云原生安全風(fēng)險(xiǎn)
隨著云原生架構(gòu)的快速發(fā)展,核心能力逐漸穩(wěn)定,安全問題日趨緊急。在云原生安全領(lǐng)域不但有新技術(shù)帶來的新風(fēng)險(xiǎn),傳統(tǒng)IT基礎(chǔ)設(shè)施下的安全威脅也依然存在。要想做好云原生安全,就要從這兩個(gè)方面分別進(jìn)行分析和解決。
新技術(shù)帶來新的安全風(fēng)險(xiǎn)
云原生的概念定義本身就比較抽象,從誕生到現(xiàn)在也經(jīng)歷了多次變化。2018年CNCF對(duì)云原生的概念進(jìn)行了重定義:云原生技術(shù)有利于各組織在公有云、私有云和混合云等新型動(dòng)態(tài)環(huán)境中,構(gòu)建和運(yùn)行可彈性擴(kuò)展的應(yīng)用。云原生的代表技術(shù)包括容器、服務(wù)網(wǎng)格、微服務(wù)、不可變基礎(chǔ)設(shè)施和聲明式API。雖然這是云原生概念最新的定義,但是不同的人對(duì)云原生的抽象概念理解相差很大,一直在不斷地爭論。狹義的理解直接套用定義,認(rèn)為定義之外的技術(shù)不屬于云原生。廣義的理解則認(rèn)為定義不夠貼切,應(yīng)該從字面含義進(jìn)行理解,認(rèn)為只要是能利用云的特性,在軟件工程各階段提高效率,降低成本的行為、技術(shù),都可以認(rèn)為是云原生。
從普遍認(rèn)知來看,云原生主要包括kubernetes和容器、微服務(wù)、云基礎(chǔ)設(shè)施,其中kubernetes和容器在某種程度上已經(jīng)是云原生的代名詞。其中kubernetes和容器作為云原生時(shí)代的典型技術(shù),也是帶來風(fēng)險(xiǎn)最多的技術(shù),包括:kubernetes組件漏洞、認(rèn)證鑒權(quán)不規(guī)范、公開鏡像存在漏洞、鏡像被植入惡意程序、容器隔離被突破造成逃逸等。微服務(wù)在云原生時(shí)代快速發(fā)展,在內(nèi)部風(fēng)險(xiǎn)無法防范的時(shí)候會(huì)擴(kuò)大安全風(fēng)險(xiǎn),造成橫向攻擊擴(kuò)散。
傳統(tǒng)IT基礎(chǔ)設(shè)施的威脅依然存在
云原生不能脫離底層IT基礎(chǔ)設(shè)施:計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)而存在,因此這些IT基礎(chǔ)設(shè)施面臨的問題在云原生場(chǎng)景下依然存在。DDoS攻擊防護(hù)、cc攻擊防護(hù)、漏洞、木馬、病毒、數(shù)據(jù)泄露等等安全風(fēng)險(xiǎn),并沒有因?yàn)樵圃陌l(fā)展而降低。
云原生安全構(gòu)建
在云原生安全早期,人們的慣性思維就是利用傳統(tǒng)的安全防護(hù)手段去進(jìn)行云原生安全防護(hù)。經(jīng)過這么多年的攻防對(duì)抗,傳統(tǒng)產(chǎn)品在各自的領(lǐng)域都已經(jīng)身經(jīng)百戰(zhàn),解決對(duì)應(yīng)的安全問題也都不在話下,這些安全產(chǎn)品通過簡單地改造,就可以與云原生架構(gòu)配合運(yùn)行。
積木式云原生安全
這個(gè)階段云原生安全并不存在一個(gè)完整的架構(gòu),各安全產(chǎn)品就像搭積木一樣跟云原生架構(gòu)進(jìn)行配合。隨著這個(gè)安全體系的構(gòu)建,工程師門很快就發(fā)現(xiàn),安全并沒有因?yàn)樵圃牡絹戆l(fā)生什么改變,這種搭積木式的云原生安全方案,從遠(yuǎn)處看各方面的安全都能有,方案也很完整。但是從近處看就能看到安全產(chǎn)品之間基本沒有聯(lián)系,使用起來并沒有什么改變,似乎安全和云原生就是兩個(gè)獨(dú)立的領(lǐng)域,無法支撐云原生快速發(fā)展的安全防護(hù)需求。
