云安全一直有兩個基本支柱：一是發現問題的可見性，另一個是有效修復威脅的能力。在理想情況下是以主動的方式進行保護，這意味著在風險被攻擊者利用之前降低風險。自從十多年前一些企業開始將工作負載轉移到云平臺中以來，這兩個支柱都沒有改變。

然而，企業實施云安全所需的工具和流程近年來發生了巨大的變化。隨著企業從由虛擬機驅動的基本云環境轉變為分布式、基于微服務的云原生環境，在五到十年前采取的云安全策略如今已不能有效應對威脅行為者。

如今，隨著云計算戰略和架構的發展，確保云安全顯然至關重要。以下對云安全意味著什么以及企業應遵循哪些最佳實踐來滿足云原生安全要求進行了解釋。

從云安全到云原生安全

傳統云計算環境和云原生計算環境之間有著很大的區別。從廣義上講，傳統的云計算安全和云原生安全有很大的不同。

在傳統的云計算環境中，企業可以通過設置云計算防火墻和定義安全組來保護工作負載。企業通過將代理加載到收集日志和指標的虛擬機上來實現安全可見性。可能已經使用云計算提供商的云原生安全工具(如Amazon GuardDuty或Microsoft Defender)來解釋該數據并檢測威脅。企業可能還定期審核其云計算IAM設置以檢測潛在的錯誤配置，甚至將一些安全操作工作交給托管安全服務提供商(MSSP)。

這些類型的工具和流程在云原生環境中仍然很重要。但是，僅靠它們還不足以應對云原生工作負載環境中出現的獨特的安全挑戰。傳統的云計算安全無法滿足以下需求：

• 識別IaaS之外的風險：云原生攻擊面超出了傳統的基礎設施和應用程序。例如，Kubernetes RBAC配置錯誤可能會造成安全風險，僅監控虛擬機或應用程序不會提醒用戶注意它們。
• 管理不斷變化的配置：現代的云原生環境可能包括數十個用戶和工作負載，有數千個訪問控制規則定義了誰可以做什么，并且其設置在不斷變化。在這種快速變化的動態環境中，定期審計不足以主動檢測威脅。
• 多云安全需求：當企業需要保護跨多個云平臺運行的工作負載時，云計算供應商提供的云原生安全工具在功能方面是不夠的。
• 糾正根本原因：知道存在風險并不總是足以在復雜的云原生架構中快速修復它。例如，檢測應用程序中的代碼注入漏洞并不一定意味著企業可以快速將問題追溯到觸發它的特定微服務或代碼提交。

因此，雖然傳統的云安全仍然是云原生安全基礎的一部分，但它本身并不是一個完整的基礎。要全面保護云原生工作負載，企業需要擴展現有的安全工具和流程來保護傳統云工作負載。

云原生安全最佳實踐

要實現云原生工作負載的完全安全性， 需要努力遵循以下實踐。

(1)將安全性融入開發管道

在云原生世界中，不要等到部署應用程序后才考慮風險。與其相反，通過將安全測試融入到持續集成(CI)/持續交付(CD)管道中，最大限度地提高在部署前發現和修復問題的機會。在理想情況下，企業將執行一系列測試——從測試源代碼開始，然后在預生產環境中針對二進制文件運行測試。

(2)超越代理

雖然基于代理的安全性可能足以保護虛擬機等簡單的云計算工作負載，但在某些情況下(例如，當企業使用無服務器功能時)無法部署代理來實現安全可見性。

與其相反，企業需要通過確保其應用程序公開檢測威脅所需的數據，而不依賴代理作為中介，從而在代碼本身中增加安全可見性。

(3)實施分層安全

云原生環境包括許多層，例如基礎設施、應用程序、編排、物理和虛擬網絡等，因此需要確保每一層的安全。這意味著除了捕獲傳統的云安全風險(如IAM錯誤配置)之外，還需要部署能夠檢測風險的工具和安全分析流程，例如，通過配置Kubernetes部署的方式或從容器映像內部檢測風險。

(4)持續和實時審計

同樣，定期審核或驗證云計算配置不足以確保企業可以實時檢測和修復威脅。與其相反，應該部署可以持續監控所有配置并立即提醒注意風險的工具。

(5)自動修復

在可能的情況下，還應該部署可以立即隔離或緩解威脅的自動修復工具，而無需人工參與。這種方法不僅可以減輕企業對IT和安全團隊的負擔，而且還允許盡可能快速和主動地修復漏洞。