，以及跟上敏捷開發(fā)速度的需要，使得檢測漏洞和管理應(yīng)用程序安全更加困難。

根據(jù)一份調(diào)查報告，在2020年上半年期間，每天有160起針對蜜罐的攻擊。其中95%的攻擊旨在劫持資源，而5%的攻擊旨在發(fā)起網(wǎng)絡(luò)拒絕服務(wù)攻擊。這個研究還表明，微服務(wù)、容器和Kubernetes為89%的CISO創(chuàng)建了應(yīng)用程序安全盲點。

?

云原生安全有何不同？

那么，云原生安全相比傳統(tǒng)安全又有何不同呢？其實，云原生安全并不獨特，傳統(tǒng)環(huán)境下的安全問題在云環(huán)境下仍然存在，比如DOS攻擊、內(nèi)部越權(quán)、數(shù)據(jù)泄露、數(shù)據(jù)篡改、漏洞攻擊等，但由于云原生架構(gòu)的多租戶、虛擬化、快速彈性伸縮等特點，對傳統(tǒng)安全的某些層面提出了新的挑戰(zhàn)。

如果要用一句話總結(jié)傳統(tǒng)安全與云原生安全的不同，那可以概括為：傳統(tǒng)安全更重視邊界防護(hù)，而云原生安全更重視持續(xù)安全。這也讓傳統(tǒng)的安全實踐根本不適合這種環(huán)境。事實上，云原生架構(gòu)從根本上破壞了應(yīng)用程序的安全性。傳統(tǒng)的安全漏洞管理方法無法跟上這些動態(tài)環(huán)境，因為傳統(tǒng)方法只能提供單一時刻的靜態(tài)視圖，這使得它們的效率越來越低，并且容易出現(xiàn)盲點。

如何保護(hù)云原生應(yīng)用？

當(dāng)涉及云原生應(yīng)用程序時，安全性不能是事后諸葛亮。安全性必須集成到持續(xù)集成和持續(xù)開發(fā)流程中，而不是依賴于固定的解決方案和方法。采用基于風(fēng)險的方法至關(guān)重要，但這并不是完整的解決方案。

一個完整的解決方案將這與各種其它安全層結(jié)合在一起，這些安全層超越了檢測和評估，而轉(zhuǎn)向了補(bǔ)救或緩解。這些措施包括安全左移、應(yīng)用邊界安全、貫徹最小角色和最低權(quán)限、安全共擔(dān)等。

許多企業(yè)依然在使用已有的工具，卻無法處理云原生應(yīng)用環(huán)境的速度、規(guī)模和動態(tài)網(wǎng)絡(luò)。如果再加上無服務(wù)器功能，會讓整個基礎(chǔ)設(shè)施變得更抽象，讓問題更嚴(yán)重。網(wǎng)絡(luò)攻擊者會尋找容器和無服務(wù)器代碼中的隱患，以及云基礎(chǔ)設(shè)施中的錯誤配置，以接入包含敏感信息的實體，再用它們提升權(quán)限，攻擊其他實體。另一個問題是企業(yè)在用CI/CD工具持續(xù)開發(fā)、測試和發(fā)布應(yīng)用。當(dāng)使用容器部署云原生應(yīng)用的時候，開發(fā)者會從本地或者公共庫當(dāng)中獲取鏡像，但一般不會檢查這些鏡像是否包含安全隱患。

一種解決方案是給安全團(tuán)隊提供一些工具，阻止不受信任的鏡像進(jìn)入CI/CD管道，以及啟用一些機(jī)制讓不受信任的鏡像在進(jìn)入生產(chǎn)前就避免產(chǎn)生安全問題。通過在開發(fā)流程早期掃描鏡像的漏洞、惡意軟件成分等，開發(fā)者可以貫徹安全標(biāo)準(zhǔn)。

一個很重要的方式是使用為云原生環(huán)境而制作的API和應(yīng)用安全工具。除此以外，一個很普遍的操作是在功能級別使用邊界安全——識別功能是否被一個和平時不同的來源所觸發(fā)，然后監(jiān)控事件觸發(fā)中存在的異常情況。

在容器化環(huán)境里，一個重要點是在不同級別都要實現(xiàn)安全——編排控制面板、物理主機(jī)、pod和容器。編排的一些最佳安全實踐包括節(jié)點隔離、限制和監(jiān)測容器之間的流量、以及對API服務(wù)器使用第三方認(rèn)證機(jī)制。

云原生資源之間會有大量頻繁的交互。如果能夠?qū)γ總€無服務(wù)器功能或者容易都能配置一些獨特的許可，就能有極大概率提升安全性?？梢酝ㄟ^基于每個函數(shù)使用IAM，或者對容器進(jìn)行顆粒度的許可，加強(qiáng)接入控制?；ㄒ稽c時間創(chuàng)建最小角色，或者為每個函數(shù)或容器創(chuàng)建一系列的許可。這就確保了即使云原生結(jié)構(gòu)中有一個點失陷，其造成的危害也是最小的。

在開發(fā)者、DevOps和安全團(tuán)隊之間建立親密的關(guān)系。開發(fā)者并不是安全專家，但他們可以被教育安全操作知識，從而確保他們可以安全地編寫代碼。安全團(tuán)隊?wèi)?yīng)該知道應(yīng)用是如何開發(fā)、測試和部署的，還有哪些工具在流程中被使用，從而安全團(tuán)隊能夠在這些流程中有效地加入安全元素。

同時，國內(nèi)也有像騰訊云這類云計算廠商根據(jù)云原生安全需求打造更具針對性的解決方案。近日，騰訊云正式發(fā)布云主機(jī)安全旗艦版，順應(yīng)了當(dāng)前云原生安全防護(hù)的新需求，助力企業(yè)高效應(yīng)對安全合規(guī)、高級威脅、多云管理、應(yīng)急響應(yīng)等在內(nèi)的云上安全新挑戰(zhàn)。騰訊安全基于用戶核心需求，從“預(yù)防→防御→檢測→響應(yīng)”四個階段構(gòu)建主機(jī)安全防護(hù)體系。同時，云主機(jī)安全旗艦版依托七大核心引擎、百萬級終端防護(hù)、百億威脅數(shù)據(jù)，幫助企業(yè)實時防護(hù)核心資產(chǎn)安全，滿足等保合規(guī)、資產(chǎn)風(fēng)險管理及入侵防護(hù)需求。

問題之中往往蘊(yùn)藏著機(jī)會，不論是傳統(tǒng)安全還是云安全，都強(qiáng)調(diào)應(yīng)對安全風(fēng)險的能力，但云作為新興場景，用云原生安全的方式去解決云細(xì)分場景的問題，施展空間相比傳統(tǒng)傳統(tǒng)會更大，其不存在傳統(tǒng)安全防御的固有思維，可以創(chuàng)新的角度也更多。

隨著數(shù)字時代的來臨，越來越多的安全廠商正在從“救火隊員”的角色，變成安全架構(gòu)的“設(shè)計師”。他們將傳統(tǒng)的攻防解決方案，演變成進(jìn)可攻、退可守的立體安全架構(gòu)，將割裂的安全產(chǎn)品，打通為可協(xié)同聯(lián)動的安全體系，為企業(yè)的持續(xù)安全保駕護(hù)航。

來源：科技云報道

生成海報

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個人觀點，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。