然而,企業(yè)實(shí)施云安全所需的工具和流程近年來(lái)發(fā)生了巨大的變化。隨著企業(yè)從由虛擬機(jī)驅(qū)動(dòng)的基本云環(huán)境轉(zhuǎn)變?yōu)榉植际?、基于微服?wù)的云原生環(huán)境,在五到十年前采取的云安全策略如今已不能有效應(yīng)對(duì)威脅行為者。
如今,隨著云計(jì)算戰(zhàn)略和架構(gòu)的發(fā)展,確保云安全顯然至關(guān)重要。以下對(duì)云安全意味著什么以及企業(yè)應(yīng)遵循哪些最佳實(shí)踐來(lái)滿足云原生安全要求進(jìn)行了解釋。
從云安全到云原生安全
傳統(tǒng)云計(jì)算環(huán)境和云原生計(jì)算環(huán)境之間有著很大的區(qū)別。從廣義上講,傳統(tǒng)的云計(jì)算安全和云原生安全有很大的不同。
在傳統(tǒng)的云計(jì)算環(huán)境中,企業(yè)可以通過(guò)設(shè)置云計(jì)算防火墻和定義安全組來(lái)保護(hù)工作負(fù)載。企業(yè)通過(guò)將代理加載到收集日志和指標(biāo)的虛擬機(jī)上來(lái)實(shí)現(xiàn)??安全可見(jiàn)性??赡芤呀?jīng)使用云計(jì)算提供商的云原生安全工具(如Amazon GuardDuty或Microsoft Defender)來(lái)解釋該數(shù)據(jù)并檢測(cè)威脅。企業(yè)可能還定期審核其云計(jì)算IAM設(shè)置以檢測(cè)潛在的錯(cuò)誤配置,甚至將一些安全操作工作交給托管安全服務(wù)提供商(MSSP)。
這些類型的工具和流程在云原生環(huán)境中仍然很重要。但是,僅靠它們還不足以應(yīng)對(duì)云原生工作負(fù)載環(huán)境中出現(xiàn)的獨(dú)特的安全挑戰(zhàn)。傳統(tǒng)的云計(jì)算安全無(wú)法滿足以下需求:
•識(shí)別IaaS之外的風(fēng)險(xiǎn):云原生攻擊面超出了傳統(tǒng)的基礎(chǔ)設(shè)施和應(yīng)用程序。例如,Kubernetes RBAC配置錯(cuò)誤可能會(huì)造成安全風(fēng)險(xiǎn),僅監(jiān)控虛擬機(jī)或應(yīng)用程序不會(huì)提醒用戶注意它們。
•管理不斷變化的配置:現(xiàn)代的云原生環(huán)境可能包括數(shù)十個(gè)用戶和工作負(fù)載,有數(shù)千個(gè)訪問(wèn)控制規(guī)則定義了誰(shuí)可以做什么,并且其設(shè)置在不斷變化。在這種快速變化的動(dòng)態(tài)環(huán)境中,定期審計(jì)不足以主動(dòng)檢測(cè)威脅。
•多云安全需求:當(dāng)企業(yè)需要保護(hù)跨多個(gè)云平臺(tái)運(yùn)行的工作負(fù)載時(shí),云計(jì)算供應(yīng)商提供的云原生安全工具在功能方面是不夠的。
•糾正根本原因:知道存在風(fēng)險(xiǎn)并不總是足以在復(fù)雜的云原生架構(gòu)中快速修復(fù)它。例如,檢測(cè)應(yīng)用程序中的代碼注入漏洞并不一定意味著企業(yè)可以快速將問(wèn)題追溯到觸發(fā)它的特定微服務(wù)或代碼提交。
因此,雖然傳統(tǒng)的云安全仍然是云原生安全基礎(chǔ)的一部分,但它本身并不是一個(gè)完整的基礎(chǔ)。要全面保護(hù)云原生工作負(fù)載,企業(yè)需要擴(kuò)展現(xiàn)有的安全工具和流程來(lái)保護(hù)傳統(tǒng)云工作負(fù)載。
云原生安全最佳實(shí)踐
要實(shí)現(xiàn)云原生工作負(fù)載的完全安全性, 需要努力遵循以下實(shí)踐。
(1)將安全性融入開(kāi)發(fā)管道
在云原生世界中,不要等到部署應(yīng)用程序后才考慮風(fēng)險(xiǎn)。與其相反,通過(guò)將安全測(cè)試融入到持續(xù)集成(CI)/持續(xù)交付(CD)管道中,最大限度地提高在部署前發(fā)現(xiàn)和修復(fù)問(wèn)題的機(jī)會(huì)。在理想情況下,企業(yè)將執(zhí)行一系列測(cè)試——從測(cè)試源代碼開(kāi)始,然后在預(yù)生產(chǎn)環(huán)境中針對(duì)二進(jìn)制文件運(yùn)行測(cè)試。
(2)超越代理
雖然基于代理的安全性可能足以保護(hù)虛擬機(jī)等簡(jiǎn)單的云計(jì)算工作負(fù)載,但在某些情況下(例如,當(dāng)企業(yè)使用無(wú)服務(wù)器功能時(shí))無(wú)法部署代理來(lái)實(shí)現(xiàn)安全可見(jiàn)性。
與其相反,企業(yè)需要通過(guò)確保其應(yīng)用程序公開(kāi)檢測(cè)威脅所需的數(shù)據(jù),而不依賴代理作為中介,從而在代碼本身中增加安全可見(jiàn)性。
(3)實(shí)施分層安全
云原生環(huán)境包括許多層,例如基礎(chǔ)設(shè)施、應(yīng)用程序、編排、物理和虛擬網(wǎng)絡(luò)等,因此需要確保每一層的安全。這意味著除了捕獲傳統(tǒng)的云安全風(fēng)險(xiǎn)(如IAM錯(cuò)誤配置)之外,還需要部署能夠檢測(cè)風(fēng)險(xiǎn)的工具和安全分析流程,例如,通過(guò)配置Kubernetes部署的方式或從容器映像內(nèi)部檢測(cè)風(fēng)險(xiǎn)。
(4)持續(xù)和實(shí)時(shí)審計(jì)
同樣,定期審核或驗(yàn)證云計(jì)算配置不足以確保企業(yè)可以實(shí)時(shí)檢測(cè)和修復(fù)威脅。與其相反,應(yīng)該部署可以持續(xù)監(jiān)控所有配置并立即提醒注意風(fēng)險(xiǎn)的工具。
(5)自動(dòng)修復(fù)
在可能的情況下,還應(yīng)該部署可以立即隔離或緩解威脅的自動(dòng)修復(fù)工具,而無(wú)需人工參與。這種方法不僅可以減輕企業(yè)對(duì)IT和安全團(tuán)隊(duì)的負(fù)擔(dān),而且還允許盡可能快速和主動(dòng)地修復(fù)漏洞。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。