漫画:闲扯云原生和云原生安全

Posted 小黑羊joinwings

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漫画:闲扯云原生和云原生安全相关的知识,希望对你有一定的参考价值。


今天闲扯的主题是云原生和云原生安全


在云计算领域,有个大家时常碰见,却又不明觉厉的“小词儿”,那就是「云原生」。


云原生到底是啥,通俗一点:云亲妈生的,就是云原生!


漫画:闲扯云原生和云原生安全


“云计算老母亲”在逐步壮大、日益成熟的过程中,悄悄孕育了「云原生」,这娃呱呱落地,从头到脚都是新的。


它练就了三板斧绝技:容器化、微服务和DevOps。

漫画:闲扯云原生和云原生安全  云原生特征➊:容器化

漫画:闲扯云原生和云原生安全


以Docker为代表的容器化和容器引擎技术,让计算资源的颗粒度比虚拟机更小,部署更灵活。


可以说,容器是“云原生娃”的骨骼和肌肉。



漫画:闲扯云原生和云原生安全  云原生特征➋:微服务

漫画:闲扯云原生和云原生安全


拜K8S和ServiceMesh等一系列技术所赐,前者负责“搬砖”,后者精通“传话”,容器的价值被进一步放大化——


单体大应用被拆分成功能相对独立的小应用,大家各司其职,分布式“抱团”来扛一些大活儿,这就是微服务。


微服务是“云原生娃”的神经和灵魂。



漫画:闲扯云原生和云原生安全  云原生特征➌:DevOps

漫画:闲扯云原生和云原生安全


正是因为容器化和微服务带来了敏捷和弹性,研发运维这对欢喜冤家才可以愉快滴协同工作,一起背锅。改代码、修bug、跑测试、升架构、快部署,持续集成持续交付666~


DevOps是“云原生娃”的学步车,让娃在不断操练中成长。

……


漫画:闲扯云原生和云原生安全 小结一下:

云是云原生的底座,云原生是云的内涵,这是云计算区别于传统IT架构的最重要特征。
正是因为有了“云原生”,云的弹性、敏捷才发挥得淋漓尽致~


那么「云原生安全」又是什么呢?


就像传统IT需要安全防护一样,云计算和云原生同样离不开安全防护。


我的理解是,利用云的固有优势,为云环境和云原生业务提供内建的安全防护,这就是「云原生安全」。


漫画:闲扯云原生和云原生安全


当然,业界的不同玩家,对云原生安全各有不同的理解,说白了,还是因为“屁股决定脑袋”……


漫画:闲扯云原生和云原生安全 云原生厂商的理解↓

漫画:闲扯云原生和云原生安全


比如,云原生创业公司们,他们的目光焦点还是云原生开发安全上,围绕容器技术、Docker啦、K8S啦、镜像仓库啦,防护目标很明确。


这算是“狭义”的云原生安全。



漫画:闲扯云原生和云原生安全 传统安全「盒子党」的理解↓

漫画:闲扯云原生和云原生安全


传统安全设备厂商,更致力于安全“物理盒子”的云化,比如把FW变成vFW,装到云主机、虚拟机里,再辅以SDN/NFV的理念,从“南北”到“东西”。


这不是云原生安全,只能算是“云夹生”安全。



漫画:闲扯云原生和云原生安全公有云服务商的理解↓

漫画:闲扯云原生和云原生安全


“大云”服务商们,自然有“大道理”,他们希望从用户上云的第一公里,到云平台本身,再到IaaS、PaaS、SaaS的每一个层面,构建一个全域覆盖的build-in安全。


理论上讲,这种“广义的”云原生安全,能够给云上业务更全面的保护。也正是因为如此,这几年关于云上安全的技术和概念层出不穷:SASE、CWPP、CSPM、CASB……



以上,各站各的队,各说各的理,到底哪种「云原生安全」更靠谱呢?


在本喵看来,“云上的安全问题,当然云上办”,让大云服务商提供一站式的内建安全服务,再好不过。


还有一点趋势也很重要,云下解决不了or解决不好的安全问题,也可以搬到云上来搞定!


