【51CTO.com快譯】云原生應(yīng)用程序與基礎(chǔ)設(shè)施需要配合不同于以往的安全方法。而以下最佳實(shí)踐無(wú)疑值得您關(guān)注。

[[208431]]

如今，各類企業(yè)皆在積極探索云原生軟件技術(shù)的應(yīng)用。“云原生”是指將軟件打包至容器這類標(biāo)準(zhǔn)化單元中的方法，將這些單元排列成彼此對(duì)接的微服務(wù)即可構(gòu)成應(yīng)用程序，從而確保所運(yùn)行的應(yīng)用程序?qū)崿F(xiàn)高度自動(dòng)化，并帶來(lái)速度、靈活性與可擴(kuò)展性等優(yōu)勢(shì)。

由于此類方案徹底顛覆了軟件的構(gòu)建、部署與運(yùn)行方式，因此從根本上改變了軟件的保護(hù)需求。云原生應(yīng)用程序與基礎(chǔ)設(shè)施帶來(lái)了多種全新挑戰(zhàn)，因此需要配合新的安全程序以支持企業(yè)安心運(yùn)用云原生技術(shù)。

首先，我們將著眼于具體挑戰(zhàn)，而后分兩大部分探討能夠?qū)⑵浣鉀Q的最佳實(shí)踐。下面來(lái)看具體挑戰(zhàn)：

1. 傳統(tǒng)安全基礎(chǔ)設(shè)施缺少容器可見能力。 大多數(shù)現(xiàn)有主機(jī)型與網(wǎng)絡(luò)安全工具無(wú)法監(jiān)控或捕捉容器活動(dòng)。這些工具的設(shè)計(jì)初衷在于保護(hù)單一操作系統(tǒng)或主機(jī)間的流量，而非運(yùn)行在其上的應(yīng)用程序。這意味著缺少對(duì)容器內(nèi)事件、系統(tǒng)交互與容器間流量的可見能力。

2.  攻擊面可能快速變化。 云原生應(yīng)用程序包含大量被稱為微服務(wù)的小型組件，這些組件高度分布且必須進(jìn)行獨(dú)立審計(jì)及保護(hù)。由于此類應(yīng)用程序需要專門由編排系統(tǒng)進(jìn)行配置與規(guī)模調(diào)整，因此攻擊面將隨時(shí)變化——且速度遠(yuǎn)高于傳統(tǒng)整體式應(yīng)用程序。

3.  分布式數(shù)據(jù)流要求持續(xù)監(jiān)控。 容器與微服務(wù)具備輕量化特性，且需要以編程化方式實(shí)現(xiàn)彼此或與外部云服務(wù)間的交互。這將帶來(lái)大量跨越環(huán)境的快速移動(dòng)數(shù)據(jù)，我們需要對(duì)其進(jìn)行持續(xù)監(jiān)控以快速發(fā)現(xiàn)攻擊與入侵跡象，同時(shí)不斷掌握未授權(quán)數(shù)據(jù)訪問或滲透行為。

4.  檢測(cè)、預(yù)防與響應(yīng)必須實(shí)現(xiàn)自動(dòng)化。容器生成事件的規(guī)模與速度要遠(yuǎn)超過現(xiàn)有安全運(yùn)營(yíng)工作流的承載能力。容器的短暫生命周期也使相關(guān)工具難以捕捉、分析并確定事件的根本原因。有效的威脅保護(hù)方案需要以自動(dòng)化方式進(jìn)行數(shù)據(jù)收集、過濾、關(guān)聯(lián)以及分析，從而對(duì)新事件作出充分反應(yīng)。

面對(duì)上述全新挑戰(zhàn)，安全專業(yè)人士需要建立新的安全程序以支持企業(yè)對(duì)云原生技術(shù)方案的使用。當(dāng)然，這類安全程序也應(yīng)當(dāng)有能力解決云原生應(yīng)用程序完整生命周期內(nèi)的各類問題，具體可分為兩大不同階段：構(gòu)建與部署階段，以及運(yùn)行時(shí)階段。兩大階段各自擁有不同的安全需求考量，且必須將二者結(jié)合起來(lái)方能構(gòu)建起一套全面的安全規(guī)程。

到這里，我們已經(jīng)對(duì)面對(duì)的實(shí)際挑戰(zhàn)擁有了充分的認(rèn)識(shí)。在本篇文章的下半部分內(nèi)，我們將詳細(xì)探討兩大階段中存在的具體問題，并考量如何將其解決。各位讀者朋友，咱們不見不散!

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】