2022-10-06 分類: 網(wǎng)站建設(shè)
第一次世界大戰(zhàn)之后,為了防止德軍突襲,法國(guó)花重金用了十幾年時(shí)間在德法邊境建造了一座延綿390公里的防御工事,內(nèi)設(shè)大炮、壕溝、堡壘,甚至是廚房、醫(yī)院、工廠,深溝高壘、四通八達(dá)——這就是大名鼎鼎的“馬奇諾防線”。但如我們所知,這個(gè)原以為牢不可破的防御線最終并沒有讓法國(guó)把德軍阻擊在外,相反地,由于對(duì)馬奇諾防線的盲目自信和過度依賴,導(dǎo)致法國(guó)備戰(zhàn)懈怠,二戰(zhàn)中,德軍繞道比利時(shí),翻越了天險(xiǎn)阿登高地,從防線后方直接兵臨巴黎城下。
軍事家們認(rèn)為,馬奇諾防線失效的原因在于“完全防御”軍事思想的失效。和一戰(zhàn)不同,二戰(zhàn)講求的是機(jī)動(dòng)靈活作戰(zhàn),但法國(guó)并沒有借馬其諾防線主動(dòng)組織進(jìn)攻,而是選擇了嚴(yán)防死守,當(dāng)?shù)萝姀娜笨谥彬?qū)巴黎的時(shí)候,防線的士兵還在原地等著人家從正面進(jìn)攻,而城內(nèi)的人們甚至還沉迷在燈紅酒綠之中。
其實(shí),像“馬奇諾防線”這樣,外面看似厚墻高筑,里面實(shí)則十分松散的狀態(tài),就很像計(jì)算機(jī)概念中的“防火墻”。過去,大多數(shù)企業(yè)都信奉“內(nèi)網(wǎng)式安全”,認(rèn)為只要把數(shù)據(jù)放在“墻內(nèi)”就能安全無虞——但是很顯然,這樣的安全策略就像是二戰(zhàn)中失效的“馬奇諾防線”一樣已經(jīng)過時(shí)。
容器安全新挑戰(zhàn),“內(nèi)網(wǎng)式安全感”不復(fù)存在和二戰(zhàn)的情況類似,如今企業(yè)所處的外部經(jīng)濟(jì)環(huán)境震蕩多變,要求大家在業(yè)務(wù)發(fā)展過程中必須靈活且高效應(yīng)對(duì),這就是為什么近幾年來,容器應(yīng)用開始大行其道的重要原因。由于能夠滿足企業(yè)快速響應(yīng)、敏捷開發(fā)的需求,容器已經(jīng)成為企業(yè)應(yīng)用交付的主流形式。
但是,相較于傳統(tǒng)應(yīng)用而言,容器天然在隔離和安全性等方面存在著“缺陷”,這些“缺陷”隨著容器一起跑在所謂的企業(yè)內(nèi)網(wǎng)中,如果不能很好地識(shí)別并修復(fù),分分鐘就會(huì)成為“馬奇諾防線”上的缺口,給企業(yè)帶來不可估量的損失。
面對(duì)這種情況,靠砌“一道墻”就擁有的安全感就蕩然無存,換句話說,企業(yè)必須重新審視并調(diào)整自己的安全策略。
首先,來看看容器給企業(yè)帶來了哪些方面的安全挑戰(zhàn)。
我們知道,目前Kubernetes已經(jīng)成為應(yīng)用創(chuàng)新的標(biāo)準(zhǔn)平臺(tái),而DevOps也已經(jīng)成為支持云原生應(yīng)用開發(fā)和運(yùn)維的主流實(shí)踐方法論。在這樣的開發(fā)理念之下,企業(yè)應(yīng)用往往需要同步在本地?cái)?shù)據(jù)中心和云上部署和交互,這意味著,物理安全邊界將會(huì)消失,安全隱患變得無處不在,傳統(tǒng)安全策略中通過構(gòu)建一個(gè)“安全邊界”,把非信任域的東西阻擋在“墻”外的做法自然就不合時(shí)宜。
所以,企業(yè)想要推行和使用容器,有幾個(gè)問題必須要考慮:
第一,軟件供應(yīng)鏈的安全性。由于容器應(yīng)用中有很多代碼、組件來自于開源社區(qū)或者第三方外包開發(fā),如果不能對(duì)其中的高危漏洞有效識(shí)別,或者被別有用心者利用,就等于把有問題的代碼提供給了使用者,使整個(gè)鏈條上的安全體系“崩塌”;
第二,基礎(chǔ)設(shè)施的安全性。如今,很多企業(yè)仍然傾向于使用“DIY”的Kubernetes平臺(tái),再配上一些安全掃描的工具,這樣的基礎(chǔ)設(shè)施實(shí)際上很難滿足和評(píng)估企業(yè)在安全合規(guī)方面的要求,會(huì)使得整個(gè)平臺(tái)或業(yè)務(wù)暴露在風(fēng)險(xiǎn)之下。另一方面,Kubernetes的安全責(zé)任相對(duì)分散,全責(zé)不明確也會(huì)造成管理的松散,不利于安全策略落實(shí);
