2011年,Netscape創(chuàng)始人馬克·安德森一句“軟件正在吞噬世界”掀起熱浪;7年前,OpenStack基金會創(chuàng)始人JonathanBryce加上了定語:“世界的一切源于開源”;而隨著云計算概念清晰以及廣泛應用,“云原生”成為了最大的機遇。
如今,國內云原生同樣進入深度落地實踐,并在數(shù)字時代顯示出所未有的新價值。
毋庸置疑,云原生被認為是云計算最重要的發(fā)展方向,它不僅是云服務商們在技術上的角力點,更成為企業(yè)數(shù)字化轉型和上云的必經(jīng)之路。
放眼當下,從“上云”向“云原生”演進,全球都在深度參與并見證一場云原生的技術變革。
云原生帶來劃時代改變
在云計算進入到發(fā)展成熟期之時,云原生作為新基建支撐數(shù)字化轉型的重要技術,逐漸在AI、大數(shù)據(jù)、邊緣計算、5G等領域嶄露頭角,成為數(shù)據(jù)驅動業(yè)務場景的強大引擎。
IDC預測,到2022年,90%的新企業(yè)應用程序將使用云原生應用程序開發(fā)流程、敏捷方法論和API驅動架構。
根據(jù)一份調查報告,全球有大約650萬活躍的云原生開發(fā)者,約有400萬開發(fā)者使用無服務器架構和云方法?,F(xiàn)在92%的組織在生產環(huán)境中使用容器。
云原生主要為行業(yè)帶來了三個方面的改變。
首先,云原生技術從單一容器技術發(fā)展到龐大的云原生技術群。云原生因容器而興起,隨后在容器、微服務、DevOps三大核心技術的推波助瀾下,迅速朝著全?;夹g體系發(fā)展。
其次,云原生的行業(yè)應用從互聯(lián)網(wǎng)發(fā)展到千行百業(yè)。在云原生早期市場,互聯(lián)網(wǎng)企業(yè)是云原生技術應用的主力軍。
最近幾年,政府、金融、制造等傳統(tǒng)行業(yè)用戶也明顯加快了使用云原生的步伐,云原生開始在各大行業(yè)落地生花。
第三,云原生思維由單點技術思維發(fā)展到系統(tǒng)性產業(yè)思維。云原生誕生之初,是以容器技術為基礎,在微服務治理、DevOps、CI/CD等一系列方向優(yōu)化應用交付的思想理念,其核心目的是讓應用開發(fā)、部署、運維更簡單。
如今,隨著云原生在各個行業(yè)業(yè)務場景中的深入應用,云原生的思維方式也日趨形成共識,即從以往的單點技術思維發(fā)展到系統(tǒng)性的產業(yè)思維,云原生開始嘗試全面覆蓋業(yè)務的基礎設施、應用、數(shù)據(jù)、安全等各個方面,以滿足行業(yè)客戶的數(shù)字化轉型需求。
云原生架構引入新風險
雖然好處十分明顯,但云原生架構也引入了各種新型安全風險和潛在的漏洞源?,F(xiàn)有的應用程序安全性方法并不是針對新范式設計的。
相反,DevOps團隊需要一種新的方法來幫助他們更好地識別潛在風險,并使它們能夠將漏洞管理集成到開發(fā)和交付流程中。
早期,軟件開發(fā)被認為是一個線性過程,但云原生架構的興起導致了高度動態(tài)的應用程序環(huán)境。
在這里,變化是唯一不變的。根據(jù)研究,61%的組織認為他們的環(huán)境每分鐘或者更短時間就改變一次。
云原生、基于容器的環(huán)境的動態(tài)特性,以及跟上敏捷開發(fā)速度的需要,使得檢測漏洞和管理應用程序安全更加困難。
根據(jù)一份調查報告,在2020年上半年期間,每天有160起針對蜜罐的攻擊。
其中95%的攻擊旨在劫持資源,而5%的攻擊旨在發(fā)起網(wǎng)絡拒絕服務攻擊。
這個研究還表明,微服務、容器和Kubernetes為89%的CISO創(chuàng)建了應用程序安全盲點。
云原生安全有何不同?
那么,云原生安全相比傳統(tǒng)安全又有何不同呢?其實,云原生安全并不獨特,傳統(tǒng)環(huán)境下的安全問題在云環(huán)境下仍然存在,比如DOS攻擊、內部越權、數(shù)據(jù)泄露、數(shù)據(jù)篡改、漏洞攻擊等,但由于云原生架構的多租戶、虛擬化、快速彈性伸縮等特點,對傳統(tǒng)安全的某些層面提出了新的挑戰(zhàn)。
如果要用一句話總結傳統(tǒng)安全與云原生安全的不同,那可以概括為:傳統(tǒng)安全更重視邊界防護,而云原生安全更重視持續(xù)安全。
這也讓傳統(tǒng)的安全實踐根本不適合這種環(huán)境。事實上,云原生架構從根本上破壞了應用程序的安全性。
傳統(tǒng)的安全漏洞管理方法無法跟上這些動態(tài)環(huán)境,因為傳統(tǒng)方法只能提供單一時刻的靜態(tài)視圖,這使得它們的效率越來越低,并且容易出現(xiàn)盲點。
如何保護云原生應用?
