2022-10-05 分類: 網(wǎng)站建設(shè)
基于容器和無服務(wù)器平臺的云原生應(yīng)用在正在快速地被全球的組織所部署。雖然說云原生應(yīng)用會帶來易延展性、無與倫比的韌性、以及快捷的開發(fā)速度,云原生應(yīng)用同樣會帶來挑戰(zhàn)。
云原生應(yīng)用會有大量的可移動成分,并且基于那些短暫的架構(gòu)組件。這就會給運(yùn)營和維護(hù)產(chǎn)生難度;除此以外,自然還有安全隱患。云原生安全需要新的解決思路、策略和工具。這里,有五個可以幫助改善企業(yè)云原生安全的小建議。
什么是云原生?云原生應(yīng)用為云而創(chuàng)建,而且整個軟件開發(fā)生命周期——開發(fā)、部署、測試和升級,都會在云環(huán)境完成。“云”的概念不局限于公有云,也可以意味著遠(yuǎn)程和本地資源都有的混合云或者超過一個云供應(yīng)商的多云環(huán)境。
云原生計算基金會(CNCF)認(rèn)為三種工具應(yīng)該用于云原生計算中:容器化、微服務(wù)結(jié)構(gòu)和動態(tài)編排。容器化意味著軟件和其關(guān)聯(lián)依賴綁定,從而實(shí)現(xiàn)軟件可移動、可擴(kuò)展;動態(tài)編排包括了使用Kubernetes等工具管理云端容器;而微服務(wù)結(jié)構(gòu)能夠優(yōu)化資源。容器能夠被另一項云原生計算能力——無服務(wù)器功能所替代。
云原生的安全挑戰(zhàn)云原生應(yīng)用給基礎(chǔ)設(shè)施和應(yīng)用安全帶來了額外挑戰(zhàn)。以下是一些關(guān)鍵挑戰(zhàn):
多個需要保護(hù)的實(shí)體:DevOps團(tuán)隊和基礎(chǔ)設(shè)施團(tuán)隊會使用微服務(wù)來運(yùn)行云原生應(yīng)用。在過去,多個進(jìn)程或者軟件功能會在一個虛擬機(jī)上運(yùn)行?,F(xiàn)在,每個進(jìn)程或者能力都會被包裝成分離的容器或者無服務(wù)器功能。每個實(shí)體都易于被攻破,因此需要全開發(fā)周期的防護(hù)。 多樣的結(jié)構(gòu):云原生系統(tǒng)會涉及很多公有云和私有云、云服務(wù)、以及應(yīng)用結(jié)構(gòu)。每個結(jié)構(gòu)都有不同的隱患和安全需求。安全團(tuán)隊必須理解這一復(fù)雜的攻擊面,并且為每個不同的結(jié)構(gòu)找到解決方案。 不斷變化的環(huán)境:公有云和私有云環(huán)境在持續(xù)變化??焖俚能浖l(fā)布周期意味著微服務(wù)應(yīng)用的每個組件都必須每日進(jìn)行升級。另外,使用不可變性和基礎(chǔ)設(shè)施即代碼意味著應(yīng)用會被持續(xù)分解并重構(gòu)。安全團(tuán)隊會發(fā)現(xiàn)很難在不減緩發(fā)布周期的情況下,保護(hù)這些技術(shù)應(yīng)用。 如何保護(hù)云原生應(yīng)用有多種保護(hù)云原生應(yīng)用的方式,包括:安全左移、在函數(shù)和容器級別應(yīng)用邊界安全、貫徹最小角色和最低權(quán)限、保護(hù)應(yīng)用依賴,以及安全共責(zé)。
1. 安全左移許多企業(yè)依然在使用已有的工具,卻無法處理云原生應(yīng)用環(huán)境的速度、規(guī)模和動態(tài)網(wǎng)絡(luò)。如果再加上無服務(wù)器功能,會讓整個基礎(chǔ)設(shè)施變得更抽象,讓問題更嚴(yán)重。
網(wǎng)絡(luò)攻擊者會尋找容器和無服務(wù)器代碼中的隱患,以及云基礎(chǔ)設(shè)施中的錯誤配置,以接入包含敏感信息的實(shí)體,再用它們提升權(quán)限,攻擊其他實(shí)體。
另一個問題是企業(yè)在用CI/CD工具持續(xù)開發(fā)、測試和發(fā)布應(yīng)用。當(dāng)使用容器部署云原生應(yīng)用的時候,開發(fā)者會從本地或者公共庫當(dāng)中獲取鏡像,但一般不會檢查這些鏡像是否包含安全隱患。
一種解決方案是給安全團(tuán)隊提供一些工具,阻止不受信任的鏡像進(jìn)入CI/CD管道,以及啟用一些機(jī)制讓不受信任的鏡像在進(jìn)入生產(chǎn)前就避免產(chǎn)生安全問題。通過在開發(fā)流程早期掃描鏡像的漏洞、惡意軟件成分等,開發(fā)者可以貫徹安全標(biāo)準(zhǔn)。