漫画:闲扯云原生和云原生安全

最新发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安 [2020]1960 号文),有明确指示:

网络运营者可将网络迁移上云,或将网络安全服务外包,充分利用云服务商和网络安全服务商提升网络安全保护能力和水平。


所以,不管“正在云上”还是“曾经云下”,上云都是应对数字时代安全问题的“最优解”,用云的方法,去解决云上的安全问题。


既然都要上云解决,那么自然是大云服务商们的“王婆卖瓜”更香喽~

漫画:闲扯云原生和云原生安全

鹅厂是这么说的,也是这么干的。

在他们看来,公有云内建的云原生安全,除了能够全域覆盖,还有这样一些特点↓


漫画:闲扯云原生和云原生安全

开箱即用:免安装,免配置,一键部署,省时!


漫画:闲扯云原生和云原生安全

自适应:自动适配各种环境,功能持续自动迭代升级,与安全科技的最前沿实时接轨,省事!


漫画:闲扯云原生和云原生安全

弹性扩展:资源占用与实际防护需求自由伸缩,按需使用,平滑扩展,省钱!


漫画:闲扯云原生和云原生安全

全生命周期防护:贯穿云上应用的整个生命周期,从产品开发到上线运营,到业务长尾再到数据回收和销毁,都要有对应的安全服务,省心!



那么鹅厂具体怎么干呢?

我们来看看腾讯云原生安全的5大体系架构↓


漫画:闲扯云原生和云原生安全

漫画:闲扯云原生和云原生安全

漫画:闲扯云原生和云原生安全

漫画:闲扯云原生和云原生安全

漫画:闲扯云原生和云原生安全

漫画:闲扯云原生和云原生安全


⑤安全治理体系:这是云原生安全的顶层设计,从数据、风险、身份等维度,进行全景式的综合治理;

④数据安全体系:围绕数据加密、数据访问、数据隐私等环节,保障云上数据安全;

③应用安全体系:这部分触及了云原生应用开发、测试、运行的全流程,既有传统waf式的防护,也融合DevSecOps的理念;

②计算安全体系:与CWPP的理念类似,结合容器、主机、镜像,对计算资源进行全面守护;

①网络安全体系:从云接入到云边界防护、云内网防护,再到抗D、NIPS,提供全SaaS化网络安全服务。

1、2、3、4、5,能防大老虎 漫画:闲扯云原生和云原生安全



好了,来见识下5大体系中的代表产品吧~


漫画:闲扯云原生和云原生安全  安全运营中心↓

安全运营中心,俗称SoC,相当于云上安全的军情作战室,用户可以对自家的云上资产的安全状况一目了然。


漫画:闲扯云原生和云原生安全


基于SoC,可以实时了解安全态势,进行安全评估、合规检查、漏洞修补,这里也是所有云上安全产品的集结地和操作间。


CSO们,可以坐在「安全驾驶舱」里,运筹帷幄,决胜千里。


漫画:闲扯云原生和云原生安全

举个例子,轻点几下鼠标,做个联网攻击面测绘,就可以轻松get到自家云上资产的弱点在哪儿,接下来对症下药即可漫画:闲扯云原生和云原生安全



漫画:闲扯云原生和云原生安全  数据安全中台↓

中台那么火,安全也要来一个。


漫画:闲扯云原生和云原生安全


这个「数据安全中台」,贯穿的是数据流动的整个过程:所有与数据获取、增删改查、分析、数据消费相关的云产品,都被纳入。


加密软硬件、凭据管理、秘钥管理……,18般武器,确保云上数据任何时候,都滴水不漏漫画:闲扯云原生和云原生安全



漫画:闲扯云原生和云原生安全  云原生WAF ↓

云上web应用占比高,而应对web安全威胁的最硬核产品,非WAF莫属。


漫画:闲扯云原生和云原生安全


那么为啥大云自带的“原生WAF”,要比单独买个商业WAF产品效果更好?