當涉及云原生應用程序時,安全性不能是事后諸葛亮。
安全性必須集成到持續(xù)集成和持續(xù)開發(fā)流程中,而不是依賴于固定的解決方案和方法。
采用基于風險的方法至關重要,但這并不是完整的解決方案。
一個完整的解決方案將這與各種其它安全層結合在一起,這些安全層超越了檢測和評估,而轉向了補救或緩解。
這些措施包括安全左移、應用邊界安全、貫徹最小角色和最低權限、安全共擔等。
安全左移
許多企業(yè)依然在使用已有的工具,卻無法處理云原生應用環(huán)境的速度、規(guī)模和動態(tài)網(wǎng)絡。
如果再加上無服務器功能,會讓整個基礎設施變得更抽象,讓問題更嚴重。
網(wǎng)絡攻擊者會尋找容器和無服務器代碼中的隱患,以及云基礎設施中的錯誤配置,以接入包含敏感信息的實體,再用它們提升權限,攻擊其他實體。
另一個問題是企業(yè)在用CI/CD工具持續(xù)開發(fā)、測試和發(fā)布應用。
當使用容器部署云原生應用的時候,開發(fā)者會從本地或者公共庫當中獲取鏡像,但一般不會檢查這些鏡像是否包含安全隱患。
一種解決方案是給安全團隊提供一些工具,阻止不受信任的鏡像進入CI/CD管道,以及啟用一些機制讓不受信任的鏡像在進入生產前就避免產生安全問題。通過在開發(fā)流程早期掃描鏡像的漏洞、惡意軟件成分等,開發(fā)者可以貫徹安全標準。
應用邊界安全
一個很重要的方式是使用為云原生環(huán)境而制作的API和應用安全工具。除此以外,一個很普遍的操作是在功能級別使用邊界安全——識別功能是否被一個和平時不同的來源所觸發(fā),然后監(jiān)控事件觸發(fā)中存在的異常情況。
在容器化環(huán)境里,一個重要點是在不同級別都要實現(xiàn)安全——編排控制面板、物理主機、pod和容器。
編排的一些最佳安全實踐包括節(jié)點隔離、限制和監(jiān)測容器之間的流量、以及對API服務器使用第三方認證機制。
最小角色與最低權限
云原生資源之間會有大量頻繁的交互。如果能夠對每個無服務器功能或者容易都能配置一些獨特的許可,就能有極大概率提升安全性。
可以通過基于每個函數(shù)使用IAM,或者對容器進行顆粒度的許可,加強接入控制?;ㄒ稽c時間創(chuàng)建最小角色,或者為每個函數(shù)或容器創(chuàng)建一系列的許可。
這就確保了即使云原生結構中有一個點失陷,其造成的危害也是最小的。
安全共擔
在開發(fā)者、DevOps和安全團隊之間建立親密的關系。開發(fā)者并不是安全專家,但他們可以被教育安全操作知識,從而確保他們可以安全地編寫代碼。
安全團隊應該知道應用是如何開發(fā)、測試和部署的,還有哪些工具在流程中被使用,從而安全團隊能夠在這些流程中有效地加入安全元素。
同時,國內也有像騰訊云這類云計算廠商根據(jù)云原生安全需求打造更具針對性的解決方案。
近日,騰訊云正式發(fā)布云主機安全旗艦版,順應了當前云原生安全防護的新需求,助力企業(yè)高效應對安全合規(guī)、高級威脅、多云管理、應急響應等在內的云上安全新挑戰(zhàn)。
騰訊安全基于用戶核心需求,從“預防→防御→檢測→響應”四個階段構建主機安全防護體系。
同時,云主機安全旗艦版依托七大核心引擎、百萬級終端防護、百億威脅數(shù)據(jù),幫助企業(yè)實時防護核心資產安全,滿足等保合規(guī)、資產風險管理及入侵防護需求。
問題之中往往蘊藏著機會,不論是傳統(tǒng)安全還是云安全,都強調應對安全風險的能力,但云作為新興場景,用云原生安全的方式去解決云細分場景的問題,施展空間相比傳統(tǒng)傳統(tǒng)會更大,其不存在傳統(tǒng)安全防御的固有思維,可以創(chuàng)新的角度也更多。
隨著數(shù)字時代的來臨,越來越多的安全廠商正在從“救火隊員”的角色,變成安全架構的“設計師”。
他們將傳統(tǒng)的攻防解決方案,演變成進可攻、退可守的立體安全架構,將割裂的安全產品,打通為可協(xié)同聯(lián)動的安全體系,為企業(yè)的持續(xù)安全保駕護航。