第三,應(yīng)用負(fù)載的安全性。容器改變了傳統(tǒng)的應(yīng)用部署模式,不僅應(yīng)用生命周期被大幅縮短,部署密度也越來越高,傳統(tǒng)安全策略很難適應(yīng)需求。另外,在對(duì)應(yīng)用(尤其是第三方應(yīng)用)進(jìn)行容器打包之后,它的行為是否正常、能否達(dá)到安全標(biāo)準(zhǔn),用過去的安全系統(tǒng)也很難進(jìn)行全面監(jiān)控,如有問題就會(huì)直接對(duì)業(yè)務(wù)產(chǎn)生影響。
換言之,企業(yè)要改變的不僅僅是某一個(gè)安全技術(shù)手段,而是整個(gè)安全策略。
安全意識(shí)“前移”,從被動(dòng)防御到主動(dòng)防護(hù)如果吸取法國(guó)“馬奇諾防線”安于防守的教訓(xùn),這意味著,企業(yè)首先要做的就是化“被動(dòng)”為“主動(dòng)”,優(yōu)先占據(jù)主動(dòng)權(quán),而不是等著攻擊發(fā)生后才做出反應(yīng)。放在容器安全這件事上,也就是說,企業(yè)必須把安全意識(shí)和手段“前移”。
有相關(guān)調(diào)查顯示,從應(yīng)用研發(fā)、構(gòu)建、部署到運(yùn)行的不同階段,期間產(chǎn)生的安全成本是逐級(jí)遞增的。舉例來說:如果在研發(fā)階段發(fā)現(xiàn)漏洞,只要由開發(fā)人員直接修復(fù)即可,成本低而且效率高;如果等到發(fā)布后才檢測(cè)出漏洞,那就需要安全人員給出方案,與研發(fā)人員溝通,再由測(cè)試人員驗(yàn)證,不僅相對(duì)成本高,而且還存在一定的線上風(fēng)險(xiǎn);而如果等到應(yīng)用運(yùn)行了一段時(shí)間后漏洞才被發(fā)現(xiàn),那就不只是補(bǔ)救的問題了,一方面企業(yè)需要付出額外的金錢、溝通成本和修復(fù)時(shí)間,另一方面還需要運(yùn)維、發(fā)布、業(yè)務(wù)等大量人員的介入,給企業(yè)帶來的風(fēng)險(xiǎn)和成本壓力是數(shù)十上百倍的。
正因如此,把安全理念貫穿到DevOps 全流程中,“糅合開發(fā)、安全及運(yùn)營(yíng)理念以創(chuàng)建解決方案的全新方法”,越來越成為業(yè)界共識(shí)——這就是DevSecOps,它的基礎(chǔ)思想,即是“開發(fā)安全左移(SHIFTLEFT)”。
可以這么理解,所謂“左移”實(shí)際上就是把安全意識(shí)從運(yùn)行階段,前置到容器構(gòu)建和CI/CD階段,從而避免造成運(yùn)行后不可挽回的損失以及高昂的補(bǔ)救成本。
舉個(gè)例子,比如在過去的應(yīng)用開發(fā)過程中,一般是由編程人員寫好代碼放到源代碼庫(kù),然后通過CI工具把代碼打包成鏡像,同時(shí)調(diào)用靜態(tài)掃描工具進(jìn)行安全掃描,確認(rèn)無誤后通過CD工具推向測(cè)試云,最后再交付到生產(chǎn)云進(jìn)行上線??梢钥吹?,這整個(gè)過程依賴的實(shí)際上還是靜態(tài)掃描。但是,如今很多網(wǎng)絡(luò)惡意行為都是動(dòng)態(tài)的,靜態(tài)掃描存在明顯短板。而解決辦法就是,在已有的CI/CD流水線中,增加一個(gè)安全合規(guī)測(cè)試云環(huán)節(jié)——也就是說,在完成功能測(cè)試之后,先部署到安全合規(guī)的測(cè)試云中進(jìn)行動(dòng)態(tài)和靜態(tài)的安全合規(guī)測(cè)試,最后再推向生產(chǎn)云運(yùn)行。
尤其是針對(duì)第三方外包廠家提供的應(yīng)用,這樣的思路尤為受用,因?yàn)樵絹碓蕉嗟膹S家都在用容器方式打包應(yīng)用,但這些應(yīng)用的開發(fā)流程對(duì)于企業(yè)來說就是一個(gè)“黑盒子”,如果還采用傳統(tǒng)的鏡像文件靜態(tài)掃描,那就很難保障容器平臺(tái)安全。
但是,換個(gè)角度再來看這個(gè)問題。我們知道,大多數(shù)企業(yè)選擇使用開源技術(shù)或者容器應(yīng)用,都是為了避免“重復(fù)造車”,加快敏捷開發(fā),如果為此令企業(yè)處處擔(dān)心安全漏洞,要求企業(yè)自己能夠配備非常復(fù)雜的安全監(jiān)管機(jī)制,這并不現(xiàn)實(shí)。對(duì)于企業(yè)而言,需要的是開箱即用的安全策略,并且,希望能夠?yàn)閷?shí)際運(yùn)行的容器環(huán)境自定義多因素策略。
通過可視性和一致性,為開放混合環(huán)境下的安全運(yùn)營(yíng)護(hù)航顯然,作為企業(yè)級(jí)Kubernetes解決方案的“核心玩家”,紅帽對(duì)這個(gè)問題的考慮是具有前瞻性的。在OpenShift上,紅帽為容器和云原生應(yīng)用提供了從構(gòu)建、部署到運(yùn)行的持續(xù)安全性,并且,能夠從容器云平臺(tái)自身以及多集群管理等多個(gè)方面,滿足企業(yè)多維度的安全需求。
