从积木式到装配式云原生安全

京东云开发者
• 阅读 400

云原生安全风险

随着云原生架构的快速发展,核心能力逐渐稳定,安全问题日趋紧急。在云原生安全领域不但有新技术带来的新风险,传统IT基础设施下的安全威胁也依然存在。要想做好云原生安全,就要从这两个方面分别进行分析和解决。

新技术带来新的安全风险

云原生的概念定义本身就比较抽象,从诞生到现在也经历了多次变化。2018年CNCF对云原生的概念进行了重定义:云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式API。虽然这是云原生概念最新的定义,但是不同的人对云原生的抽象概念理解相差很大,一直在不断地争论。狭义的理解直接套用定义,认为定义之外的技术不属于云原生。广义的理解则认为定义不够贴切,应该从字面含义进行理解,认为只要是能利用云的特性,在软件工程各阶段提高效率,降低成本的行为、技术,都可以认为是云原生。

从普遍认知来看,云原生主要包括kubernetes和容器、微服务、云基础设施,其中kubernetes和容器在某种程度上已经是云原生的代名词。其中kubernetes和容器作为云原生时代的典型技术,也是带来风险最多的技术,包括:kubernetes组件漏洞、认证鉴权不规范、公开镜像存在漏洞、镜像被植入恶意程序、容器隔离被突破造成逃逸等。微服务在云原生时代快速发展,在内部风险无法防范的时候会扩大安全风险,造成横向攻击扩散。

传统IT基础设施的威胁依然存在

云原生不能脱离底层IT基础设施:计算、存储、网络而存在,因此这些IT基础设施面临的问题在云原生场景下依然存在。DDoS攻击防护、cc攻击防护、漏洞、木马、病毒、数据泄露等等安全风险,并没有因为云原生的发展而降低。

云原生安全构建

在云原生安全早期,人们的惯性思维就是利用传统的安全防护手段去进行云原生安全防护。经过这么多年的攻防对抗,传统产品在各自的领域都已经身经百战,解决对应的安全问题也都不在话下,这些安全产品通过简单地改造,就可以与云原生架构配合运行。

积木式云原生安全

这个阶段云原生安全并不存在一个完整的架构,各安全产品就像搭积木一样跟云原生架构进行配合。随着这个安全体系的构建,工程师门很快就发现,安全并没有因为云原生的到来发生什么改变,这种搭积木式的云原生安全方案,从远处看各方面的安全都能有,方案也很完整。但是从近处看就能看到安全产品之间基本没有联系,使用起来并没有什么改变,似乎安全和云原生就是两个独立的领域,无法支撑云原生快速发展的安全防护需求。 从积木式到装配式云原生安全

装配式云原生安全

随着在云原生安全方向上的深入研究,人们发现安全+云原生并不是简单组合一下就能变成云原生安全。要想做好云原生安全,就必须按照云原生的思想去思考安全问题怎么解决,云原生安全应该是一个整体,而不是各个割裂的安全产品。Gartner认为,全面保护云原生应用需要使用来自多个供应商的多种工具,这些工具很少得到很好的集成,而且通常只为安全专业人员设计,而不是与开发人员合作。对于组织而言,这种孤立的安全工具在面对实际安全风险的并不太有效,而且会导致过多的警报、浪费开发人员的时间。在这种趋势下,Gartner提出了CNAPP云原生应用保护平台,将多种安全工具紧密地结合在一起,以保护日益复杂的攻击面。

云原生的一个底层核心理念就是拆解、组合和标准化,这其实也是软件开发领域一个软件工程师长期追求的目标,即将业务逻辑和通用逻辑不断拆分,通用逻辑逐渐独立标准化,开发人员只需要关注自身业务逻辑。kubernetes从业务应用的角度将通用逻辑拆解,解决业务场景灵活多变的问题。不可变基础设施作为云原生定义的四大要素,是最容易被忽略的,但是这个理念却是云原生能够持续发展的核心,极大地降低了云原生的复杂度,将标准化发挥到极致。这两个核心技术都是底层理念的表现。这个理念跟装配式建筑十分类似,把传统建造方式中的大量工作转移到工厂进行,在工厂加工制作好建筑配件(如楼板、墙板、楼梯、阳台等),运输到建筑施工现场,通过可靠的连接方式在现场装配安装而成的建筑。这种方式不仅建筑速度快,工业化质量也有保障。

装配式云原生安全,就是按照云原生的核心理念,将各安全能力进行拆分、标准化改造、再组合。各安全能力不只是简单的堆叠,通过云原生技术可靠地连接在一起,让每个业务应用从诞生开始,就具备合适的安全能力,实现发布即安全。相比积木式能力组合,这种方式可以让安全和业务实现深入且自由地组合,形成灵活又可靠的云原生安全。 从积木式到装配式云原生安全

