关于云原生安全性的5个关键因素
虽然“云计算”这个术语曾经是科技行业讨论的主要议题,但“云原生” 和“云原生安全”正在取而代之。越来越多的组织开始在云计算中建立自己的IT和安全性,但有许多要素需要注意。而组织寻求理解不同的元素时,需要考虑以下五个关键因素。
1.云原生安全与云访问安全代理无关
当人们开始专注于在云端工作时,许多组织意识到他们需要切换业务模式,并开始使用软件即服务。由于这种转变,公共云安全问题爆发,因此迎来云访问安全代理(CASB)时代,这些代理通常用来处理像Salesforce数据一样的任务。
这可能是云时代早期的情况,但与近年来发展的另一个主题无关。最近,更多的软件开发团队已经着手开发生产云软件,因为他们需要创建优秀的新软件来吸引客户,并启用新的商业模式。这一切都凸显出“每家公司正在成为软件公司”的主题。
但是,如果企业为客户构建了一个应用程序,并且不想成为泄露数据的另一个Equifax公司,则必须为应用程序提高更多的安全性。这是云原生的安全性,它与云访问安全代理(CASB)的作用有着根本的不同。这二者都与云计算有关,但分别解决的是两个截然不同的问题。
2.云原生安全取代了现有的应用程序积极主动的威胁防护措施
企业在第一次面临如何保护其云原生软件的问题时,最初的回应是使用现有的安全工具。这是一个选择,但效率不同,企业必须执行大量人工操作,否则面临的风险将成为企业创新的瓶颈。
以下安全概念很难在云原生的世界中推广应用:
- 让IT团队检查每个产品更新的材料清单并验证其合规性。
- 开发团队和运营团队聚集在一起,构建虚拟机,从而可以快速移动,但不会因为频繁更改或修复软件而导致问题的风险。
- 让IT团队修补补丁,更新虚拟机,并确保所有环境都适合生产环境。
- 开发人员和操作团队建立了devops,因此可以自己修补。
(1)网站安全防护(WAF)的作用
企业通常采用网站安全防护(WAF),其目的是阻止工作负载遭到攻击。除了所有的变化之外,运行网站安全防护(WAF)的工作人员却无法跟踪所有的微型工作负载。
(2)网络分段
企业可能已尝试细分或微分割网络以隔离可能引入漏洞的工作负载。虽然这是一个很好的概念,但微小的敏捷工作负载中在现实中并不奏效,一旦不能遵守其规则,网络分段就没有效果。
然而,云原生安全性的应用从根本上得到了扩展。它有更多关于应用程序的信息,并且使用它们来自动化以下提到的所有元素。
自动化使企业能够获得更强大,更精细的安全性,并且允许企业专注于基于应用程序表达安全性策略,而不是在每次更改/更新工作负载时人工配置安全机制。它还允许企业将其策略集成到现代部署工具中,从而与开发人员进行直接的讨论。
3.云原生安全仍然需要多层次的防御
在传统的安全术语中,企业将考虑多个安全层。企业可能考虑代码安全,包管理,操作系统补丁,服务器端点安全等方面的内容。但现在这些不再需要了。但重要的是要明白,使用云原生工作负载不会从这个角度给出任何快捷方式,从这个角度来看,企业仍然需要用所有必需的安全层包装软件。
4.云原生安全是端到端的安全
devops的应用将传统专业团队分为两类:一类是部署微服务的开发人员,另一类是致力于云计算的基础架构团队。通常情况下,即使这两个团队也变成了一个单一的“云”团队,也需要承担多重责任。
如果企业考虑到这种环境的安全性,将其分成两组也是更有意义的:
- (1)云原生基础架构:包括企业云消费的服务(例如L3-4防火墙,服务器安全,网络加密和存储加密)的安全性。
- (2)云原生应用程序:包括需要应用程序感知的任何安全元素(例如,L7防火墙,安全渗透测试,图像安全性,以及应用程序的微分割)。
这将改变人们在市场上看到的安全产品的类型。云计算供应商将在其云端产品中增加更多传统的基础架构功能,以增强其平台吸引力,并提供涵盖所有基础架构安全需求的全方位产品。另一方面,安全提供商将主要侧重于应用程序级安全性,并且还将需要提供端到端的安全解决方案,这也将需要包括前面提到的多个因素。
5.云原生安全由云团队经营