裝配式云原生安全
隨著在云原生安全方向上的深入研究,人們發(fā)現(xiàn)安全+云原生并不是簡單組合一下就能變成云原生安全。要想做好云原生安全,就必須按照云原生的思想去思考安全問題怎么解決,云原生安全應(yīng)該是一個(gè)整體,而不是各個(gè)割裂的安全產(chǎn)品。Gartner認(rèn)為,全面保護(hù)云原生應(yīng)用需要使用來自多個(gè)供應(yīng)商的多種工具,這些工具很少得到很好的集成,而且通常只為安全專業(yè)人員設(shè)計(jì),而不是與開發(fā)人員合作。對(duì)于組織而言,這種孤立的安全工具在面對(duì)實(shí)際安全風(fēng)險(xiǎn)的并不太有效,而且會(huì)導(dǎo)致過多的警報(bào)、浪費(fèi)開發(fā)人員的時(shí)間。在這種趨勢(shì)下,Gartner提出了CNAPP云原生應(yīng)用保護(hù)平臺(tái),將多種安全工具緊密地結(jié)合在一起,以保護(hù)日益復(fù)雜的攻擊面。
云原生的一個(gè)底層核心理念就是拆解、組合和標(biāo)準(zhǔn)化,這其實(shí)也是軟件開發(fā)領(lǐng)域一個(gè)軟件工程師長期追求的目標(biāo),即將業(yè)務(wù)邏輯和通用邏輯不斷拆分,通用邏輯逐漸獨(dú)立標(biāo)準(zhǔn)化,開發(fā)人員只需要關(guān)注自身業(yè)務(wù)邏輯。kubernetes從業(yè)務(wù)應(yīng)用的角度將通用邏輯拆解,解決業(yè)務(wù)場(chǎng)景靈活多變的問題。不可變基礎(chǔ)設(shè)施作為云原生定義的四大要素,是最容易被忽略的,但是這個(gè)理念卻是云原生能夠持續(xù)發(fā)展的核心,極大地降低了云原生的復(fù)雜度,將標(biāo)準(zhǔn)化發(fā)揮到極致。這兩個(gè)核心技術(shù)都是底層理念的表現(xiàn)。這個(gè)理念跟裝配式建筑十分類似,把傳統(tǒng)建造方式中的大量工作轉(zhuǎn)移到工廠進(jìn)行,在工廠加工制作好建筑配件(如樓板、墻板、樓梯、陽臺(tái)等),運(yùn)輸?shù)浇ㄖ┕がF(xiàn)場(chǎng),通過可靠的連接方式在現(xiàn)場(chǎng)裝配安裝而成的建筑。這種方式不僅建筑速度快,工業(yè)化質(zhì)量也有保障。
裝配式云原生安全,就是按照云原生的核心理念,將各安全能力進(jìn)行拆分、標(biāo)準(zhǔn)化改造、再組合。各安全能力不只是簡單的堆疊,通過云原生技術(shù)可靠地連接在一起,讓每個(gè)業(yè)務(wù)應(yīng)用從誕生開始,就具備合適的安全能力,實(shí)現(xiàn)發(fā)布即安全。相比積木式能力組合,這種方式可以讓安全和業(yè)務(wù)實(shí)現(xiàn)深入且自由地組合,形成靈活又可靠的云原生安全。
應(yīng)用按照時(shí)間維度可分為開發(fā)、測(cè)試、部署、運(yùn)行、響應(yīng),空間維度可分為主機(jī)、操作系統(tǒng)、kubernetes、容器、服務(wù)、網(wǎng)絡(luò),從這兩個(gè)維度出發(fā),將各種安全能力進(jìn)行拆解和組合,通過統(tǒng)一的云原生安全平臺(tái)進(jìn)行管理,真正將安全和業(yè)務(wù)的各個(gè)階段都能緊密地連接在一起,才能形成真正的云原生安全。
審核編輯 黃宇
-
云原生
+關(guān)注
關(guān)注
0文章
249瀏覽量
7950
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論