數(shù)字化時(shí)代 云原生安全為何變得如此重要？

科技云報(bào)道原創(chuàng)。

2011年，Netscape創(chuàng)始人馬克·安德森一句“軟件正在吞噬世界”掀起熱浪；7年前，OpenStack基金會(huì)創(chuàng)始人Jonathan Bryce加上了定語(yǔ)：“世界的一切源于開(kāi)源”；而隨著云計(jì)算概念清晰以及廣泛應(yīng)用，“云原生”成為了最大的機(jī)遇。

如今，國(guó)內(nèi)云原生同樣進(jìn)入深度落地實(shí)踐，并在數(shù)字時(shí)代顯示出所未有的新價(jià)值。毋庸置疑，云原生被認(rèn)為是云計(jì)算最重要的發(fā)展方向，它不僅是云服務(wù)商們?cè)诩夹g(shù)上的角力點(diǎn)，更成為企業(yè)數(shù)字化轉(zhuǎn)型和上云的必經(jīng)之路。放眼當(dāng)下，從“上云”向“云原生”演進(jìn)，全球都在深度參與并見(jiàn)證一場(chǎng)云原生的技術(shù)變革。

云原生帶來(lái)劃時(shí)代改變

在云計(jì)算進(jìn)入到發(fā)展成熟期之時(shí)，云原生作為新基建支撐數(shù)字化轉(zhuǎn)型的重要技術(shù)，逐漸在AI、大數(shù)據(jù)、邊緣計(jì)算、5G等領(lǐng)域嶄露頭角，成為數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)場(chǎng)景的強(qiáng)大引擎。IDC 預(yù)測(cè)，到2022年，90%的新企業(yè)應(yīng)用程序?qū)⑹褂迷圃鷳?yīng)用程序開(kāi)發(fā)流程、敏捷方法論和API驅(qū)動(dòng)架構(gòu)。根據(jù)一份調(diào)查報(bào)告，全球有大約650萬(wàn)活躍的云原生開(kāi)發(fā)者，約有400萬(wàn)開(kāi)發(fā)者使用無(wú)服務(wù)器架構(gòu)和云方法?，F(xiàn)在92%的組織在生產(chǎn)環(huán)境中使用容器。

云原生主要為行業(yè)帶來(lái)了三個(gè)方面的改變。

首先，云原生技術(shù)從單一容器技術(shù)發(fā)展到龐大的云原生技術(shù)群。云原生因容器而興起，隨后在容器、微服務(wù)、DevOps三大核心技術(shù)的推波助瀾下，迅速朝著全?；夹g(shù)體系發(fā)展。

其次，云原生的行業(yè)應(yīng)用從互聯(lián)網(wǎng)發(fā)展到千行百業(yè)。在云原生早期市場(chǎng)，互聯(lián)網(wǎng)企業(yè)是云原生技術(shù)應(yīng)用的主力軍。最近幾年，政府、金融、制造等傳統(tǒng)行業(yè)用戶(hù)也明顯加快了使用云原生的步伐，云原生開(kāi)始在各大行業(yè)落地生花。

第三，云原生思維由單點(diǎn)技術(shù)思維發(fā)展到系統(tǒng)性產(chǎn)業(yè)思維。云原生誕生之初，是以容器技術(shù)為基礎(chǔ)，在微服務(wù)治理、DevOps、CI/CD等一系列方向優(yōu)化應(yīng)用交付的思想理念，其核心目的是讓?xiě)?yīng)用開(kāi)發(fā)、部署、運(yùn)維更簡(jiǎn)單。

如今，隨著云原生在各個(gè)行業(yè)業(yè)務(wù)場(chǎng)景中的深入應(yīng)用，云原生的思維方式也日趨形成共識(shí)，即從以往的單點(diǎn)技術(shù)思維發(fā)展到系統(tǒng)性的產(chǎn)業(yè)思維，云原生開(kāi)始嘗試全面覆蓋業(yè)務(wù)的基礎(chǔ)設(shè)施、應(yīng)用、數(shù)據(jù)、安全等各個(gè)方面，以滿(mǎn)足行業(yè)客戶(hù)的數(shù)字化轉(zhuǎn)型需求。

云原生架構(gòu)引入新風(fēng)險(xiǎn)

雖然好處十分明顯，但云原生架構(gòu)也引入了各種新型安全風(fēng)險(xiǎn)和潛在的漏洞源?，F(xiàn)有的應(yīng)用程序安全性方法并不是針對(duì)新范式設(shè)計(jì)的。相反，DevOps團(tuán)隊(duì)需要一種新的方法來(lái)幫助他們更好地識(shí)別潛在風(fēng)險(xiǎn)，并使它們能夠?qū)⒙┒垂芾砑傻介_(kāi)發(fā)和交付流程中。

