Pivotal公司的Matt Stine于2013年最早提出云原生(Cloud Native)的概念,云原生这个概念一经提出,就受到学术界和产业界的推崇,“未来的软件一定生长于云上”的理念被越来越多的人所接受。在使用云原生技术后,可以充分发挥云平台的弹性和分布式优势,实现快速部署、按需伸缩、不停机交付等。用户在上云过程中,安全建设相对滞后,通常在云平台建设完成之后介入,如何更加安全地使用云平台,云原生安全理念应运而生。
云原生带来的安全挑战
云原生是基于分布部署和统一运管的云端服务,以容器、微服务、DevOps等技术为基础建立的一套云技术产品体系。从业务需求的角度来看,云原生可以带来更快的业务响应速度,可以有效地缩短需求应用的交付周期,可以快速实现“需求-代码-业务服务”的生产链,在这种颠覆性发展的同时,也带来了对安全的诸多挑战。
安全机制的颠覆性变化
在云原生时代,传统物理边界变得模糊,安全边界也不再是数据中心边缘和企业网边缘的某个硬件盒子;另外,企业传统意义上的“内部”可能现在已经在公有云或混合云上了,再也不是传统上完全可控的“内部”了。
在这种情况下用户关心的安全问题也发生了本质变化,从过去的“安全的边界设置在哪里?”转变为现在的“谁能访问这些业务?他具有什么等级访问权限?他为什么具有这些权限?他的这些权限需要随时变化吗?”。
针对用户安全需求的变化,安全的机制也必须进行转变: 1)从“基于边界为中心”的部署原则转变为“基于以数据/业务访问为中心”的安全部署原则;
2)传统安全边界变成了无处不在的边界,“内部安全”和“边界安全”的重要性趋于一致;
3)将访问控制、认证和授权放在应用层实现,而不是在传统的网络层实现。
安全需求的颠覆性变化
传统上,用户在其数据中心部署了大量购买的业务系统,为了保护这些业务系统就是采用机械的、基于已定策略的纵深防御进行层层保护;但是现在用户本身就也拥有了代码设计和开发能力,主要依靠内部开发的SaaS服务或定制化软件来实现他们的业务。在这种情况下,不同的客户对应不同的安全业务场景,因此也有不同的安全需求。
云原生时代,需要满足不同用户各类典型应用场景的安全需求,才能为云原生技术的发展提供有力保障。例如,银行类用户非常关注其金融数据的运行是否安全,需要对借贷业务的数据进行全链路加密和全过程监控;云平台提供商用户则关注是否能高效管控包括云资源、业务数据等各方的权限,需要进行密钥管理以避免泄露容器的敏感信息;制造业用户则关注企业内部信息资产的安全,需要满足用户的角色权限控制、证书管理与审计、数据的访问控制等。
防护对象的颠覆性变化
传统安全防护范畴中的“端点、网络、边界”,各个层级相对清晰,而云环境下这些边界界限变得很模糊。为了实现云原生属性,云应用需要在发布、服务方式、随需弹性、数据和工作负载管理等多方面重新构建。随着云原生的发展,云工作负载的形式越来越抽象、灵活,其部署和运行的生命周期也越来越短。
工作负载是对运行应用所需要的资源和进程的抽象化定义。从最初的物理服务器,到演进为虚拟机形式,再到云服务中容器成为工作负载的主流,目前正在发展的工作负载新形式直接对应用run-time 虚拟化,改变了传统意义上的服务进程监听-运行模式,是更加精细粒度的瞬态工作负载。多种形式和生命周期的云工作负载会长期共存并共同演进,因此需要解决好对每类负载做好安全保护。
云原生带来的安全机遇
云原生安全作为一种新兴的安全理念,并不是只解决云原生技术带来的安全问题,而是强调以原生的思维构建云安全体系,驱动安全与云计算深度融合,推动云服务商提供更安全的云服务,帮助客户更安全的上云。
安全理念的变革
云原生技术作为云计算基础设施的关键和新常态,随着云原生应用部署的加速,“边界防护”安全防护理念虽然很好的运行了二三十年,但是很难满足目前的需求,从“边界防护”到“嵌入式内生安全”的安全范式转变正在今天的安全行业里潜移默化地发生,以解决现有“护栏式”、“查缺补漏”式的安全建设模式,增强安全协调与韧性恢复能力,实现对云原生安全的动态、全局性的理解,演变到与云业务深度融合的多维度、全方位、内生式的安全防护体系。
在整个云原生平台、用户及云原生产品的生命周期里,首先需要系统性地梳理所需的云原生安全能力、云原生产品的安全技术保障能力如何保障云原生安全管理平台等,以确保云原生安全成为云原生系统的有机组成;其次,将安全能力建设合理地内置到云平台的部署建设中,做到二者深度融合、全面覆盖;最后,需要云业务系统持续的安全运行,实现云原生安全管理和响应闭环。
安全产品的变革
从目前实践情况来看,安全的防护主要还是依靠安全设备的叠加以及安全人员的投入。但随着云原生的发展,一方面,云平台建设过程中地融入安全元素,覆盖从设计到运营的整个过程,向用户交付更安全的云服务;另一方面,将安全能力内置于云平台,解决现有云安全组件和云计算环境相互割裂的局面。
云原生安全主要包括三大类:主要包括
1)对云原生要求不高的传统安全产品,比如FW、IPS、ACG、EDR、SIEM等,这些产品一般由第三方开发,可以直接或以虚拟化形式直接部署上云,目前该类产品属于静态存量市场,在将来的一段时间内容,随着信息基础设施不断云化而逐渐饱和或者萎缩;
2)云平台运营商原生提供的安全组件,比如云数据库安全、API安全、容器安全、用户行为监控等,这类组件一般由云平台运营商从第三方购买集成或者自行开发部署,目前云平台运营商在这块也投入大量资源进行开发丰富;
3)云原生安全产品,比如云工作负载保护平台(CWPP)、云安全态势管理(CSPM)、云访问安全代理(CASB)等,目前这块安全产品的未来所在,也是安全与云计算深度融合创新的具体结合点,是未来安全厂商或者云计算厂商抢占制高权的必争之地。
CWPP和CSPM对于保障云应用的安全运行,分别聚焦数据面和控制面的安全机制。CWPP是对云工作负载进行保护,是对数据面的安全防护。CSPM聚焦控制面的安全属性,包括配置策略和管理工作负载、合规评估、运营监控、DevOps 集成和保障调用云运营商 API 完整性等。CASB的目的是提高组织安全、安全地利用云服务的能力。CASB可以被认为是一个“安全节点”,通过它可以控制对组织云服务的访问。作为组织安全基础设施的一个组件,它补充而不是取代Web应用程序防火墙、IDaaS(身份即服务)和安全Web网关(SWG)等。
未来,但是随着云原生安全时代的到来,涵盖基础设施安全、容器安全、应用安全、管理安全等方面的云原生安全产品体系将趋于整合,帮助用户快速地构建“动态创建、策略强化、权限管控和安全访问”云上安全体系。
扫一扫
854
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
