云原生安全-云计算发展白皮书(2020年)解读
Posted lady_killer9
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了云原生安全-云计算发展白皮书(2020年)解读相关的知识,希望对你有一定的参考价值。
目录
来源:中国信息通信研究院
概括
白皮书首先介绍了云计算产业发展概况,然后重点围绕云原生、SaaS、分布式云、云原生安全、数字化转型、新基建等云计算领域热点话题进行探讨,最后对云计算未来发展进行了展望。
云计算发展
市场
过去十年是云计算突飞猛进的十年,云计算仍将迎来下一个黄金十年,进入普惠发展期。白皮书显示,全球云计算市场保持稳定增长态势。2019年,以IaaS、PaaS和SaaS为代表的全球云计算市场规模达到1883亿美元,增速20.86%。预计未来几年市场平均增长率在18%左右,到2023年市场规模将超过3500亿美元。
我国公有云市场规模首次超过私有云
IaaS发展成熟,PaaS增长高速,SaaS潜力巨大。2022年冬奥,第一次采取了服务上云,没有自己搭建服务器,而是使用了阿里云。
云技术
云技术不断发展
以容器、微服务、DevOps为代表的云原生技术,可以为企业提供更高的敏捷性、弹性和云间的可移植性。CNCF也对迅猛发展的k8s很关注。
云安全
云原生安全理念开始兴起
国际上,Gartner、Forrester、Rackspace、VMware等研究机构和厂商纷纷提出原生安全理念;在国内,阿里云、360等厂商将原生安全定义为企业下一代云安全架构。
云原生技术
中间件
在容器及编排技术、微服务等云原生技术的带动下,在云端开发部署应用已经是大势所趋,重塑中间件以实现应用向云上的变迁势在必行。各个中间件,如分布式消息、API网关,应该如何调整,能够更好的契合云端开发是考虑的一个重点。
Serverless
Serverless(无服务器)聚焦应用开发,开发者无需关注底层资源,只需关注业务,使用函数来实现业务的最小单元,又称为云函数。
SaaS
国内SaaS服务数量显著增长,服务专业性同步提升。中小企业从基础设施上云到应用全面上云仍道阻且长,面临人才储备不足、技术能力薄弱等挑战。Saas将成为企业上云重要抓手,一些SaaS服务商开始提供各个细分领域SaaS服务,例如,用友的营销云提供CRM服务等。目前IaaS和SaaS服务商的问题主要在:
- IaaS及SaaS服务商对传统行业不了解,无法解决用户痛点。
- SaaS服务商获取客源的成本高,客户都是企业,缺乏品牌效应。
- SaaS缺乏底层云服务支撑。
博主认为,还是需要服务商走进传统企业,体验车间流程,深度了解用户需求,而不是用一些吹牛皮的PPT。之前就听说过某软件开发公司,花了上百万开发了煤矿相关的系统,进行煤矿开采的实时监测、地理数据的采集等,结合了物联网技术。但是,自己凭空想的需求,认为应该有哪些功能,哪些页面,然后再去各个煤矿开采公司推广,结果一套系统也卖不出去。
分布式云
分类
分布式云一般根据部署位置的不同、基础设施规模的大小、服务能力的强弱等要素,分为三个业务形态:中心云、区域云和边缘云。
中心云
中心云构建在传统的中心化云计算架构之上,部署在传统数据中心之中,提供全方面的云计算服务;
区域云
区域云位于中心云和边缘云之间,一般按照需求部署在省会级数据之中,主要作用是为中心云和边缘云之间进行有效配置;
边缘云
边缘云与中心云相对应,是构筑在靠近事物和数据源头的网络边缘处,提供可弹性扩展的云服务能力的云计算模式,并能够支持与中心云协同。
从中心到边缘
边缘的具体形态分为边缘云和边缘终端。
边缘云
边缘云是云计算向网络边缘侧进行拓展而产生的新形态,是未来产业关注重点,是连接云和边缘终端的重要桥梁。
