本文翻譯自 Hazel Raoult^[1] 的 How to Optimize Security in Cloud-Native Applications^[2]。

近年來，企業對云原生應用的依賴日益增加，這也使云原生應用成為攻擊的首選目標。如今，企業的安全團隊需要優先考慮這些資產的安全性，以防止大規模的服務中斷和數據泄露。

根據 IBM 2024 年《Cost of a Data Breach（數據泄露成本報告）》顯示，目前 45%的網絡攻擊^[3] 是基于云的。2024 年 7 月，微軟的 Azure 遭遇了一次重大的 DDoS 攻擊，導致關鍵服務 停運近10小時^[4]。對于依賴這些服務來為客戶提供不間斷服務的企業來說，這種停機時間無疑會帶來巨大的損失。

基于這一背景，讓我們探討如何提升云原生應用的安全性，以防止類似情況的發生，并確保關鍵云服務的韌性和可靠性。

用戶控制優化

人為因素始終在數字資產（包括云原生應用程序）的安全中發揮重要作用。除非我們在不久的將來完全被機器取代，否則人類仍將在代碼編寫、配置管理以及最終的應用安全性方面做出重要決策。這是一種巨大的壓力，因為一個小小的錯誤就可能導致嚴重的漏洞，進而讓我們的云資產暴露在攻擊和操作失誤的風險之下。

一個合理的解決方案是加強教育和培訓，使開發人員和用戶能夠理解潛在風險，并學會實施強有力的安全協議和最佳實踐。

在技術措施方面，應重點關注強大的身份和訪問管理（IAM）。最小權限原則是實現強 IAM 的首選方法。它確保用戶被授予完成任務所需的最低訪問權限，從而顯著減少攻擊面和帳戶受損的風險。

花時間為每個無服務器函數或容器創建最小角色或權限集。這樣，即使云原生架構中的某個元素被攻破，造成的損害也將最小，且不會輕易擴散到其他組件。

這里需要避免的一個錯誤是將訪問級別審查限制在不頻繁的時間間隔。隨著工作職責的變化（或解除），應持續監控和調整訪問權限。定期評估和更新角色，以確保訪問權限保持適當并與當前職責保持一致。

安全測試精簡化

云原生應用相較于傳統開發的一個優勢在于能夠利用更細粒度的自動化安全測試。云原生環境可以利用持續集成和持續部署（CI/CD）流水線。這使開發人員能夠將安全測試 集成到開發的每個階段^[5]，使其成為軟件開發生命周期的基礎組成部分，而不是事后的考慮。

有各種開源工具和應用安全服務可用于增強安全測試。自動化工具可以 確保代碼^[6] 沒有錯誤配置和漏洞，并避免敏感數據的意外泄露。這些工具可以掃描已知的漏洞，檢查是否符合安全最佳實踐，甚至實時識別潛在的風險區域。

自動化的持續監控是簡化云原生安全的另一個關鍵方面。有效實現這一點有兩種方法。可以集成如 Prometheus、Grafana、ELK Stack 或 Datadog 等監控工具來實時收集、分析和可視化安全日志和指標。或者，可以通過嵌入自定義代碼來指示應用程序自身收集和聚合安全日志數據、指標和監控信息。

為了獲得最佳安全性，可以結合這兩種方法，將所有日志導向如 Splunk 等集中服務進行實時分析。然后，可以基于特定條件定義告警規則，將通知直接發送到 Slack 或電子郵件等服務，以確保及時發出告警，幫助團隊快速做出反應。

API 管理嚴密化

應用程序編程接口（API）是云原生應用用于各 微服務和組件之間^[7] 通信的主要通道。要記住的是，由于 API 促進了數據交換，它們也是一個重要的攻擊媒介和被利用的目標。

為所有 API 端點實施強大的身份驗證和授權機制應是首要任務之一。OAuth 2.0 是 API 授權的行業標準，它允許應用程序在不暴露用戶憑證的情況下代表用戶訪問資源。

速率限制也是一項關鍵措施。它將限制單個用戶在指定時間段內可以發出的請求數量，從而防止潛在的拒絕服務（DoS）攻擊。

最后，確保 API 免受常見攻擊如注入攻擊和跨站腳本攻擊（XSS）的威脅。適當的輸入驗證和清理是幫助緩解廣泛威脅的標準安全措施。輸入驗證確保 API 接收到的所有輸入格式正確，從而防止潛在的有害數據被處理。例如，處理 JSON 數據的 API 應驗證傳入請求的 Content-Type 頭是否為“application/json”，以及數據本身是否為有效的 JSON。

總結

日益頻繁的云端網絡攻擊提醒我們，安全性不應讓位于便利性。我們必須通過設計安全的云原生架構，并在整個軟件開發生命周期中實施全面的安全措施，來積極抵御這些威脅。

展望未來，云原生應用的安全性將成為我們數字基礎設施及其所依賴的關鍵服務成功與穩定的決定性因素。

參考資料

[1] Hazel Raoult: https://cloudnativenow.com/author/hazel-raoult/

[2] How to Optimize Security in Cloud-Native Applications: https://cloudnativenow.com/editorial-calendar/cloud-native-security/how-to-optimize-security-in-cloud-native-applications/

[3] 45%的網絡攻擊: https://www.ibm.com/reports/data-breach

[4] 停運近10小時: https://www.forbes.com/sites/kateoflahertyuk/2024/07/31/microsoft-confirms-new-outage-was-triggered-by-cyberattack/

[5] 集成到開發的每個階段: https://cloudnativenow.com/topics/revolutionizing-software-development-with-cloud-native-devsecops/

[6] 確保代碼: https://www.imperva.com/learn/application-security/application-security/

[7] 微服務和組件之間: https://cloudnativenow.com/topics/cloudnativedevelopment/microservices-the-good-the-bad-the-clunky/