成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

云原生安全的五個(gè)建議

2022-10-05    分類: 網(wǎng)站建設(shè)

基于容器和無服務(wù)器平臺(tái)的云原生應(yīng)用在正在快速地被全球的組織所部署。雖然說云原生應(yīng)用會(huì)帶來易延展性、無與倫比的韌性、以及快捷的開發(fā)速度,云原生應(yīng)用同樣會(huì)帶來挑戰(zhàn)。

云原生應(yīng)用會(huì)有大量的可移動(dòng)成分,并且基于那些短暫的架構(gòu)組件。這就會(huì)給運(yùn)營(yíng)和維護(hù)產(chǎn)生難度;除此以外,自然還有安全隱患。云原生安全需要新的解決思路、策略和工具。這里,有五個(gè)可以幫助改善企業(yè)云原生安全的小建議。

云原生安全的五個(gè)建議

什么是云原生?

云原生應(yīng)用為云而創(chuàng)建,而且整個(gè)軟件開發(fā)生命周期——開發(fā)、部署、測(cè)試和升級(jí),都會(huì)在云環(huán)境完成。“云”的概念不局限于公有云,也可以意味著遠(yuǎn)程和本地資源都有的混合云或者超過一個(gè)云供應(yīng)商的多云環(huán)境。

云原生計(jì)算基金會(huì)(CNCF)認(rèn)為三種工具應(yīng)該用于云原生計(jì)算中:容器化、微服務(wù)結(jié)構(gòu)和動(dòng)態(tài)編排。容器化意味著軟件和其關(guān)聯(lián)依賴綁定,從而實(shí)現(xiàn)軟件可移動(dòng)、可擴(kuò)展;動(dòng)態(tài)編排包括了使用Kubernetes等工具管理云端容器;而微服務(wù)結(jié)構(gòu)能夠優(yōu)化資源。容器能夠被另一項(xiàng)云原生計(jì)算能力——無服務(wù)器功能所替代。

云原生的安全挑戰(zhàn)

云原生應(yīng)用給基礎(chǔ)設(shè)施和應(yīng)用安全帶來了額外挑戰(zhàn)。以下是一些關(guān)鍵挑戰(zhàn):

多個(gè)需要保護(hù)的實(shí)體:DevOps團(tuán)隊(duì)和基礎(chǔ)設(shè)施團(tuán)隊(duì)會(huì)使用微服務(wù)來運(yùn)行云原生應(yīng)用。在過去,多個(gè)進(jìn)程或者軟件功能會(huì)在一個(gè)虛擬機(jī)上運(yùn)行?,F(xiàn)在,每個(gè)進(jìn)程或者能力都會(huì)被包裝成分離的容器或者無服務(wù)器功能。每個(gè)實(shí)體都易于被攻破,因此需要全開發(fā)周期的防護(hù)。 多樣的結(jié)構(gòu):云原生系統(tǒng)會(huì)涉及很多公有云和私有云、云服務(wù)、以及應(yīng)用結(jié)構(gòu)。每個(gè)結(jié)構(gòu)都有不同的隱患和安全需求。安全團(tuán)隊(duì)必須理解這一復(fù)雜的攻擊面,并且為每個(gè)不同的結(jié)構(gòu)找到解決方案。 不斷變化的環(huán)境:公有云和私有云環(huán)境在持續(xù)變化。快速的軟件發(fā)布周期意味著微服務(wù)應(yīng)用的每個(gè)組件都必須每日進(jìn)行升級(jí)。另外,使用不可變性和基礎(chǔ)設(shè)施即代碼意味著應(yīng)用會(huì)被持續(xù)分解并重構(gòu)。安全團(tuán)隊(duì)會(huì)發(fā)現(xiàn)很難在不減緩發(fā)布周期的情況下,保護(hù)這些技術(shù)應(yīng)用。 如何保護(hù)云原生應(yīng)用

有多種保護(hù)云原生應(yīng)用的方式,包括:安全左移、在函數(shù)和容器級(jí)別應(yīng)用邊界安全、貫徹最小角色和最低權(quán)限、保護(hù)應(yīng)用依賴,以及安全共責(zé)。

1. 安全左移

許多企業(yè)依然在使用已有的工具,卻無法處理云原生應(yīng)用環(huán)境的速度、規(guī)模和動(dòng)態(tài)網(wǎng)絡(luò)。如果再加上無服務(wù)器功能,會(huì)讓整個(gè)基礎(chǔ)設(shè)施變得更抽象,讓問題更嚴(yán)重。

網(wǎng)絡(luò)攻擊者會(huì)尋找容器和無服務(wù)器代碼中的隱患,以及云基礎(chǔ)設(shè)施中的錯(cuò)誤配置,以接入包含敏感信息的實(shí)體,再用它們提升權(quán)限,攻擊其他實(shí)體。

另一個(gè)問題是企業(yè)在用CI/CD工具持續(xù)開發(fā)、測(cè)試和發(fā)布應(yīng)用。當(dāng)使用容器部署云原生應(yīng)用的時(shí)候,開發(fā)者會(huì)從本地或者公共庫(kù)當(dāng)中獲取鏡像,但一般不會(huì)檢查這些鏡像是否包含安全隱患。

一種解決方案是給安全團(tuán)隊(duì)提供一些工具,阻止不受信任的鏡像進(jìn)入CI/CD管道,以及啟用一些機(jī)制讓不受信任的鏡像在進(jìn)入生產(chǎn)前就避免產(chǎn)生安全問題。通過在開發(fā)流程早期掃描鏡像的漏洞、惡意軟件成分等,開發(fā)者可以貫徹安全標(biāo)準(zhǔn)。

