關(guān)于云原生安全性的5個關(guān)鍵因素
作者:佚名 2017-10-30 12:44:26
安全
云安全
云原生 雖然“云計(jì)算”這個術(shù)語曾經(jīng)是科技行業(yè)討論的主要議題����,但“云原生” 和“云原生安全”正在取而代之�����。越來越多的組織開始在云計(jì)算中建立自己的IT和安全性,但有許多要素需要注意�����。而組織尋求理解不同的元素時����,需要考慮以下五個關(guān)鍵因素。
雖然“云計(jì)算”這個術(shù)語曾經(jīng)是科技行業(yè)討論的主要議題�,但“云原生” 和“云原生安全”正在取而代之。越來越多的組織開始在云計(jì)算中建立自己的IT和安全性����,但有許多要素需要注意。而組織尋求理解不同的元素時��,需要考慮以下五個關(guān)鍵因素����。
1.云原生安全與云訪問安全代理無關(guān)
當(dāng)人們開始專注于在云端工作時,許多組織意識到他們需要切換業(yè)務(wù)模式���,并開始使用軟件即服務(wù)����。由于這種轉(zhuǎn)變,公共云安全問題爆發(fā)�,因此迎來云訪問安全代理(CASB)時代,這些代理通常用來處理像Salesforce數(shù)據(jù)一樣的任務(wù)��。
這可能是云時代早期的情況�����,但與近年來發(fā)展的另一個主題無關(guān)��。最近�����,更多的軟件開發(fā)團(tuán)隊(duì)已經(jīng)著手開發(fā)生產(chǎn)云軟件�,因?yàn)樗麄冃枰獎?chuàng)建優(yōu)秀的新軟件來吸引客戶�����,并啟用新的商業(yè)模式��。這一切都凸顯出“每家公司正在成為軟件公司”的主題�����。
但是,如果企業(yè)為客戶構(gòu)建了一個應(yīng)用程序��,并且不想成為泄露數(shù)據(jù)的另一個Equifax公司����,則必須為應(yīng)用程序提高更多的安全性。這是云原生的安全性�����,它與云訪問安全代理(CASB)的作用有著根本的不同���。這二者都與云計(jì)算有關(guān)���,但分別解決的是兩個截然不同的問題。
2.云原生安全取代了現(xiàn)有的應(yīng)用程序積極主動的威脅防護(hù)措施
企業(yè)在第一次面臨如何保護(hù)其云原生軟件的問題時���,最初的回應(yīng)是使用現(xiàn)有的安全工具���。這是一個選擇,但效率不同��,企業(yè)必須執(zhí)行大量人工操作,否則面臨的風(fēng)險(xiǎn)將成為企業(yè)創(chuàng)新的瓶頸���。
以下安全概念很難在云原生的世界中推廣應(yīng)用:
- 讓IT團(tuán)隊(duì)檢查每個產(chǎn)品更新的材料清單并驗(yàn)證其合規(guī)性��。
- 開發(fā)團(tuán)隊(duì)和運(yùn)營團(tuán)隊(duì)聚集在一起���,構(gòu)建虛擬機(jī),從而可以快速移動����,但不會因?yàn)轭l繁更改或修復(fù)軟件而導(dǎo)致問題的風(fēng)險(xiǎn)。
- 讓IT團(tuán)隊(duì)修補(bǔ)補(bǔ)丁����,更新虛擬機(jī)��,并確保所有環(huán)境都適合生產(chǎn)環(huán)境���。
- 開發(fā)人員和操作團(tuán)隊(duì)建立了devops���,因此可以自己修補(bǔ)。
(1)網(wǎng)站安全防護(hù)(WAF)的作用
企業(yè)通常采用網(wǎng)站安全防護(hù)(WAF)��,其目的是阻止工作負(fù)載遭到攻擊。除了所有的變化之外����,運(yùn)行網(wǎng)站安全防護(hù)(WAF)的工作人員卻無法跟蹤所有的微型工作負(fù)載。
(2)網(wǎng)絡(luò)分段
企業(yè)可能已嘗試細(xì)分或微分割網(wǎng)絡(luò)以隔離可能引入漏洞的工作負(fù)載�。雖然這是一個很好的概念,但微小的敏捷工作負(fù)載中在現(xiàn)實(shí)中并不奏效�����,一旦不能遵守其規(guī)則�����,網(wǎng)絡(luò)分段就沒有效果�。
