為了滿足應(yīng)用上云的多樣化需求,企業(yè)面臨著要采用多種混合云資源的局面。此外還需要為關(guān)鍵應(yīng)用對(duì)接各類數(shù)據(jù)源,云原生架構(gòu)成為滿足這些需求的不二之選。
云安全的重構(gòu)
云原生以其技術(shù)優(yōu)勢(shì)正在不斷延伸到各類應(yīng)用場(chǎng)景中,各行各業(yè)也越來(lái)越多地基于云原生進(jìn)行敏捷開(kāi)發(fā)與業(yè)務(wù)創(chuàng)新。同樣地,云原生也遇到了安全問(wèn)題,并且隨著數(shù)字化轉(zhuǎn)型深入而擴(kuò)散到企業(yè)IT架構(gòu)的各個(gè)層面。
Palo Alto Networks(派拓網(wǎng)絡(luò))中國(guó)區(qū)大客戶技術(shù)總監(jiān) 張晨
大量新的云原生應(yīng)用和虛擬化技術(shù)等,給企業(yè)管理者提出一個(gè)新的課題,安全如何能夠平滑地過(guò)渡到新型IT架構(gòu)中。Palo Alto Networks(派拓網(wǎng)絡(luò))中國(guó)區(qū)大客戶技術(shù)總監(jiān)張晨談到:云上的安全如何管理,包括上云之后,應(yīng)用很多云原生的技術(shù),如何對(duì)它們進(jìn)行無(wú)縫的安全管理,已經(jīng)成為影響安全事件的重要主體。
相比于傳統(tǒng)松耦合的云安全,云原生安全更需要云原生平臺(tái)與安全體系緊密結(jié)合,成為基于架構(gòu)的內(nèi)生安全。這緣于兩方面:一方面是不斷使用新組件和發(fā)布新應(yīng)用將面臨新的安全風(fēng)險(xiǎn),另一方面則是傳統(tǒng)架構(gòu)在向新架構(gòu)轉(zhuǎn)變的云原生安全需求。
云原生遇到了安全挑戰(zhàn),在快速的云原生環(huán)境變化過(guò)程中,安全策略相對(duì)滯后,因?yàn)樵圃h(huán)境的設(shè)計(jì)和架構(gòu)規(guī)劃并非出于安全考慮,而是如何以最低的資源開(kāi)銷和最便捷的開(kāi)發(fā)環(huán)境資源,獲取最大的應(yīng)用發(fā)布成果。張晨這樣表示到:云原生并不是以安全機(jī)制為初衷,在云原生應(yīng)用全生命周期中有很多安全漏洞和短板,因此越來(lái)越多的企業(yè)會(huì)尋求在整個(gè)云原生應(yīng)用環(huán)境中對(duì)安全進(jìn)行前置。
在云原生環(huán)境下的網(wǎng)絡(luò)安全策略應(yīng)該采取什么樣的戰(zhàn)略轉(zhuǎn)型?
張晨建議:首先,建設(shè)云原生應(yīng)用生命周期中全面的可視化能力,應(yīng)用從開(kāi)始開(kāi)發(fā)到鏡像發(fā)布之后,配置上有哪些問(wèn)題,我們必須有可視化的能力。
其次,對(duì)于云上應(yīng)用一旦投產(chǎn)使用生效的時(shí)候,我們要對(duì)這個(gè)應(yīng)用本身會(huì)遭遇到的安全攻擊進(jìn)行高效準(zhǔn)確的檢測(cè),這包括和云原生相關(guān)聯(lián)的網(wǎng)絡(luò)、端點(diǎn)和上下游供應(yīng)鏈廠家,都應(yīng)該有相應(yīng)的安全機(jī)制。
最后,我們應(yīng)該提升安全管理的整體效率,要使企業(yè)IT管理部門能夠在一個(gè)平臺(tái)上對(duì)整個(gè)云原生的生命周期進(jìn)行全方位的安全策略管理,而不是一個(gè)人管理很多不同的產(chǎn)品,產(chǎn)品之間又沒(méi)有關(guān)聯(lián)性,這樣會(huì)導(dǎo)致安全效率非常低。
運(yùn)營(yíng)云原生安全
面對(duì)復(fù)雜的多云環(huán)境,企業(yè)建設(shè)云原生安全體系時(shí),應(yīng)該具備持續(xù)的云原生安全運(yùn)營(yíng)理念,采用專業(yè)的云原生安全產(chǎn)品和服務(wù),滿足企業(yè)自身數(shù)字化轉(zhuǎn)型與云安全重構(gòu)的需求。
處于數(shù)字化轉(zhuǎn)型下的云原生,其承載的主要是企業(yè)的敏態(tài)業(yè)務(wù),由于引入的組件和新技術(shù)更多,導(dǎo)致不可信任的風(fēng)險(xiǎn)點(diǎn)增多,安全威脅面增大。傳統(tǒng)的安全邊界已經(jīng)不能滿足云原生安全要求,需要從基于邊界的安全轉(zhuǎn)變?yōu)榱阈湃伟踩w系。
什么才是真正的零信任接入的網(wǎng)絡(luò)?
