1.云原生安全與云訪問安全代理無關(guān)
當(dāng)人們開始專注于在云端工作時(shí),許多組織意識(shí)到他們需要切換業(yè)務(wù)模式,并開始使用軟件即服務(wù)。由于這種轉(zhuǎn)變,公共云安全問題爆發(fā),因此迎來云訪問安全代理(CASB)時(shí)代,這些代理通常用來處理像Salesforce數(shù)據(jù)一樣的任務(wù)。
這可能是云時(shí)代早期的情況,但與近年來發(fā)展的另一個(gè)主題無關(guān)。最近,更多的軟件開發(fā)團(tuán)隊(duì)已經(jīng)著手開發(fā)生產(chǎn)云軟件,因?yàn)樗麄冃枰獎(jiǎng)?chuàng)建優(yōu)秀的新軟件來吸引客戶,并啟用新的商業(yè)模式。這一切都凸顯出“每家公司正在成為軟件公司”的主題。
但是,如果企業(yè)為客戶構(gòu)建了一個(gè)應(yīng)用程序,并且不想成為泄露數(shù)據(jù)的另一個(gè)Equifax公司,則必須為應(yīng)用程序提高更多的安全性。這是云原生的安全性,它與云訪問安全代理(CASB)的作用有著根本的不同。這二者都與云計(jì)算有關(guān),但分別解決的是兩個(gè)截然不同的問題。
2.云原生安全取代了現(xiàn)有的應(yīng)用程序積極主動(dòng)的威脅防護(hù)措施
企業(yè)在第一次面臨如何保護(hù)其云原生軟件的問題時(shí),最初的回應(yīng)是使用現(xiàn)有的安全工具。這是一個(gè)選擇,但效率不同,企業(yè)必須執(zhí)行大量人工操作,否則面臨的風(fēng)險(xiǎn)將成為企業(yè)創(chuàng)新的瓶頸。
以下安全概念很難在云原生的世界中推廣應(yīng)用:
·讓IT團(tuán)隊(duì)檢查每個(gè)產(chǎn)品更新的材料清單并驗(yàn)證其合規(guī)性。
·開發(fā)團(tuán)隊(duì)和運(yùn)營(yíng)團(tuán)隊(duì)聚集在一起,構(gòu)建虛擬機(jī),從而可以快速移動(dòng),但不會(huì)因?yàn)轭l繁更改或修復(fù)軟件而導(dǎo)致問題的風(fēng)險(xiǎn)。
·讓IT團(tuán)隊(duì)修補(bǔ)補(bǔ)丁,更新虛擬機(jī),并確保所有環(huán)境都適合生產(chǎn)環(huán)境。
·開發(fā)人員和操作團(tuán)隊(duì)建立了devops,因此可以自己修補(bǔ)。
(1)網(wǎng)站安全防護(hù)(WAF)的作用
企業(yè)通常采用網(wǎng)站安全防護(hù)(WAF),其目的是阻止工作負(fù)載遭到攻擊。除了所有的變化之外,運(yùn)行網(wǎng)站安全防護(hù)(WAF)的工作人員卻無法跟蹤所有的微型工作負(fù)載。
(2)網(wǎng)絡(luò)分段
企業(yè)可能已嘗試細(xì)分或微分割網(wǎng)絡(luò)以隔離可能引入漏洞的工作負(fù)載。雖然這是一個(gè)很好的概念,但微小的敏捷工作負(fù)載中在現(xiàn)實(shí)中并不奏效,一旦不能遵守其規(guī)則,網(wǎng)絡(luò)分段就沒有效果。
然而,云原生安全性的應(yīng)用從根本上得到了擴(kuò)展。它有更多關(guān)于應(yīng)用程序的信息,并且使用它們來自動(dòng)化以下提到的所有元素。
自動(dòng)化使企業(yè)能夠獲得更強(qiáng)大,更精細(xì)的安全性,并且允許企業(yè)專注于基于應(yīng)用程序表達(dá)安全性策略,而不是在每次更改/更新工作負(fù)載時(shí)人工配置安全機(jī)制。它還允許企業(yè)將其策略集成到現(xiàn)代部署工具中,從而與開發(fā)人員進(jìn)行直接的討論。
3.云原生安全仍然需要多層次的防御
在傳統(tǒng)的安全術(shù)語中,企業(yè)將考慮多個(gè)安全層。企業(yè)可能考慮代碼安全,包管理,操作系統(tǒng)補(bǔ)丁,服務(wù)器端點(diǎn)安全等方面的內(nèi)容。但現(xiàn)在這些不再需要了。但重要的是要明白,使用云原生工作負(fù)載不會(huì)從這個(gè)角度給出任何快捷方式,從這個(gè)角度來看,企業(yè)仍然需要用所有必需的安全層包裝軟件。
4.云原生安全是端到端的安全
devops的應(yīng)用將傳統(tǒng)專業(yè)團(tuán)隊(duì)分為兩類:一類是部署微服務(wù)的開發(fā)人員,另一類是致力于云計(jì)算的基礎(chǔ)架構(gòu)團(tuán)隊(duì)。通常情況下,即使這兩個(gè)團(tuán)隊(duì)也變成了一個(gè)單一的“云”團(tuán)隊(duì),也需要承擔(dān)多重責(zé)任。
如果企業(yè)考慮到這種環(huán)境的安全性,將其分成兩組也是更有意義的:
(1)云原生基礎(chǔ)架構(gòu):包括企業(yè)云消費(fèi)的服務(wù)(例如L3-4防火墻,服務(wù)器安全,網(wǎng)絡(luò)加密和存儲(chǔ)加密)的安全性。
(2)云原生應(yīng)用程序:包括需要應(yīng)用程序感知的任何安全元素(例如,L7防火墻,安全滲透測(cè)試,圖像安全性,以及應(yīng)用程序的微分割)。
這將改變?nèi)藗冊(cè)谑袌?chǎng)上看到的安全產(chǎn)品的類型。云計(jì)算供應(yīng)商將在其云端產(chǎn)品中增加更多傳統(tǒng)的基礎(chǔ)架構(gòu)功能,以增強(qiáng)其平臺(tái)吸引力,并提供涵蓋所有基礎(chǔ)架構(gòu)安全需求的全方位產(chǎn)品。另一方面,安全提供商將主要側(cè)重于應(yīng)用程序級(jí)安全性,并且還將需要提供端到端的安全解決方案,這也將需要包括前面提到的多個(gè)因素。
5.云原生安全由云團(tuán)隊(duì)經(jīng)營(yíng)
傳統(tǒng)上,安全層需要不同人員或團(tuán)隊(duì)的專業(yè)知識(shí)(例如端點(diǎn),服務(wù)器,網(wǎng)絡(luò),身份,PKI,存儲(chǔ)和軟件開發(fā))。企業(yè)可以讓人們手動(dòng)添加這些安全層作為基礎(chǔ)設(shè)施的分配和應(yīng)用程序的部署,然后調(diào)用團(tuán)隊(duì)中的專家來配置必要的云概念。但是分配這些資源需要是即時(shí)的,并且需要改進(jìn)其安全產(chǎn)品。
云原生安全性已經(jīng)引發(fā)了重大變化。它決定圍繞安全層的策略需要由安全性和基礎(chǔ)架構(gòu)師定。但是,執(zhí)行這些策略的安全機(jī)制必須自動(dòng)附加到云端和配置進(jìn)程。通過允許devops或云團(tuán)隊(duì)盡可能無縫地進(jìn)行操作,從而全面展開整個(gè)過程。
京公網(wǎng)安備 11010502049343號(hào)