然而,云原生安全性的應(yīng)用從根本上得到了擴(kuò)展����。它有更多關(guān)于應(yīng)用程序的信息,并且使用它們來自動化以下提到的所有元素�。
自動化使企業(yè)能夠獲得更強(qiáng)大,更精細(xì)的安全性�����,并且允許企業(yè)專注于基于應(yīng)用程序表達(dá)安全性策略,而不是在每次更改/更新工作負(fù)載時人工配置安全機(jī)制�。它還允許企業(yè)將其策略集成到現(xiàn)代部署工具中,從而與開發(fā)人員進(jìn)行直接的討論�����。
3.云原生安全仍然需要多層次的防御
在傳統(tǒng)的安全術(shù)語中�,企業(yè)將考慮多個安全層。企業(yè)可能考慮代碼安全�����,包管理���,操作系統(tǒng)補(bǔ)丁��,服務(wù)器端點(diǎn)安全等方面的內(nèi)容��。但現(xiàn)在這些不再需要了。但重要的是要明白���,使用云原生工作負(fù)載不會從這個角度給出任何快捷方式����,從這個角度來看,企業(yè)仍然需要用所有必需的安全層包裝軟件���。
4.云原生安全是端到端的安全
devops的應(yīng)用將傳統(tǒng)專業(yè)團(tuán)隊(duì)分為兩類:一類是部署微服務(wù)的開發(fā)人員,另一類是致力于云計(jì)算的基礎(chǔ)架構(gòu)團(tuán)隊(duì)��。通常情況下����,即使這兩個團(tuán)隊(duì)也變成了一個單一的“云”團(tuán)隊(duì),也需要承擔(dān)多重責(zé)任��。
如果企業(yè)考慮到這種環(huán)境的安全性����,將其分成兩組也是更有意義的:
- (1)云原生基礎(chǔ)架構(gòu):包括企業(yè)云消費(fèi)的服務(wù)(例如L3-4防火墻,服務(wù)器安全�,網(wǎng)絡(luò)加密和存儲加密)的安全性。
- (2)云原生應(yīng)用程序:包括需要應(yīng)用程序感知的任何安全元素(例如��,L7防火墻����,安全滲透測試,圖像安全性���,以及應(yīng)用程序的微分割)�����。
這將改變?nèi)藗冊谑袌錾峡吹降陌踩a(chǎn)品的類型�����。云計(jì)算供應(yīng)商將在其云端產(chǎn)品中增加更多傳統(tǒng)的基礎(chǔ)架構(gòu)功能�����,以增強(qiáng)其平臺吸引力��,并提供涵蓋所有基礎(chǔ)架構(gòu)安全需求的全方位產(chǎn)品�����。另一方面�,安全提供商將主要側(cè)重于應(yīng)用程序級安全性,并且還將需要提供端到端的安全解決方案��,這也將需要包括前面提到的多個因素�����。
5.云原生安全由云團(tuán)隊(duì)經(jīng)營
傳統(tǒng)上�����,安全層需要不同人員或團(tuán)隊(duì)的專業(yè)知識(例如端點(diǎn)����,服務(wù)器�����,網(wǎng)絡(luò)�,身份,PKI�����,存儲和軟件開發(fā))����。企業(yè)可以讓人們手動添加這些安全層作為基礎(chǔ)設(shè)施的分配和應(yīng)用程序的部署�����,然后調(diào)用團(tuán)隊(duì)中的專家來配置必要的云概念。但是分配這些資源需要是即時的�����,并且需要改進(jìn)其安全產(chǎn)品。
云原生安全性已經(jīng)引發(fā)了重大變化�。它決定圍繞安全層的策略需要由安全性和基礎(chǔ)架構(gòu)師定。但是����,執(zhí)行這些策略的安全機(jī)制必須自動附加到云端和配置進(jìn)程。通過允許devops或云團(tuán)隊(duì)盡可能無縫地進(jìn)行操作�����,從而全面展開整個過程�����。
名稱欄目:關(guān)于云原生安全性的5個關(guān)鍵因素
網(wǎng)頁網(wǎng)址:
http://uogjgqi.cn/article/djshopd.html
