云原生安全的五個(gè)建議

基于容器和無(wú)服務(wù)器平臺(tái)的云原生應(yīng)用在正在快速地被全球的組織所部署。雖然說(shuō)云原生應(yīng)用會(huì)帶來(lái)易延展性、無(wú)與倫比的韌性、以及快捷的開(kāi)發(fā)速度，云原生應(yīng)用同樣會(huì)帶來(lái)挑戰(zhàn)。

云原生應(yīng)用會(huì)有大量的可移動(dòng)成分，并且基于那些短暫的架構(gòu)組件。這就會(huì)給運(yùn)營(yíng)和維護(hù)產(chǎn)生難度;除此以外，自然還有安全隱患。云原生安全需要新的解決思路、策略和工具。這里，有五個(gè)可以幫助改善企業(yè)云原生安全的小建議。

什么是云原生?

云原生應(yīng)用為云而創(chuàng)建，而且整個(gè)軟件開(kāi)發(fā)生命周期——開(kāi)發(fā)、部署、測(cè)試和升級(jí)，都會(huì)在云環(huán)境完成。“云”的概念不局限于公有云，也可以意味著遠(yuǎn)程和本地資源都有的混合云或者超過(guò)一個(gè)云供應(yīng)商的多云環(huán)境。

云原生計(jì)算基金會(huì)(CNCF)認(rèn)為三種工具應(yīng)該用于云原生計(jì)算中：容器化、微服務(wù)結(jié)構(gòu)和動(dòng)態(tài)編排。容器化意味著軟件和其關(guān)聯(lián)依賴(lài)綁定，從而實(shí)現(xiàn)軟件可移動(dòng)、可擴(kuò)展;動(dòng)態(tài)編排包括了使用Kubernetes等工具管理云端容器;而微服務(wù)結(jié)構(gòu)能夠優(yōu)化資源。容器能夠被另一項(xiàng)云原生計(jì)算能力——無(wú)服務(wù)器功能所替代。

云原生的安全挑戰(zhàn)

云原生應(yīng)用給基礎(chǔ)設(shè)施和應(yīng)用安全帶來(lái)了額外挑戰(zhàn)。以下是一些關(guān)鍵挑戰(zhàn)：

多個(gè)需要保護(hù)的實(shí)體：DevOps團(tuán)隊(duì)和基礎(chǔ)設(shè)施團(tuán)隊(duì)會(huì)使用微服務(wù)來(lái)運(yùn)行云原生應(yīng)用。在過(guò)去，多個(gè)進(jìn)程或者軟件功能會(huì)在一個(gè)虛擬機(jī)上運(yùn)行?，F(xiàn)在，每個(gè)進(jìn)程或者能力都會(huì)被包裝成分離的容器或者無(wú)服務(wù)器功能。每個(gè)實(shí)體都易于被攻破，因此需要全開(kāi)發(fā)周期的防護(hù)。 多樣的結(jié)構(gòu)：云原生系統(tǒng)會(huì)涉及很多公有云和私有云、云服務(wù)、以及應(yīng)用結(jié)構(gòu)。每個(gè)結(jié)構(gòu)都有不同的隱患和安全需求。安全團(tuán)隊(duì)必須理解這一復(fù)雜的攻擊面，并且為每個(gè)不同的結(jié)構(gòu)找到解決方案。 不斷變化的環(huán)境：公有云和私有云環(huán)境在持續(xù)變化?？焖俚能浖l(fā)布周期意味著微服務(wù)應(yīng)用的每個(gè)組件都必須每日進(jìn)行升級(jí)。另外，使用不可變性和基礎(chǔ)設(shè)施即代碼意味著應(yīng)用會(huì)被持續(xù)分解并重構(gòu)。安全團(tuán)隊(duì)會(huì)發(fā)現(xiàn)很難在不減緩發(fā)布周期的情況下，保護(hù)這些技術(shù)應(yīng)用。 如何保護(hù)云原生應(yīng)用

有多種保護(hù)云原生應(yīng)用的方式，包括：安全左移、在函數(shù)和容器級(jí)別應(yīng)用邊界安全、貫徹最小角色和最低權(quán)限、保護(hù)應(yīng)用依賴(lài)，以及安全共責(zé)。

1. 安全左移

許多企業(yè)依然在使用已有的工具，卻無(wú)法處理云原生應(yīng)用環(huán)境的速度、規(guī)模和動(dòng)態(tài)網(wǎng)絡(luò)。如果再加上無(wú)服務(wù)器功能，會(huì)讓整個(gè)基礎(chǔ)設(shè)施變得更抽象，讓問(wèn)題更嚴(yán)重。

網(wǎng)絡(luò)攻擊者會(huì)尋找容器和無(wú)服務(wù)器代碼中的隱患，以及云基礎(chǔ)設(shè)施中的錯(cuò)誤配置，以接入包含敏感信息的實(shí)體，再用它們提升權(quán)限，攻擊其他實(shí)體。

另一個(gè)問(wèn)題是企業(yè)在用CI/CD工具持續(xù)開(kāi)發(fā)、測(cè)試和發(fā)布應(yīng)用。當(dāng)使用容器部署云原生應(yīng)用的時(shí)候，開(kāi)發(fā)者會(huì)從本地或者公共庫(kù)當(dāng)中獲取鏡像，但一般不會(huì)檢查這些鏡像是否包含安全隱患。

一種解決方案是給安全團(tuán)隊(duì)提供一些工具，阻止不受信任的鏡像進(jìn)入CI/CD管道，以及啟用一些機(jī)制讓不受信任的鏡像在進(jìn)入生產(chǎn)前就避免產(chǎn)生安全問(wèn)題。通過(guò)在開(kāi)發(fā)流程早期掃描鏡像的漏洞、惡意軟件成分等，開(kāi)發(fā)者可以貫徹安全標(biāo)準(zhǔn)。