早期，軟件開(kāi)發(fā)被認(rèn)為是一個(gè)線性過(guò)程，但云原生架構(gòu)的興起導(dǎo)致了高度動(dòng)態(tài)的應(yīng)用程序環(huán)境。在這里，變化是唯一不變的。根據(jù)研究，61%的組織認(rèn)為他們的環(huán)境每分鐘或者更短時(shí)間就改變一次。云原生、基于容器的環(huán)境的動(dòng)態(tài)特性，以及跟上敏捷開(kāi)發(fā)速度的需要，使得檢測(cè)漏洞和管理應(yīng)用程序安全更加困難。

根據(jù)一份調(diào)查報(bào)告，在2020年上半年期間，每天有160起針對(duì)蜜罐的攻擊。其中95%的攻擊旨在劫持資源，而5%的攻擊旨在發(fā)起網(wǎng)絡(luò)拒絕服務(wù)攻擊。這個(gè)研究還表明，微服務(wù)、容器和Kubernetes為89%的CISO創(chuàng)建了應(yīng)用程序安全盲點(diǎn)。

?

云原生安全有何不同？

那么，云原生安全相比傳統(tǒng)安全又有何不同呢？其實(shí)，云原生安全并不獨(dú)特，傳統(tǒng)環(huán)境下的安全問(wèn)題在云環(huán)境下仍然存在，比如DOS攻擊、內(nèi)部越權(quán)、數(shù)據(jù)泄露、數(shù)據(jù)篡改、漏洞攻擊等，但由于云原生架構(gòu)的多租戶(hù)、虛擬化、快速?gòu)椥陨炜s等特點(diǎn)，對(duì)傳統(tǒng)安全的某些層面提出了新的挑戰(zhàn)。

如果要用一句話總結(jié)傳統(tǒng)安全與云原生安全的不同，那可以概括為：傳統(tǒng)安全更重視邊界防護(hù)，而云原生安全更重視持續(xù)安全。這也讓傳統(tǒng)的安全實(shí)踐根本不適合這種環(huán)境。事實(shí)上，云原生架構(gòu)從根本上破壞了應(yīng)用程序的安全性。傳統(tǒng)的安全漏洞管理方法無(wú)法跟上這些動(dòng)態(tài)環(huán)境，因?yàn)閭鹘y(tǒng)方法只能提供單一時(shí)刻的靜態(tài)視圖，這使得它們的效率越來(lái)越低，并且容易出現(xiàn)盲點(diǎn)。

如何保護(hù)云原生應(yīng)用？

當(dāng)涉及云原生應(yīng)用程序時(shí)，安全性不能是事后諸葛亮。安全性必須集成到持續(xù)集成和持續(xù)開(kāi)發(fā)流程中，而不是依賴(lài)于固定的解決方案和方法。采用基于風(fēng)險(xiǎn)的方法至關(guān)重要，但這并不是完整的解決方案。

一個(gè)完整的解決方案將這與各種其它安全層結(jié)合在一起，這些安全層超越了檢測(cè)和評(píng)估，而轉(zhuǎn)向了補(bǔ)救或緩解。這些措施包括安全左移、應(yīng)用邊界安全、貫徹最小角色和最低權(quán)限、安全共擔(dān)等。

許多企業(yè)依然在使用已有的工具，卻無(wú)法處理云原生應(yīng)用環(huán)境的速度、規(guī)模和動(dòng)態(tài)網(wǎng)絡(luò)。如果再加上無(wú)服務(wù)器功能，會(huì)讓整個(gè)基礎(chǔ)設(shè)施變得更抽象，讓問(wèn)題更嚴(yán)重。網(wǎng)絡(luò)攻擊者會(huì)尋找容器和無(wú)服務(wù)器代碼中的隱患，以及云基礎(chǔ)設(shè)施中的錯(cuò)誤配置，以接入包含敏感信息的實(shí)體，再用它們提升權(quán)限，攻擊其他實(shí)體。另一個(gè)問(wèn)題是企業(yè)在用CI/CD工具持續(xù)開(kāi)發(fā)、測(cè)試和發(fā)布應(yīng)用。當(dāng)使用容器部署云原生應(yīng)用的時(shí)候，開(kāi)發(fā)者會(huì)從本地或者公共庫(kù)當(dāng)中獲取鏡像，但一般不會(huì)檢查這些鏡像是否包含安全隱患。

一種解決方案是給安全團(tuán)隊(duì)提供一些工具，阻止不受信任的鏡像進(jìn)入CI/CD管道，以及啟用一些機(jī)制讓不受信任的鏡像在進(jìn)入生產(chǎn)前就避免產(chǎn)生安全問(wèn)題。通過(guò)在開(kāi)發(fā)流程早期掃描鏡像的漏洞、惡意軟件成分等，開(kāi)發(fā)者可以貫徹安全標(biāo)準(zhǔn)。