為了不錯(cuò)漏任何一塊“拼圖”,紅帽還在今年年初收購(gòu)了Kubernetes原生安全領(lǐng)域服務(wù)商StackRox,通過將其能力輸入到OpenShift,實(shí)現(xiàn)了優(yōu)勢(shì)互補(bǔ),并據(jù)此打造了紅帽容器安全管理平臺(tái)RHACS(Red Hat Advanced Cluster Security)。通過這一平臺(tái),紅帽能夠幫助企業(yè)做到把安全設(shè)計(jì)前移到容器構(gòu)建和CI/CD階段,從而為整個(gè)IT堆棧以及整個(gè)生命周期實(shí)現(xiàn)更高的安全性提供統(tǒng)一的解決方案。
具體來說,RHACS可以在以下幾個(gè)場(chǎng)景保障容器應(yīng)用的安全使用:首先,是漏洞管理,通過對(duì)漏洞的識(shí)別、分類、報(bào)告,確定優(yōu)先級(jí)并進(jìn)行及時(shí)修復(fù),保護(hù)系統(tǒng)免遭潛在鏡像和運(yùn)行容器中的已知漏洞威脅;其二,是配置管理,確保應(yīng)用部署和配置的過程符合好安全實(shí)踐;其三,是風(fēng)險(xiǎn)分析,也就是通過對(duì)某個(gè)對(duì)象的綜合安全指標(biāo)分析,確認(rèn)最嚴(yán)重的問題進(jìn)行優(yōu)先處理;其四,網(wǎng)絡(luò)細(xì)粒度安全管理,通過網(wǎng)絡(luò)監(jiān)控實(shí)現(xiàn)應(yīng)用的網(wǎng)絡(luò)隔離和訪問控制策略,實(shí)時(shí)監(jiān)測(cè)應(yīng)用的異常網(wǎng)絡(luò)行為;其五,在合規(guī)方面,RHACS可以幫助企業(yè)滿足監(jiān)管和企業(yè)自身安全要求,輕松生成報(bào)表并按照要求進(jìn)行審計(jì)和整改;其六,實(shí)時(shí)對(duì)運(yùn)行環(huán)境中的威脅進(jìn)行檢測(cè),并根據(jù)風(fēng)險(xiǎn)級(jí)別高低,提供給相關(guān)人員進(jìn)行主動(dòng)及時(shí)響應(yīng)。
值得一提的是,這一系列安全管理操作都可以通過可視化的方式實(shí)現(xiàn)。也就是說,相關(guān)人員都能夠通過平臺(tái)直觀地看到系統(tǒng)中有多少高危漏洞、合規(guī)要求是否滿足、哪些位置存在高風(fēng)險(xiǎn),以及應(yīng)用部署后對(duì)安全合規(guī)的影響等等。如此一來,就能大大減少實(shí)施安全性所需的時(shí)間和精力,簡(jiǎn)化安全性分析、調(diào)查和補(bǔ)救工作。
當(dāng)然,這些能力并不只局限于紅帽的OpenShift,在收購(gòu)之后,StackRox將繼續(xù)支持多個(gè)Kubernetes平臺(tái),包括Amazon Elastic Kubernetes Service(EKS)、Microsoft Azure Kubernetes Service(AKS)以及Google Kubernetes Engine(GKE)等等。這意味著,企業(yè)用戶將能夠真正地在開放的混合云環(huán)境中,構(gòu)建、部署、運(yùn)行各種應(yīng)用,并且享用到更高級(jí)別、更全方位的安全保障。
總而言之,“高筑城墻以御外敵”的時(shí)代已經(jīng)過去,未來,企業(yè)的應(yīng)用將變得無處不在,安全隱患也隨之無處不在。于企業(yè)而言,必須轉(zhuǎn)變開發(fā)、運(yùn)營(yíng)和安全策略,通全局、求主動(dòng);而于技術(shù)服務(wù)商而言,能否成就企業(yè)觸及這一目標(biāo),實(shí)現(xiàn)跨環(huán)境的開放安全運(yùn)營(yíng),將成為競(jìng)爭(zhēng)力所在。
新聞名稱:“馬其諾防線”失效,如何做好容器云安全?
文章出自:http://www.rwnh.cn/news15/202365.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供做網(wǎng)站、移動(dòng)網(wǎng)站建設(shè)、網(wǎng)站排名、響應(yīng)式網(wǎng)站、建站公司、網(wǎng)站收錄
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容