虽然“云计算”这个术语曾经是科技行业讨论的主要议题,但“云原生” 和“云原生安全”正在取而代之。越来越多的组织开始在云计算中建立自己的IT和安全性,但有许多要素需要注意。而组织寻求理解不同的元素时,需要考虑以下五个关键因素。
1.云原生安全与云访问安全代理无关
当人们开始专注于在云端工作时,许多组织意识到他们需要切换业务模式,并开始使用软件即服务。由于这种转变,公共云安全问题爆发,因此迎来云访问安全代理(CASB)时代,这些代理通常用来处理像Salesforce数据一样的任务。
这可能是云时代早期的情况,但与近年来发展的另一个主题无关。最近,更多的软件开发团队已经着手开发生产云软件,因为他们需要创建优秀的新软件来吸引客户,并启用新的商业模式。这一切都凸显出“每家公司正在成为软件公司”的主题。
但是,如果企业为客户构建了一个应用程序,并且不想成为泄露数据的另一个Equifax公司,则必须为应用程序提高更多的安全性。这是云原生的安全性,它与云访问安全代理(CASB)的作用有着根本的不同。这二者都与云计算有关,但分别解决的是两个截然不同的问题。
2.云原生安全取代了现有的应用程序积极主动的威胁防护措施
企业在第一次面临如何保护其云原生软件的问题时,最初的回应是使用现有的安全工具。这是一个选择,但效率不同,企业必须执行大量人工操作,否则面临的风险将成为企业创新的瓶颈。
以下安全概念很难在云原生的世界中推广应用:
- 让IT团队检查每个产品更新的材料清单并验证其合规性。
- 开发团队和运营团队聚集在一起,构建虚拟机,从而可以快速移动,但不会因为频繁更改或修复软件而导致问题的风险。
- 让IT团队修补补丁,更新虚拟机,并确保所有环境都适合生产环境。
- 开发人员和操作团队建立了devops,因此可以自己修补。
(1)网站安全防护(WAF)的作用
企业通常采用网站安全防护(WAF),其目的是阻止工作负载遭到攻击。除了所有的变化之外,运行网站安全防护(WAF)的工作人员却无法跟踪所有的微型工作负载。
(2)网络分段
企业可能已尝试细分或微分割网络以隔离可能引入漏洞的工作负载。虽然这是一个很好的概念,但微小的敏捷工作负载中在现实中并不奏效,一旦不能遵守其规则,网络分段就没有效果。
然而,云原生安全性的应用从根本上得到了扩展。它有更多关于应用程序的信息,并且使用它们来自动化以下提到的所有元素。
自动化使企业能够获得更强大,更精细的安全性,并且允许企业专注于基于应用程序表达安全性策略,而不是在每次更改/更新工作负载时人工配置安全机制。它还允许企业将其策略集成到现代部署工具中,从而与开发人员进行直接的讨论。
3.云原生安全仍然需要多层次的防御
在传统的安全术语中,企业将考虑多个安全层。企业可能考虑代码安全,包管理,操作系统补丁,服务器端点安全等方面的内容。但现在这些不再需要了。但重要的是要明白,使用云原生工作负载不会从这个角度给出任何快捷方式,从这个角度来看,企业仍然需要用所有必需的安全层包装软件。
4.云原生安全是端到端的安全
devops的应用将传统专业团队分为两类:一类是部署微服务的开发人员,另一类是致力于云计算的基础架构团队。通常情况下,即使这两个团队也变成了一个单一的“云”团队,也需要承担多重责任。
如果企业考虑到这种环境的安全性,将其分成两组也是更有意义的:
- (1)云原生基础架构:包括企业云消费的服务(例如L3-4防火墙,服务器安全,网络加密和存储加密)的安全性。
- (2)云原生应用程序:包括需要应用程序感知的任何安全元素(例如,L7防火墙,安全渗透测试,图像安全性,以及应用程序的微分割)。
这将改变人们在市场上看到的安全产品的类型。云计算供应商将在其云端产品中增加更多传统的基础架构功能,以增强其平台吸引力,并提供涵盖所有基础架构安全需求的全方位产品。另一方面,安全提供商将主要侧重于应用程序级安全性,并且还将需要提供端到端的安全解决方案,这也将需要包括前面提到的多个因素。
5.云原生安全由云团队经营
传统上,安全层需要不同人员或团队的专业知识(例如端点,服务器,网络,身份,PKI,存储和软件开发)。企业可以让人们手动添加这些安全层作为基础设施的分配和应用程序的部署,然后调用团队中的专家来配置必要的云概念。但是分配这些资源需要是即时的,并且需要改进其安全产品。
云原生安全性已经引发了重大变化。它决定围绕安全层的策略需要由安全性和基础架构师定。但是,执行这些策略的安全机制必须自动附加到云端和配置进程。通过允许devops或云团队尽可能无缝地进行操作,从而全面展开整个过程。