一個(gè)很重要的方式是使用為云原生環(huán)境而制作的API和應(yīng)用安全工具。除此以外，一個(gè)很普遍的操作是在功能級(jí)別使用邊界安全——識(shí)別功能是否被一個(gè)和平時(shí)不同的來(lái)源所觸發(fā)，然后監(jiān)控事件觸發(fā)中存在的異常情況。

在容器化環(huán)境里，一個(gè)重要點(diǎn)是在不同級(jí)別都要實(shí)現(xiàn)安全——編排控制面板、物理主機(jī)、pod和容器。編排的一些最佳安全實(shí)踐包括節(jié)點(diǎn)隔離、限制和監(jiān)測(cè)容器之間的流量、以及對(duì)API服務(wù)器使用第三方認(rèn)證機(jī)制。

云原生資源之間會(huì)有大量頻繁的交互。如果能夠?qū)γ總€(gè)無(wú)服務(wù)器功能或者容易都能配置一些獨(dú)特的許可，就能有極大概率提升安全性。可以通過(guò)基于每個(gè)函數(shù)使用IAM，或者對(duì)容器進(jìn)行顆粒度的許可，加強(qiáng)接入控制?；ㄒ稽c(diǎn)時(shí)間創(chuàng)建最小角色，或者為每個(gè)函數(shù)或容器創(chuàng)建一系列的許可。這就確保了即使云原生結(jié)構(gòu)中有一個(gè)點(diǎn)失陷，其造成的危害也是最小的。

在開(kāi)發(fā)者、DevOps和安全團(tuán)隊(duì)之間建立親密的關(guān)系。開(kāi)發(fā)者并不是安全專(zhuān)家，但他們可以被教育安全操作知識(shí)，從而確保他們可以安全地編寫(xiě)代碼。安全團(tuán)隊(duì)?wèi)?yīng)該知道應(yīng)用是如何開(kāi)發(fā)、測(cè)試和部署的，還有哪些工具在流程中被使用，從而安全團(tuán)隊(duì)能夠在這些流程中有效地加入安全元素。

同時(shí)，國(guó)內(nèi)也有像騰訊云這類(lèi)云計(jì)算廠商根據(jù)云原生安全需求打造更具針對(duì)性的解決方案。近日，騰訊云正式發(fā)布云主機(jī)安全旗艦版，順應(yīng)了當(dāng)前云原生安全防護(hù)的新需求，助力企業(yè)高效應(yīng)對(duì)安全合規(guī)、高級(jí)威脅、多云管理、應(yīng)急響應(yīng)等在內(nèi)的云上安全新挑戰(zhàn)。騰訊安全基于用戶(hù)核心需求，從“預(yù)防→防御→檢測(cè)→響應(yīng)”四個(gè)階段構(gòu)建主機(jī)安全防護(hù)體系。同時(shí)，云主機(jī)安全旗艦版依托七大核心引擎、百萬(wàn)級(jí)終端防護(hù)、百億威脅數(shù)據(jù)，幫助企業(yè)實(shí)時(shí)防護(hù)核心資產(chǎn)安全，滿(mǎn)足等保合規(guī)、資產(chǎn)風(fēng)險(xiǎn)管理及入侵防護(hù)需求。

問(wèn)題之中往往蘊(yùn)藏著機(jī)會(huì)，不論是傳統(tǒng)安全還是云安全，都強(qiáng)調(diào)應(yīng)對(duì)安全風(fēng)險(xiǎn)的能力，但云作為新興場(chǎng)景，用云原生安全的方式去解決云細(xì)分場(chǎng)景的問(wèn)題，施展空間相比傳統(tǒng)傳統(tǒng)會(huì)更大，其不存在傳統(tǒng)安全防御的固有思維，可以創(chuàng)新的角度也更多。

隨著數(shù)字時(shí)代的來(lái)臨，越來(lái)越多的安全廠商正在從“救火隊(duì)員”的角色，變成安全架構(gòu)的“設(shè)計(jì)師”。他們將傳統(tǒng)的攻防解決方案，演變成進(jìn)可攻、退可守的立體安全架構(gòu)，將割裂的安全產(chǎn)品，打通為可協(xié)同聯(lián)動(dòng)的安全體系，為企業(yè)的持續(xù)安全保駕護(hù)航。

來(lái)源：科技云報(bào)道

生成海報(bào)

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評(píng)論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個(gè)人觀點(diǎn)，與極客網(wǎng)無(wú)關(guān)。文章僅供讀者參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。