边缘终端
边缘终端位于边缘云与数据源头路径之间,靠近用户或数据源头的任意具备一定硬件配置的设备,包括边缘网关、边缘服务器、智能盒子等终端设备。
云边协同
相关调查显示,目前我国智能终端用户超过七成的碎片化时间“消耗”在视频直播、短视频、游戏为代表的文娱应用中,数媒文娱产业进入爆发增长阶段。面对当前每日激增的用户流量和越发激烈的市场竞争,数媒行业探索依托云边协同实现业务模式的创新,增强服务能力,提升用户体验。
对于服务商来说,利用云边协同可以降低成本,提供更好的用户体验。
但是,对于用户来说,博主想提醒一下,某些服务商是没有底线的,为了吸引用户,采用打灰色地带擦边球、分享给现金等虚假广告、智能推荐算法等,让你沉迷,无法自拔,尤其对控制力差的青少年来说,产生了不好的影响。推荐书籍《自控力》、《上瘾》,纪录片《监视资本主义:智能陷阱》
云原生安全
架构重塑引起的端到端安全
挑战
在隔离性方面,不同于虚拟机的独立操作系统,容器技术共享宿主机操作系统,这种进程级别的“软”隔离,增加了逃逸风险;容器逃逸漏洞有CVE-2019-5736、CVE-2020-15257等。
在数据共享方面,紧密联系的多个容器通常共享某些数据,这些容器中的某一个被攻破都会导致数据泄露,使得攻击面大大增加;
在组件交互方面,容器及其编排系统的组件高度解耦、分散部署,协同交互的组件链条增长,中间态的攻击风险增加。
容器镜像链路追踪问题
容器镜像是云原生技术架构中软件交付流转的主要形态,贯穿在整个生命周期。基础镜像来源复杂,源头管控难,传输过程中间人攻击篡改难校验。部分云服务商,提供了个体上传镜像的功能,也难以校验是否为安全的镜像。
这里可以考虑能否与数字签名、区块链等技术结合,做容器或镜像的校验与追踪。
微服务端口暴露数量多问题
单体应用拆分导致端口数量暴增,攻击面大幅增加。强关联微服务间连锁攻破风险高。
安全与云融合
安全管理
研发阶段关注云计算安全问题,前置安全管理,促进云平台安全。可信研发运营安全体系,分为8个阶段,如下图所示。
新兴安全技术
零信任
零信任以数字身份为基石,对人、设备、应用等所有访问主体赋予数字身份,通过信任评估模型和算法,对身份进行持续的信任等级评估,动态的授予最小权限,彻底推翻边界安全架构下对信任的假设和滥用。例如,某公司的中心服务器,正式员工都可以具有查看权限,假设员工不会将数据泄露,但是,可能存在某行政部门员工被钓鱼攻击,导致账户泄露,进而泄露了中心服务器信息。零信任对人等都需要评估,行政人员基本不会使用中心服务器去开发等,没必要给权限,应该采取白名单机制,默认不可访问,确实需要访问再申请。
智能+安全
将AI等智能技术引入安全。例如,长亭科技的雷池,创新采用智能语义分析算法并结合机器学习技术,能够实现基于上下文逻辑的攻击检测,用算法的迭代改变规则防护现状,在降低误报率的同时,将攻击拦截性能提升至全新水平。
保密计算
保密计算基于可信执行环境(TEE),以可信硬件为载体,提供硬件级强安全隔离和通用计算环境,加密数据只能在可信执行环境中计算和运行,所有数据参与方均无法触及和控制计算行为,能够有效保障云上数据使用中的安全。
后续的数字化转型和新基建就不再进行总结和解读了,更多的是大的社会层面、行业层面,博主更关注的是云技术和安全。
参考
中国信通院云大所云计算部主任栗蔚:云计算发展白皮书(2020)
关注博主公众号,回复 2020-2021云与安全白皮书 获取白皮书全文及更多中国信通院白皮书。
以上是关于云原生安全-云计算发展白皮书(2020年)解读的主要内容,如果未能解决你的问题,请参考以下文章
《云计算安全责任共担白皮书 (2020年) 》 (附解读下载)