2. 在函數(shù)和容器級別應(yīng)用邊界安全在無服務(wù)器應(yīng)用中,系統(tǒng)會被分解成幾個能從不同資源接受項目觸發(fā)的可調(diào)用組件。這就給了攻擊者更大的攻擊選擇,以及更多實(shí)施惡意行為的途徑。
一個很重要的方式是使用為云原生環(huán)境而制作的API和應(yīng)用安全工具。除此以外,一個很普遍的操作是在功能級別使用邊界安全——識別功能是否被一個和平時不同的來源所觸發(fā),然后監(jiān)控事件觸發(fā)中存在的異常情況。
在容器化環(huán)境里,一個重要點(diǎn)是在不同級別都要實(shí)現(xiàn)安全——編排控制面板、物理主機(jī)、pod和容器。編排的一些好安全實(shí)踐包括節(jié)點(diǎn)隔離、限制和監(jiān)測容器之間的流量、以及對API服務(wù)器使用第三方認(rèn)證機(jī)制。
3. 最小角色與最低權(quán)限云原生資源之間會有大量頻繁的交互。如果能夠?qū)γ總€無服務(wù)器功能或者容易都能配置一些獨(dú)特的許可,就能有極大概率提升安全性??梢酝ㄟ^基于每個函數(shù)使用IAM,或者對容器進(jìn)行顆粒度的許可,加強(qiáng)接入控制?;ㄒ稽c(diǎn)時間創(chuàng)建最小角色,或者為每個函數(shù)或容器創(chuàng)建一系列的許可。這就確保了即使云原生結(jié)構(gòu)中有一個點(diǎn)失陷,其造成的危害也是最小的,并且會防止其他元件產(chǎn)生提權(quán)問題。
4. 保護(hù)應(yīng)用依賴無服務(wù)器函數(shù)和應(yīng)用的代碼經(jīng)常從npm或者PyPI的庫中獲取有依賴關(guān)系的包。
為了保護(hù)應(yīng)用的依賴,就需要包括完整開源組件以及其漏洞數(shù)據(jù)庫的自動化工具。同樣,還需要能夠在開發(fā)流程中觸發(fā)安全行為的云原生編排工具。通過持續(xù)運(yùn)作這些工具,就可以防范產(chǎn)線上運(yùn)行的有隱患的代碼包或者容器。
5. 安全共責(zé)在開發(fā)者、DevOps和安全團(tuán)隊之間建立親密的關(guān)系。開發(fā)者并不是安全專家,但他們可以被教導(dǎo)安全操作知識,從而確保他們可以安全地編寫代碼。安全團(tuán)隊?wèi)?yīng)該知道應(yīng)用是如何開發(fā)、測試和部署的,還有哪些工具在流程中被使用,從而安全團(tuán)隊能夠在這些流程中有效地加入安全元素。
云原生要求各種企業(yè)管理安全和開發(fā)的方式,因此盡快讓不同團(tuán)隊減少隔閡至關(guān)重要。云原生的啟用對企業(yè)來說是一個形成合作和共享文化的罕見契機(jī)。
結(jié)論這篇文章提及了云原生面臨的挑戰(zhàn),包括大量需要保護(hù)的實(shí)體,以及持續(xù)變化的環(huán)境和結(jié)構(gòu)。同樣,也給出了五個能夠改善云原生環(huán)境的好實(shí)踐:
安全左移,在問題進(jìn)入產(chǎn)線前進(jìn)行規(guī)避。 在函數(shù)和容器級別應(yīng)用邊界安全。 對云原生應(yīng)用中的實(shí)體實(shí)行最小角色和最低權(quán)限。 保護(hù)好應(yīng)用依賴。 鼓勵開發(fā)、運(yùn)營和安全團(tuán)隊之間的安全共責(zé)。 點(diǎn)評業(yè)務(wù)節(jié)奏加快使得無服務(wù)器應(yīng)用等云原生應(yīng)用會越來越多被企業(yè)所啟用,云原生的安全也會更多被注意。不難發(fā)現(xiàn),本文提到的五個安全建議中,軟件安全相關(guān)的建議占了大部分:無論是安全左移、應(yīng)用依賴的防護(hù)、還是實(shí)現(xiàn)DevSecOps整個安全協(xié)同,最終都離不開開發(fā)安全相關(guān)。這一點(diǎn)來看,DevSecOps和API安全的重要性都會隨著云原生的使用進(jìn)一步地提升。
分享題目:云原生安全的五個建議
本文地址:http://www.rwnh.cn/news9/202009.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)頁設(shè)計公司、標(biāo)簽優(yōu)化、建站公司、軟件開發(fā)、App開發(fā)、營銷型網(wǎng)站建設(shè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容