因为云“原生”的WAF,是基于整朵云的全量威胁“修炼”出来的,每天应对各类攻击,见过的“场面”更多更大,也更“懂行”。


它们是“AI+规则”的双引擎,凭借AI学习能力,可以继承整朵云的安全知识储备,防御能力与时俱进、与云共舞漫画:闲扯云原生和云原生安全



漫画:闲扯云原生和云原生安全  腾讯云主机安全服务↓

云主机安全是云上安全最后的一道防线,根据腾讯云抽样百万主机的分析,主要风险集中在:①密码爆破②漏洞利用③木马入侵。


漫画:闲扯云原生和云原生安全


鹅厂主机安全按照CWPP的架构规划,通过“数据驱动+攻防驱动+运营驱动”,缩小攻击面,事前做好漏洞管理、基线合规、权限管理,事中、事后多维度监控和实时阻断。


再辅以腾讯的AI能力,主机安全也在不断进化,让“魔高一尺道高一丈”漫画:闲扯云原生和云原生安全



漫画:闲扯云原生和云原生安全  云原生防火墙↓

网络安全是云上安全的第一道防线,而云防火墙的角色就是防线铁闸。


腾讯防火墙,纯SaaS化按需,与安全运营中心无缝集成,无论云边界防护(南北还是VPC域间防护(东西,都游刃有余。


漫画:闲扯云原生和云原生安全


跟传统非“原生”防火墙相比“原生”优势在于鹅厂大云的联动:比如集成腾讯云全网的威胁情报,实时监测云上主机的失陷情况,并智能拦截非法外联活动。

漫画:闲扯云原生和云原生安全


再比如云防火墙集成了基于攻击者视角的漏扫能力,“0 day”来袭时,可通过 IPS 模块的虚拟补丁技术,小时级修复云虚拟机的漏洞,让“0 day”不灵,重保无忧漫画:闲扯云原生和云原生安全





「云原生安全」的价值在于,基于云上内建的全域安全能力,不需要任何“外挂”,就可以自动化、一站式的保护云上业务和数据,成本更低、使用更简单、防护更周全!


云安全,我们要“云原生”的,不要“云夹生”的!


本文首发于特大号


  后  记  


我个人的理解,云原生安全并不是「云原生」安全,而是云「原生安全」,是指由公共云服务商提供的内建/内生安全,范畴远远大于云原生业务本身,包括了云平台安全、云产品安全、云安全产品、云接入安全等方方面面。


SoC这个产品,概念喊了很多年,但是在相当长的时间内,SoC就像网管软件一样,沦为了各种安全盒子的附属品。真正把SoC用起来而且用好的场景,就是在公有云上。以SoC为中心,云上各种内建的安全产品被集成和联动起来,价值得到了放大。


在多租户的模式下,虽然每个用户只看到自己的SoC控制台,但防御能力和背景知识确实整个云的,这是私有云环境下的安全防御体系很难做到的。


内建的优势在于跟SoC集成度高、联动好,部署方便,而生态的优势是很多安全厂商在细分领域浸淫多年,有自己的独门绝技。当然,安全能力“建”还是依靠“生态”,不同云商有不同的策略,但大家基本的思路还是核心能力内建,细分能力利用生态


另外,公网安[2020] 1960号文释放了一个非常明确的信号:对于大多数场景(物理隔离涉密除外),云上比云下更安全,「上云」是提高安全防护的一条路。


好了,就扯这么多吧。




小黑羊 ,首席IT吐槽官,腹黑人士,毒舌大叔。
小黑羊的猫 ,花名“docker”,是最懂IT的喵星人。



文:小黑羊丨画:庭作

以上是关于漫画:闲扯云原生和云原生安全的主要内容,如果未能解决你的问题,请参考以下文章

云原生安全技术和原理

云原生是个啥?

“云原生”和云原生应用的价值究竟是什么?

Kubernetes 和云原生

云原生12 要素和云原生15要素

云原生和云计算是什么?两者有何区别?