信息化觀察網(wǎng)

2011年，Netscape創(chuàng)始人馬克·安德森一句“軟件正在吞噬世界”掀起熱浪；7年前，OpenStack基金會創(chuàng)始人JonathanBryce加上了定語：“世界的一切源于開源”；而隨著云計算概念清晰以及廣泛應用，“云原生”成為了最大的機遇。

如今，國內(nèi)云原生同樣進入深度落地實踐，并在數(shù)字時代顯示出所未有的新價值。

毋庸置疑，云原生被認為是云計算最重要的發(fā)展方向，它不僅是云服務商們在技術上的角力點，更成為企業(yè)數(shù)字化轉(zhuǎn)型和上云的必經(jīng)之路。

放眼當下，從“上云”向“云原生”演進，全球都在深度參與并見證一場云原生的技術變革。

云原生帶來劃時代改變

在云計算進入到發(fā)展成熟期之時，云原生作為新基建支撐數(shù)字化轉(zhuǎn)型的重要技術，逐漸在AI、大數(shù)據(jù)、邊緣計算、5G等領域嶄露頭角，成為數(shù)據(jù)驅(qū)動業(yè)務場景的強大引擎。

IDC預測，到2022年，90%的新企業(yè)應用程序?qū)⑹褂迷圃鷳贸绦蜷_發(fā)流程、敏捷方法論和API驅(qū)動架構(gòu)。

根據(jù)一份調(diào)查報告，全球有大約650萬活躍的云原生開發(fā)者，約有400萬開發(fā)者使用無服務器架構(gòu)和云方法?，F(xiàn)在92%的組織在生產(chǎn)環(huán)境中使用容器。

云原生主要為行業(yè)帶來了三個方面的改變。

首先，云原生技術從單一容器技術發(fā)展到龐大的云原生技術群。云原生因容器而興起，隨后在容器、微服務、DevOps三大核心技術的推波助瀾下，迅速朝著全?；夹g體系發(fā)展。

其次，云原生的行業(yè)應用從互聯(lián)網(wǎng)發(fā)展到千行百業(yè)。在云原生早期市場，互聯(lián)網(wǎng)企業(yè)是云原生技術應用的主力軍。

最近幾年，政府、金融、制造等傳統(tǒng)行業(yè)用戶也明顯加快了使用云原生的步伐，云原生開始在各大行業(yè)落地生花。

第三，云原生思維由單點技術思維發(fā)展到系統(tǒng)性產(chǎn)業(yè)思維。云原生誕生之初，是以容器技術為基礎，在微服務治理、DevOps、CI/CD等一系列方向優(yōu)化應用交付的思想理念，其核心目的是讓應用開發(fā)、部署、運維更簡單。

如今，隨著云原生在各個行業(yè)業(yè)務場景中的深入應用，云原生的思維方式也日趨形成共識，即從以往的單點技術思維發(fā)展到系統(tǒng)性的產(chǎn)業(yè)思維，云原生開始嘗試全面覆蓋業(yè)務的基礎設施、應用、數(shù)據(jù)、安全等各個方面，以滿足行業(yè)客戶的數(shù)字化轉(zhuǎn)型需求。

云原生架構(gòu)引入新風險

雖然好處十分明顯，但云原生架構(gòu)也引入了各種新型安全風險和潛在的漏洞源?，F(xiàn)有的應用程序安全性方法并不是針對新范式設計的。

相反，DevOps團隊需要一種新的方法來幫助他們更好地識別潛在風險，并使它們能夠?qū)⒙┒垂芾砑傻介_發(fā)和交付流程中。

早期，軟件開發(fā)被認為是一個線性過程，但云原生架構(gòu)的興起導致了高度動態(tài)的應用程序環(huán)境。

在這里，變化是唯一不變的。根據(jù)研究，61%的組織認為他們的環(huán)境每分鐘或者更短時間就改變一次。

云原生、基于容器的環(huán)境的動態(tài)特性，以及跟上敏捷開發(fā)速度的需要，使得檢測漏洞和管理應用程序安全更加困難。

根據(jù)一份調(diào)查報告，在2020年上半年期間，每天有160起針對蜜罐的攻擊。

其中95%的攻擊旨在劫持資源，而5%的攻擊旨在發(fā)起網(wǎng)絡拒絕服務攻擊。

這個研究還表明，微服務、容器和Kubernetes為89%的CISO創(chuàng)建了應用程序安全盲點。

云原生安全有何不同？

那么，云原生安全相比傳統(tǒng)安全又有何不同呢？其實，云原生安全并不獨特，傳統(tǒng)環(huán)境下的安全問題在云環(huán)境下仍然存在，比如DOS攻擊、內(nèi)部越權、數(shù)據(jù)泄露、數(shù)據(jù)篡改、漏洞攻擊等，但由于云原生架構(gòu)的多租戶、虛擬化、快速彈性伸縮等特點，對傳統(tǒng)安全的某些層面提出了新的挑戰(zhàn)。

