關(guān)于云原生安全性的5個關(guān)鍵因素
雖然“云計算”這個術(shù)語曾經(jīng)是科技行業(yè)討論的主要議題,但“云原生” 和“云原生安全”正在取而代之。越來越多的組織開始在云計算中建立自己的IT和安全性,但有許多要素需要注意。而組織尋求理解不同的元素時,需要考慮以下五個關(guān)鍵因素。
1.云原生安全與云訪問安全代理無關(guān)
當(dāng)人們開始專注于在云端工作時,許多組織意識到他們需要切換業(yè)務(wù)模式,并開始使用軟件即服務(wù)。由于這種轉(zhuǎn)變,公共云安全問題爆發(fā),因此迎來云訪問安全代理(CASB)時代,這些代理通常用來處理像Salesforce數(shù)據(jù)一樣的任務(wù)。
這可能是云時代早期的情況,但與近年來發(fā)展的另一個主題無關(guān)。最近,更多的軟件開發(fā)團隊已經(jīng)著手開發(fā)生產(chǎn)云軟件,因為他們需要創(chuàng)建優(yōu)秀的新軟件來吸引客戶,并啟用新的商業(yè)模式。這一切都凸顯出“每家公司正在成為軟件公司”的主題。
但是,如果企業(yè)為客戶構(gòu)建了一個應(yīng)用程序,并且不想成為泄露數(shù)據(jù)的另一個Equifax公司,則必須為應(yīng)用程序提高更多的安全性。這是云原生的安全性,它與云訪問安全代理(CASB)的作用有著根本的不同。這二者都與云計算有關(guān),但分別解決的是兩個截然不同的問題。
2.云原生安全取代了現(xiàn)有的應(yīng)用程序積極主動的威脅防護措施
企業(yè)在第一次面臨如何保護其云原生軟件的問題時,最初的回應(yīng)是使用現(xiàn)有的安全工具。這是一個選擇,但效率不同,企業(yè)必須執(zhí)行大量人工操作,否則面臨的風(fēng)險將成為企業(yè)創(chuàng)新的瓶頸。
以下安全概念很難在云原生的世界中推廣應(yīng)用:
- 讓IT團隊檢查每個產(chǎn)品更新的材料清單并驗證其合規(guī)性。
- 開發(fā)團隊和運營團隊聚集在一起,構(gòu)建虛擬機,從而可以快速移動,但不會因為頻繁更改或修復(fù)軟件而導(dǎo)致問題的風(fēng)險。
- 讓IT團隊修補補丁,更新虛擬機,并確保所有環(huán)境都適合生產(chǎn)環(huán)境。
- 開發(fā)人員和操作團隊建立了devops,因此可以自己修補。
(1)網(wǎng)站安全防護(WAF)的作用
企業(yè)通常采用網(wǎng)站安全防護(WAF),其目的是阻止工作負載遭到攻擊。除了所有的變化之外,運行網(wǎng)站安全防護(WAF)的工作人員卻無法跟蹤所有的微型工作負載。
(2)網(wǎng)絡(luò)分段
企業(yè)可能已嘗試細分或微分割網(wǎng)絡(luò)以隔離可能引入漏洞的工作負載。雖然這是一個很好的概念,但微小的敏捷工作負載中在現(xiàn)實中并不奏效,一旦不能遵守其規(guī)則,網(wǎng)絡(luò)分段就沒有效果。
然而,云原生安全性的應(yīng)用從根本上得到了擴展。它有更多關(guān)于應(yīng)用程序的信息,并且使用它們來自動化以下提到的所有元素。
自動化使企業(yè)能夠獲得更強大,更精細的安全性,并且允許企業(yè)專注于基于應(yīng)用程序表達安全性策略,而不是在每次更改/更新工作負載時人工配置安全機制。它還允許企業(yè)將其策略集成到現(xiàn)代部署工具中,從而與開發(fā)人員進行直接的討論。
3.云原生安全仍然需要多層次的防御
在傳統(tǒng)的安全術(shù)語中,企業(yè)將考慮多個安全層。企業(yè)可能考慮代碼安全,包管理,操作系統(tǒng)補丁,服務(wù)器端點安全等方面的內(nèi)容。但現(xiàn)在這些不再需要了。但重要的是要明白,使用云原生工作負載不會從這個角度給出任何快捷方式,從這個角度來看,企業(yè)仍然需要用所有必需的安全層包裝軟件。
4.云原生安全是端到端的安全
devops的應(yīng)用將傳統(tǒng)專業(yè)團隊分為兩類:一類是部署微服務(wù)的開發(fā)人員,另一類是致力于云計算的基礎(chǔ)架構(gòu)團隊。通常情況下,即使這兩個團隊也變成了一個單一的“云”團隊,也需要承擔(dān)多重責(zé)任。
如果企業(yè)考慮到這種環(huán)境的安全性,將其分成兩組也是更有意義的:
- (1)云原生基礎(chǔ)架構(gòu):包括企業(yè)云消費的服務(wù)(例如L3-4防火墻,服務(wù)器安全,網(wǎng)絡(luò)加密和存儲加密)的安全性。
- (2)云原生應(yīng)用程序:包括需要應(yīng)用程序感知的任何安全元素(例如,L7防火墻,安全滲透測試,圖像安全性,以及應(yīng)用程序的微分割)。
這將改變?nèi)藗冊谑袌錾峡吹降陌踩a(chǎn)品的類型。云計算供應(yīng)商將在其云端產(chǎn)品中增加更多傳統(tǒng)的基礎(chǔ)架構(gòu)功能,以增強其平臺吸引力,并提供涵蓋所有基礎(chǔ)架構(gòu)安全需求的全方位產(chǎn)品。另一方面,安全提供商將主要側(cè)重于應(yīng)用程序級安全性,并且還將需要提供端到端的安全解決方案,這也將需要包括前面提到的多個因素。
5.云原生安全由云團隊經(jīng)營
傳統(tǒng)上,安全層需要不同人員或團隊的專業(yè)知識(例如端點,服務(wù)器,網(wǎng)絡(luò),身份,PKI,存儲和軟件開發(fā))。企業(yè)可以讓人們手動添加這些安全層作為基礎(chǔ)設(shè)施的分配和應(yīng)用程序的部署,然后調(diào)用團隊中的專家來配置必要的云概念。但是分配這些資源需要是即時的,并且需要改進其安全產(chǎn)品。
云原生安全性已經(jīng)引發(fā)了重大變化。它決定圍繞安全層的策略需要由安全性和基礎(chǔ)架構(gòu)師定。但是,執(zhí)行這些策略的安全機制必須自動附加到云端和配置進程。通過允許devops或云團隊盡可能無縫地進行操作,從而全面展開整個過程。