2. 在函數(shù)和容器級(jí)別應(yīng)用邊界安全

在無(wú)服務(wù)器應(yīng)用中，系統(tǒng)會(huì)被分解成幾個(gè)能從不同資源接受項(xiàng)目觸發(fā)的可調(diào)用組件。這就給了攻擊者更大的攻擊選擇，以及更多實(shí)施惡意行為的途徑。

一個(gè)很重要的方式是使用為云原生環(huán)境而制作的API和應(yīng)用安全工具。除此以外，一個(gè)很普遍的操作是在功能級(jí)別使用邊界安全——識(shí)別功能是否被一個(gè)和平時(shí)不同的來(lái)源所觸發(fā)，然后監(jiān)控事件觸發(fā)中存在的異常情況。

在容器化環(huán)境里，一個(gè)重要點(diǎn)是在不同級(jí)別都要實(shí)現(xiàn)安全——編排控制面板、物理主機(jī)、pod和容器。編排的一些好安全實(shí)踐包括節(jié)點(diǎn)隔離、限制和監(jiān)測(cè)容器之間的流量、以及對(duì)API服務(wù)器使用第三方認(rèn)證機(jī)制。

3. 最小角色與最低權(quán)限

云原生資源之間會(huì)有大量頻繁的交互。如果能夠?qū)γ總€(gè)無(wú)服務(wù)器功能或者容易都能配置一些獨(dú)特的許可，就能有極大概率提升安全性。可以通過(guò)基于每個(gè)函數(shù)使用IAM，或者對(duì)容器進(jìn)行顆粒度的許可，加強(qiáng)接入控制?；ㄒ稽c(diǎn)時(shí)間創(chuàng)建最小角色，或者為每個(gè)函數(shù)或容器創(chuàng)建一系列的許可。這就確保了即使云原生結(jié)構(gòu)中有一個(gè)點(diǎn)失陷，其造成的危害也是最小的，并且會(huì)防止其他元件產(chǎn)生提權(quán)問(wèn)題。

4. 保護(hù)應(yīng)用依賴(lài)

無(wú)服務(wù)器函數(shù)和應(yīng)用的代碼經(jīng)常從npm或者PyPI的庫(kù)中獲取有依賴(lài)關(guān)系的包。

為了保護(hù)應(yīng)用的依賴(lài)，就需要包括完整開(kāi)源組件以及其漏洞數(shù)據(jù)庫(kù)的自動(dòng)化工具。同樣，還需要能夠在開(kāi)發(fā)流程中觸發(fā)安全行為的云原生編排工具。通過(guò)持續(xù)運(yùn)作這些工具，就可以防范產(chǎn)線(xiàn)上運(yùn)行的有隱患的代碼包或者容器。

5. 安全共責(zé)

在開(kāi)發(fā)者、DevOps和安全團(tuán)隊(duì)之間建立親密的關(guān)系。開(kāi)發(fā)者并不是安全專(zhuān)家，但他們可以被教導(dǎo)安全操作知識(shí)，從而確保他們可以安全地編寫(xiě)代碼。安全團(tuán)隊(duì)?wèi)?yīng)該知道應(yīng)用是如何開(kāi)發(fā)、測(cè)試和部署的，還有哪些工具在流程中被使用，從而安全團(tuán)隊(duì)能夠在這些流程中有效地加入安全元素。

云原生要求各種企業(yè)管理安全和開(kāi)發(fā)的方式，因此盡快讓不同團(tuán)隊(duì)減少隔閡至關(guān)重要。云原生的啟用對(duì)企業(yè)來(lái)說(shuō)是一個(gè)形成合作和共享文化的罕見(jiàn)契機(jī)。

結(jié)論

這篇文章提及了云原生面臨的挑戰(zhàn)，包括大量需要保護(hù)的實(shí)體，以及持續(xù)變化的環(huán)境和結(jié)構(gòu)。同樣，也給出了五個(gè)能夠改善云原生環(huán)境的好實(shí)踐：

安全左移，在問(wèn)題進(jìn)入產(chǎn)線(xiàn)前進(jìn)行規(guī)避。 在函數(shù)和容器級(jí)別應(yīng)用邊界安全。 對(duì)云原生應(yīng)用中的實(shí)體實(shí)行最小角色和最低權(quán)限。 保護(hù)好應(yīng)用依賴(lài)。 鼓勵(lì)開(kāi)發(fā)、運(yùn)營(yíng)和安全團(tuán)隊(duì)之間的安全共責(zé)。 點(diǎn)評(píng)

業(yè)務(wù)節(jié)奏加快使得無(wú)服務(wù)器應(yīng)用等云原生應(yīng)用會(huì)越來(lái)越多被企業(yè)所啟用，云原生的安全也會(huì)更多被注意。不難發(fā)現(xiàn)，本文提到的五個(gè)安全建議中，軟件安全相關(guān)的建議占了大部分：無(wú)論是安全左移、應(yīng)用依賴(lài)的防護(hù)、還是實(shí)現(xiàn)DevSecOps整個(gè)安全協(xié)同，最終都離不開(kāi)開(kāi)發(fā)安全相關(guān)。這一點(diǎn)來(lái)看，DevSecOps和API安全的重要性都會(huì)隨著云原生的使用進(jìn)一步地提升。

分享題目：云原生安全的五個(gè)建議
本文地址：http://www.muchs.cn/news9/202009.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁(yè)設(shè)計(jì)公司、標(biāo)簽優(yōu)化、建站公司、軟件開(kāi)發(fā)、App開(kāi)發(fā)、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)