2. 在函數(shù)和容器級(jí)別應(yīng)用邊界安全

在無服務(wù)器應(yīng)用中,系統(tǒng)會(huì)被分解成幾個(gè)能從不同資源接受項(xiàng)目觸發(fā)的可調(diào)用組件。這就給了攻擊者更大的攻擊選擇,以及更多實(shí)施惡意行為的途徑。

一個(gè)很重要的方式是使用為云原生環(huán)境而制作的API和應(yīng)用安全工具。除此以外,一個(gè)很普遍的操作是在功能級(jí)別使用邊界安全——識(shí)別功能是否被一個(gè)和平時(shí)不同的來源所觸發(fā),然后監(jiān)控事件觸發(fā)中存在的異常情況。

在容器化環(huán)境里,一個(gè)重要點(diǎn)是在不同級(jí)別都要實(shí)現(xiàn)安全——編排控制面板、物理主機(jī)、pod和容器。編排的一些好安全實(shí)踐包括節(jié)點(diǎn)隔離、限制和監(jiān)測(cè)容器之間的流量、以及對(duì)API服務(wù)器使用第三方認(rèn)證機(jī)制。

3. 最小角色與最低權(quán)限

云原生資源之間會(huì)有大量頻繁的交互。如果能夠?qū)γ總€(gè)無服務(wù)器功能或者容易都能配置一些獨(dú)特的許可,就能有極大概率提升安全性??梢酝ㄟ^基于每個(gè)函數(shù)使用IAM,或者對(duì)容器進(jìn)行顆粒度的許可,加強(qiáng)接入控制。花一點(diǎn)時(shí)間創(chuàng)建最小角色,或者為每個(gè)函數(shù)或容器創(chuàng)建一系列的許可。這就確保了即使云原生結(jié)構(gòu)中有一個(gè)點(diǎn)失陷,其造成的危害也是最小的,并且會(huì)防止其他元件產(chǎn)生提權(quán)問題。

4. 保護(hù)應(yīng)用依賴

無服務(wù)器函數(shù)和應(yīng)用的代碼經(jīng)常從npm或者PyPI的庫(kù)中獲取有依賴關(guān)系的包。

為了保護(hù)應(yīng)用的依賴,就需要包括完整開源組件以及其漏洞數(shù)據(jù)庫(kù)的自動(dòng)化工具。同樣,還需要能夠在開發(fā)流程中觸發(fā)安全行為的云原生編排工具。通過持續(xù)運(yùn)作這些工具,就可以防范產(chǎn)線上運(yùn)行的有隱患的代碼包或者容器。

5. 安全共責(zé)

在開發(fā)者、DevOps和安全團(tuán)隊(duì)之間建立親密的關(guān)系。開發(fā)者并不是安全專家,但他們可以被教導(dǎo)安全操作知識(shí),從而確保他們可以安全地編寫代碼。安全團(tuán)隊(duì)?wèi)?yīng)該知道應(yīng)用是如何開發(fā)、測(cè)試和部署的,還有哪些工具在流程中被使用,從而安全團(tuán)隊(duì)能夠在這些流程中有效地加入安全元素。

云原生要求各種企業(yè)管理安全和開發(fā)的方式,因此盡快讓不同團(tuán)隊(duì)減少隔閡至關(guān)重要。云原生的啟用對(duì)企業(yè)來說是一個(gè)形成合作和共享文化的罕見契機(jī)。

結(jié)論

這篇文章提及了云原生面臨的挑戰(zhàn),包括大量需要保護(hù)的實(shí)體,以及持續(xù)變化的環(huán)境和結(jié)構(gòu)。同樣,也給出了五個(gè)能夠改善云原生環(huán)境的好實(shí)踐:

安全左移,在問題進(jìn)入產(chǎn)線前進(jìn)行規(guī)避。 在函數(shù)和容器級(jí)別應(yīng)用邊界安全。 對(duì)云原生應(yīng)用中的實(shí)體實(shí)行最小角色和最低權(quán)限。 保護(hù)好應(yīng)用依賴。 鼓勵(lì)開發(fā)、運(yùn)營(yíng)和安全團(tuán)隊(duì)之間的安全共責(zé)。 點(diǎn)評(píng)

業(yè)務(wù)節(jié)奏加快使得無服務(wù)器應(yīng)用等云原生應(yīng)用會(huì)越來越多被企業(yè)所啟用,云原生的安全也會(huì)更多被注意。不難發(fā)現(xiàn),本文提到的五個(gè)安全建議中,軟件安全相關(guān)的建議占了大部分:無論是安全左移、應(yīng)用依賴的防護(hù)、還是實(shí)現(xiàn)DevSecOps整個(gè)安全協(xié)同,最終都離不開開發(fā)安全相關(guān)。這一點(diǎn)來看,DevSecOps和API安全的重要性都會(huì)隨著云原生的使用進(jìn)一步地提升。

分享題目:云原生安全的五個(gè)建議
本文地址:http://jinyejixie.com/news9/202009.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)頁設(shè)計(jì)公司、標(biāo)簽優(yōu)化、建站公司、軟件開發(fā)、App開發(fā)營(yíng)銷型網(wǎng)站建設(shè)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

搜索引擎優(yōu)化
隆林| 韩城市| 东兰县| 龙岩市| 金堂县| 蓝田县| 伊宁市| 邢台县| 泰宁县| 莱阳市| 扬州市| 辽宁省| 北宁市| 永登县| 融水| 蓝田县| 襄汾县| 新疆| 岱山县| 佛学| 灵丘县| 申扎县| 定安县| 宜兴市| 潮州市| 杭锦旗| 建宁县| 沙田区| 红桥区| 漯河市| 五指山市| 襄垣县| 乐平市| 新密市| 布拖县| 江川县| 民乐县| 宁强县| 沽源县| 河北区| 怀柔区|