張晨認(rèn)為:真正零信任網(wǎng)絡(luò)接入的架構(gòu)首先應(yīng)該具備最小權(quán)限的訪問(wèn)原則,不會(huì)讓訪問(wèn)的主體和客體有過(guò)多的權(quán)限;其次,要進(jìn)行持續(xù)不斷的身份校驗(yàn)和安全檢查,而不是一次性地在一個(gè)網(wǎng)絡(luò)入口做完一個(gè)認(rèn)證就可以通過(guò)。張晨同時(shí)強(qiáng)調(diào),以零信任網(wǎng)絡(luò)接入的整體架構(gòu)進(jìn)行數(shù)據(jù)保護(hù),覆蓋所有的數(shù)據(jù)類型和應(yīng)用類型,只有以零信任的指導(dǎo)思想才能保護(hù)整個(gè)網(wǎng)絡(luò)。
派拓網(wǎng)絡(luò)的下一代網(wǎng)絡(luò)安全平臺(tái)具有高度集中化和高智能特點(diǎn),有網(wǎng)絡(luò)安全、云安全和終端安全三個(gè)主要組成部分,平臺(tái)上有相應(yīng)自動(dòng)化安全運(yùn)營(yíng)的構(gòu)建,把網(wǎng)絡(luò)云原生環(huán)境下以及端點(diǎn)安全等所有信息都匯總到自動(dòng)化安全運(yùn)營(yíng)平臺(tái)上進(jìn)行統(tǒng)一監(jiān)控和管理。再加上智能化的編排,最大程度降低人工參與的部分,把大量重復(fù)性的安全處置事件交給自動(dòng)化運(yùn)營(yíng)平臺(tái)處理,極大地降低了安全運(yùn)營(yíng)的復(fù)雜性,提高了效率。
通過(guò)人工智能和機(jī)器學(xué)習(xí)技術(shù),派拓網(wǎng)絡(luò)把很多安全事件都集成到統(tǒng)一的數(shù)據(jù)分析單元里進(jìn)行分析,讓管理人員從網(wǎng)絡(luò)、云環(huán)境、終端和主機(jī)上全面看到企業(yè)IT架構(gòu)下的整體安全運(yùn)營(yíng)情況,以及進(jìn)行自動(dòng)化的安全處置。
全面的云原生安全
與從IT架構(gòu)視角的傳統(tǒng)云計(jì)算不同,云原生更關(guān)注的是企業(yè)業(yè)務(wù)和應(yīng)用架構(gòu)。在云原生場(chǎng)景下,安全管理消除安全威脅的最終目標(biāo)是如何最大限度地保證業(yè)務(wù)的連續(xù)性,減小安全風(fēng)險(xiǎn)帶來(lái)的業(yè)務(wù)損失。
云原生環(huán)境下,既有內(nèi)網(wǎng)又有外網(wǎng),同時(shí)交織著架構(gòu)、資源、工作負(fù)載以及終端和身份可信等各方面的安全風(fēng)險(xiǎn)。企業(yè)必須要有一個(gè)全面防護(hù)云原生的安全架構(gòu)體系,才能保證業(yè)務(wù)應(yīng)用的快速開(kāi)發(fā)迭代,以及更強(qiáng)的安全。
Prisma Cloud 3.0是派拓網(wǎng)絡(luò)針對(duì)應(yīng)用整個(gè)安全生命周期的全方位安全需求而設(shè)計(jì),通過(guò)一個(gè)平臺(tái)涵蓋云原生代碼開(kāi)發(fā)環(huán)境、上云之后的安全威脅態(tài)勢(shì)感知,以及云原生應(yīng)用在運(yùn)行過(guò)程中等和網(wǎng)絡(luò)相關(guān)的所有安全防護(hù)。張晨表示:所以用戶是在一個(gè)高度集成且能夠覆蓋全生命周期的環(huán)境下使用派拓網(wǎng)絡(luò)的Prisma Cloud解決方案,這也是目前業(yè)界唯一一個(gè)能夠進(jìn)行云原生應(yīng)用全生命周期覆蓋的統(tǒng)一平臺(tái)。
Prisma Cloud平臺(tái)涵蓋了應(yīng)用產(chǎn)生和上線、發(fā)布、使用整個(gè)全生命周期,它是一個(gè)整合的平臺(tái),不需要管理人員管理多個(gè)不同的產(chǎn)品。另外,Prisma Cloud能夠通過(guò)代理的方式幫助用戶把在云上的應(yīng)用資源進(jìn)行全面可視化的管理,大大簡(jiǎn)化管理人員對(duì)云原生應(yīng)用環(huán)境下的工作負(fù)載。
在云原生環(huán)境下,企業(yè)不可避免地會(huì)用到一些開(kāi)源的環(huán)境,這就更要對(duì)云原生本身的開(kāi)發(fā)環(huán)境進(jìn)行安全檢測(cè),尤其是配置檢查,要在云原生開(kāi)發(fā)過(guò)程中內(nèi)置進(jìn)去,也就是安全左移。
張晨最后表示,不能等到應(yīng)用發(fā)布之后再被動(dòng)地去檢測(cè)這個(gè)應(yīng)用的流量中是否存在安全問(wèn)題,我們要在整個(gè)云原生的生命周期中把安全放在最開(kāi)始的位置,與開(kāi)發(fā)環(huán)境集成在一起,保證開(kāi)發(fā)環(huán)境的安全和配置正確性,避免人為誤操作造成的錯(cuò)誤配置。如此,當(dāng)應(yīng)用程序發(fā)布后投產(chǎn)使用時(shí),安全系數(shù)才會(huì)大幅提高。