应用按照时间维度可分为开发、测试、部署、运行、响应,空间维度可分为主机、操作系统、kubernetes、容器、服务、网络,从这两个维度出发,将各种安全能力进行拆解和组合,通过统一的云原生安全平台进行管理,真正将安全和业务的各个阶段都能紧密地连接在一起,才能形成真正的云原生安全。

点赞
收藏
评论区
推荐文章
云原生 | 咱就是说跟“云”特熟 | 企业级飞速低代码
技术架构的演变非常快,各种新的名词也是层出不穷。云原生人云亦云,那到底什么才是云原生呢?云原生又能带来什么好处呢?对于大部分人来说,大火的云原生还只是一个相对模糊和笼统的技术用语,大家都只是道听途说。其实任何一个IT新理念都是源于业务驱动,对云原生来说也是如此。1、云原生的概念云原生(CloudNative)是一个组合词,“云”表示应用程序运行于分布式云
Tommy744 Tommy744
3年前
2021年值得关注的五个云原生安全问题
云原生正变得越来越流行,在2020年,统计发现,其中83%的组织也在生产环境中使用kubernetes。由于,团队可以轻松地构建和使用,,,以及管理服务,而不必担心底层的服务器。但是,云原生安全性仍然是一个真正的挑战。奇怪的是,云原生安全性的最大问题与所有新技术无关。首席安全官表示,如果组织希望以更好地开始新的一年,则应着手解决五个主要的云原生安全性问题。有
宙斯盾 DDoS 防护系统“降本增效”的云原生实践
作者tomdu,腾讯云高级工程师,主要负责宙斯盾安全防护系统管控中心架构设计和后台开发工作。导语宙斯盾DDoS防护系统作为公司级网络安全产品,为各类业务提供专业可靠的DDoS/CC攻击防护。在黑客攻防对抗日益激烈的环境下,DDoS对抗不仅需要“降本”还需要“增效”。随着云原生的普及,宙斯盾团队持续投入云原生架构改造和优化,以提升系统的处理能力及
Wesley13 Wesley13
3年前
5分钟get云原生安全重点,听七位安全专家共探云上安全新思路
随着云计算技术的日趋成熟,越来越多的企业意识到云计算应用的重要性。作为云计算领域的一个新兴概念,云原生进入人们的视野当中,被云计算服务商广泛接受,逐渐成为云计算领域中重要的技术发展趋势。云原生应用的普及在为企业带来高效、便捷的使用体验的同时,也带来了传统安全手段无法应对的新型攻击路径和安全问题;如何将安全防护能力与云原生应用相结合,成为了当前热门的研讨课题。
构建一体化云原生安全防御体系,京东云云原生安全平台重磅发布
当用户充分利用原生云能力进行应用设计、部署和运维时,云原生也面临新的安全挑战,例如镜像漏洞与投毒、编排软件漏洞、不安全配置利用、容器逃逸等。面对这样的风险,京东云重磅发布云原生安全平台,包含资产清点、镜像安全、运行时安全、网络安全、集群安全、节点安全等安全
京东云开发者 京东云开发者
4个月前
京东云原生安全产品重磅发布
“安全产品那么多,我怎么知道防住了?”“大家都说自己是云原生的,我看都是换汤不换药”在与客户沟通云原生安全方案的时候,经常会遇到这样的吐槽。越来越的客户已经开始了云原生化的技术架构改造,也意识到了云原生安全的重要性。但是面对还未像传统安全一样形成格局的云原
安全可信 | 首批!天翼云通过可信云安全云工作负载保护平台评估
近日,由中国信息通信研究院与中国通信标准化协会联合主办的“安全运营发展论坛”召开,会上公布了2022可信云安全首批云工作负载保护平台评估结果,天翼云服务器安全卫士(原生版)顺利通过认证,天翼云成为首批四家通过认证的企业之一。随着数字化转型的不断推进,传统IT架构发生变化,基础设施云化和混合云大面积使用成为新趋势。混合云、多云部署在不同的云环境中,企业需要采用
天翼云安全一体化纵深体系是怎么炼成的?
随着数字化建设的推进,关键信息基础设施逐渐成为国家重要的战略资源,天翼云作为云计算的国家队与排头兵,一直以安全作为发展核心,深耕云原生技术,构建端到端安全,致力于突破关键核心技术,提高国产化能力,掌握核心竞争力,捍卫企业云上安全。打造云基础设施安全基石天翼云2431X的全国云网资源布局的每个资源池都配备了防火墙、WAF、AntiDDoS等高级安全组件,
从积木式到装配式云原生安全 | 京东云技术团队
随着云原生架构的快速发展,核心能力逐渐稳定,安全问题日趋紧急。在云原生安全领域不但有新技术带来的新风险,传统IT基础设施下的安全威胁也依然存在。要想做好云原生安全,就要从这两个方面分别进行分析和解决。