如果要用一句話總結(jié)傳統(tǒng)安全與云原生安全的不同，那可以概括為：傳統(tǒng)安全更重視邊界防護，而云原生安全更重視持續(xù)安全。

這也讓傳統(tǒng)的安全實踐根本不適合這種環(huán)境。事實上，云原生架構(gòu)從根本上破壞了應用程序的安全性。

傳統(tǒng)的安全漏洞管理方法無法跟上這些動態(tài)環(huán)境，因為傳統(tǒng)方法只能提供單一時刻的靜態(tài)視圖，這使得它們的效率越來越低，并且容易出現(xiàn)盲點。

如何保護云原生應用？

當涉及云原生應用程序時，安全性不能是事后諸葛亮。

安全性必須集成到持續(xù)集成和持續(xù)開發(fā)流程中，而不是依賴于固定的解決方案和方法。

采用基于風險的方法至關重要，但這并不是完整的解決方案。

一個完整的解決方案將這與各種其它安全層結(jié)合在一起，這些安全層超越了檢測和評估，而轉(zhuǎn)向了補救或緩解。

這些措施包括安全左移、應用邊界安全、貫徹最小角色和最低權限、安全共擔等。

安全左移

許多企業(yè)依然在使用已有的工具，卻無法處理云原生應用環(huán)境的速度、規(guī)模和動態(tài)網(wǎng)絡。

如果再加上無服務器功能，會讓整個基礎設施變得更抽象，讓問題更嚴重。

網(wǎng)絡攻擊者會尋找容器和無服務器代碼中的隱患，以及云基礎設施中的錯誤配置，以接入包含敏感信息的實體，再用它們提升權限，攻擊其他實體。

另一個問題是企業(yè)在用CI/CD工具持續(xù)開發(fā)、測試和發(fā)布應用。

當使用容器部署云原生應用的時候，開發(fā)者會從本地或者公共庫當中獲取鏡像，但一般不會檢查這些鏡像是否包含安全隱患。

一種解決方案是給安全團隊提供一些工具，阻止不受信任的鏡像進入CI/CD管道，以及啟用一些機制讓不受信任的鏡像在進入生產(chǎn)前就避免產(chǎn)生安全問題。通過在開發(fā)流程早期掃描鏡像的漏洞、惡意軟件成分等，開發(fā)者可以貫徹安全標準。

應用邊界安全

一個很重要的方式是使用為云原生環(huán)境而制作的API和應用安全工具。除此以外，一個很普遍的操作是在功能級別使用邊界安全——識別功能是否被一個和平時不同的來源所觸發(fā)，然后監(jiān)控事件觸發(fā)中存在的異常情況。

在容器化環(huán)境里，一個重要點是在不同級別都要實現(xiàn)安全——編排控制面板、物理主機、pod和容器。

編排的一些最佳安全實踐包括節(jié)點隔離、限制和監(jiān)測容器之間的流量、以及對API服務器使用第三方認證機制。

最小角色與最低權限

云原生資源之間會有大量頻繁的交互。如果能夠?qū)γ總€無服務器功能或者容易都能配置一些獨特的許可，就能有極大概率提升安全性。

可以通過基于每個函數(shù)使用IAM，或者對容器進行顆粒度的許可，加強接入控制?；ㄒ稽c時間創(chuàng)建最小角色，或者為每個函數(shù)或容器創(chuàng)建一系列的許可。

這就確保了即使云原生結(jié)構(gòu)中有一個點失陷，其造成的危害也是最小的。

安全共擔

在開發(fā)者、DevOps和安全團隊之間建立親密的關系。開發(fā)者并不是安全專家，但他們可以被教育安全操作知識，從而確保他們可以安全地編寫代碼。

安全團隊應該知道應用是如何開發(fā)、測試和部署的，還有哪些工具在流程中被使用，從而安全團隊能夠在這些流程中有效地加入安全元素。

同時，國內(nèi)也有像騰訊云這類云計算廠商根據(jù)云原生安全需求打造更具針對性的解決方案。

近日，騰訊云正式發(fā)布云主機安全旗艦版，順應了當前云原生安全防護的新需求，助力企業(yè)高效應對安全合規(guī)、高級威脅、多云管理、應急響應等在內(nèi)的云上安全新挑戰(zhàn)。

騰訊安全基于用戶核心需求，從“預防→防御→檢測→響應”四個階段構(gòu)建主機安全防護體系。

同時，云主機安全旗艦版依托七大核心引擎、百萬級終端防護、百億威脅數(shù)據(jù)，幫助企業(yè)實時防護核心資產(chǎn)安全，滿足等保合規(guī)、資產(chǎn)風險管理及入侵防護需求。

問題之中往往蘊藏著機會，不論是傳統(tǒng)安全還是云安全，都強調(diào)應對安全風險的能力，但云作為新興場景，用云原生安全的方式去解決云細分場景的問題，施展空間相比傳統(tǒng)傳統(tǒng)會更大，其不存在傳統(tǒng)安全防御的固有思維，可以創(chuàng)新的角度也更多。

隨著數(shù)字時代的來臨，越來越多的安全廠商正在從“救火隊員”的角色，變成安全架構(gòu)的“設計師”。

他們將傳統(tǒng)的攻防解決方案，演變成進可攻、退可守的立體安全架構(gòu)，將割裂的安全產(chǎn)品，打通為可協(xié)同聯(lián)動的安全體系，為企業(yè)的持續(xù)安全保駕護航。