云原生及其内生安全规则
Posted 认知计算与云安全
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了云原生及其内生安全规则相关的知识,希望对你有一定的参考价值。
生产环境中运行Kubernetes,并且需要应用补丁-可能应用于商业应用,开源组件甚至是容器映像。在生产中实施该补丁需要多长时间?一月、一天、还是一小时?
云原生环境应该实时响应变化。这样的响应不只是根据需要扩大或缩小。尽可能接近实时地响应安全威胁和性能问题也很重要。
云原生应用程序的变化率要比传统应用程序大得多,并且给定应用程序中微服务的数量庞大,使得手动安全方法难以为继。向自动化工具的转变使得出于安全目的改进了对微服务的控制和管理 云原生应用程序常用的持续集成和持续交付(CI / CD)方法可以使任何应用程序保持最新状态。没有微服务的传统应用程序需要的软件补丁通常很大且很复杂。微服务允许更新快速,小巧且不可变。不可变意味着微服务不可更改。创建对象后,该对象不可编辑。
与传统应用程序相比,在更新过程中破坏整个应用程序的风险也较小。作为一种体系结构,微服务之间是松散耦合的,并且是相当独立的,因此,对一个服务的更改不会对另一个服务产生巨大影响。在传统应用程序的紧密耦合体系结构中,很小的变化可能会带来更大的影响。
然而,当将云原生应用程序扩展为高流量时,将有大量的微服务运行。由于微服务必须与端口进行通信的所有API,因此攻击面呈指数级增长。
原生云计算将诸如可扩展性和弹性之类的云最佳实践扩展到整个企业IT领域,从而为跨混合IT环境的计算提供了新的范例,这些环境适当地利用了虚拟化,容器和无服务器计算。
云原生运动的核心是开源容器编排平台Kubernetes。Kubernetes要求并加强了一种云原生架构方法,该方法将应用程序分解为容器化的微服务。
大规模部署,管理和操作基于微服务的工作负载已成为Kubernetes和整个云原生基础架构面临的主要挑战。
要管理补丁,组织必须遵循云原生原则。整体的“数天测试”方法根本不符合云原生软件的动态,短暂的本质。
企业如何配置和使用公共云服务(尤其是IaaS(基础架构即服务)和PaaS(平台即服务))会出现安全问题。当使用容器或无服务器技术构建云原生应用程序时,传统的应用程序安全性结构不能很好地工作,或者根本无法工作。
一、应用开发中确保安全
开发人员面临着比以往更快地构建和发布应用程序,以及通过自动化流程频繁更新应用程序的压力。为了实现这些目标,组织现在正在将在容器上开发的应用程序和功能直接部署到生产中,使用Kubernetes等编排工具对其进行管理,并在云中运行它们。结果,生产率提高了,但是风险也提高了。
要在速度和安全性之间取得平衡,CISO必须实施一项策略,与开发人员和运营团队一起积极应对云原生的安全性要求,以确保将安全性完全集成到软件开发生命周期中。这使组织可以在开发生命周期的早期发现安全问题,而不会减慢整个工作的速度。
二、安全“护栏”
许多企业仍然依赖传统的安全工具,这些工具无法处理容器的速度,规模和动态网络环境。新增的无服务器功能的添加使基础架构进一步抽象化,从而为应用程序和微服务提供简单的执行环境,从而加剧了该问题。网络攻击者在无服务器功能代码中寻找漏洞,并寻找配置错误的云基础架构权限设置,以访问包含敏感信息的服务或网络。
组织可以使用CI / CD工具(例如Jenkins,Azure DevOps或Bamboo)来持续开发,测试和发布应用程序。在使用容器部署其云原生应用程序时,开发人员可以利用内部和外部存储库中的基本映像和组件来进一步加快工作速度。但是,即使来自受信任存储库的容器映像也可能包含漏洞,这些漏洞可能使应用程序容易受到攻击。解决方案是用护栏代替大门。
为安全团队提供工具来阻止CI / CD管道中的不合格映像是最好的第一道防线。
在开发阶段扫描图像中的漏洞,秘密和恶意软件,可使安全团队执行组织的图像保证策略,阻止不合规的图像并向开发人员警告潜在的威胁。
内部利益相关者共同努力的呼吁还应该扩展到您的组织与云平台提供商之间的关系。安全性原则应该是“我们共同承担责任”,而不是“这一切都在我们的云提供商的肩膀上”。
评估组织如何将这三个新规则应用于云原生安全性的第一步是拥抱与云平台提供商的共享责任模型。
然后,要阻止安全交易的结束,请寻找可帮助您获得全面可见性并控制所有云环境中的云原生基础架构和应用程序工作负载的工具。
总结
有些人认为,IT基础架构已经从本地服务器自然过渡到虚拟化,再到云计算再到容器。但是,这种说法存在致命的缺陷。
可是,随着企业逐步向云过渡,编码应用程序基本上保持不变。但是,容器在本质上是不同的-特别是一旦将它们放入Kubernetes和整个云原生环境中。使用云原生计算,从头开始重新考虑应用程序的本质至关重要。实际上,云原生计算是企业IT的全新范例。
传统的安全方法无法在云原生环境中充分跟上步伐。微服务和容器各有利弊:它们构成较大的攻击面,但不可变且易于修复。自动化是云原生及其内生安全新的方向,并且在开发管理中,安全团队已开始将安全策略集成为内生安全代码。
以上是关于云原生及其内生安全规则的主要内容,如果未能解决你的问题,请参考以下文章
原生安全二倍速:探秘基础设施的内生“免疫系统“
云原生2.0 划重点:激发内生力量 实现业务智能
CNCF重磅发布云原生安全白皮书(中译版)
云计算与云原生 — 云原生微服务架构的技术内涵
云原生运行时安全 Falco 入门
[云原生专题-64]:云原生技术助力5G RAN步入”云”霄 - 对云原生的理解