云原生安全-1综述篇
云计算带来的安全新挑战
随着云计算的普及,无论是国际上的公有云,还是亚太区私有云专有云,都呈现出一个明确的信号,云计算已经成为主流。因本贴重点探讨安全相关的话题,因此云计算本身的相关的内容将不再赘述。
基于边界和访问控制的安全模型被打破
在传统网络安全模型中,我们最核心的是访问控制和数据安全,而访问控制最终在技术安全上落地为网络边界访问控制,从安全产品交付形态来讲就是网络防火墙。这就导致了一个非常有意思的现象,通过互联网侧我们要发现网络层的漏洞往往比较难。我们的安全攻防对抗最激烈的也都表现在网络边界上。
在云环境下最大的挑战就在于网络边界被打破,我们过去对往往将网络边界与物理边界联系在一起的,而上云之后尤其是物理边界不乎存在。这也就引发了我们不得不重视的下面这个话题。
原本就不安全的内网迁云后加剧安全风险
很多时候我们认为云不安全,主要的安全问题其实在过去就大量存在,只是云的变革将过去的安全问题突显出来了。身份认证、口令强度管理、补丁管理,在内网几乎形成虚设。
网络安全能力上云面临巨大挑战
网络安全能力在传统IT架构下通常由独立硬件设备、专用终端软件两个大类够成,在网络边界、流量侦听、操作系统三个不同的层面各取所需实现安全预期。
然而云计算将网络边界、流量、独立运算环境(硬件设备)都进行了云化,换句话讲传统的网络安全设备的依赖的载体不存在了。
云计算时代的安全应对之道
云计算环境中,需要解决传统网络中过度重视边界安全留下的隐患,同时还要解决传统安全能力无法上云的问题。经过近几年的摸索,最核心的思路是从如下几个方面着手考虑
构建安全新边界安全能力前置
云计算将互联网入口和流量进行了积中化,同时也带来了严重的网络安全挑战,首当其冲的就是DDOS和突发大流量请求。国际最为通用的做法是将安全能力前置,以akamai、cloudflare为例,通过构建强大的网络基础资源,实现海量DDOS清洗、CDN分发网络实现大流量攻击缓解,同时通过在这个CDN网络中引入WAF技术,将应用层攻击进行实时过滤,从而确保云计算上面的服务能平稳运行。
云安全负载保护将成为重要的安全手段
网络安全的防御云服务器本身将是非常重要的一个环节,充分应用云主机ECS的数据和计算资源,实现最小化开销的安全计算,已经成为云计算安全解决方案不可或缺的一部分。
用云计算的思路去构建安全能力
在传统时代,安全产品往往以独立硬件设备交付,背后是一系统完整的硬件、操作系统、软件、应用的集成。优点是独立可控,不足之处也显而易见,资源浪费、数据无法共享、故障无法及时切换等。
在云计算时间安全设备最核心的将是安全能力,如果将安全能力与计算环境解耦,充分利用云原生的优势,将实现安全能力最大化,资源利用最大化。