雖然“云計算”這個術(shù)語曾經(jīng)是科技行業(yè)討論的主要議題，但“云原生” 和“云原生安全”正在取而代之。越來越多的組織開始在云計算中建立自己的IT和安全性，但有許多要素需要注意。而組織尋求理解不同的元素時，需要考慮以下五個關(guān)鍵因素。

1.云原生安全與云訪問安全代理無關(guān)

當人們開始專注于在云端工作時，許多組織意識到他們需要切換業(yè)務(wù)模式，并開始使用軟件即服務(wù)。由于這種轉(zhuǎn)變，公共云安全問題爆發(fā)，因此迎來云訪問安全代理(CASB)時代，這些代理通常用來處理像Salesforce數(shù)據(jù)一樣的任務(wù)。

這可能是云時代早期的情況，但與近年來發(fā)展的另一個主題無關(guān)。最近，更多的軟件開發(fā)團隊已經(jīng)著手開發(fā)生產(chǎn)云軟件，因為他們需要創(chuàng)建優(yōu)秀的新軟件來吸引客戶，并啟用新的商業(yè)模式。這一切都凸顯出“每家公司正在成為軟件公司”的主題。

但是，如果企業(yè)為客戶構(gòu)建了一個應(yīng)用程序，并且不想成為泄露數(shù)據(jù)的另一個Equifax公司，則必須為應(yīng)用程序提高更多的安全性。這是云原生的安全性，它與云訪問安全代理(CASB)的作用有著根本的不同。這二者都與云計算有關(guān)，但分別解決的是兩個截然不同的問題。

2.云原生安全取代了現(xiàn)有的應(yīng)用程序積極主動的威脅防護措施

企業(yè)在第一次面臨如何保護其云原生軟件的問題時，最初的回應(yīng)是使用現(xiàn)有的安全工具。這是一個選擇，但效率不同，企業(yè)必須執(zhí)行大量人工操作，否則面臨的風(fēng)險將成為企業(yè)創(chuàng)新的瓶頸。

以下安全概念很難在云原生的世界中推廣應(yīng)用：

• 讓IT團隊檢查每個產(chǎn)品更新的材料清單并驗證其合規(guī)性。
• 開發(fā)團隊和運營團隊聚集在一起，構(gòu)建虛擬機，從而可以快速移動，但不會因為頻繁更改或修復(fù)軟件而導(dǎo)致問題的風(fēng)險。
• 讓IT團隊修補補丁，更新虛擬機，并確保所有環(huán)境都適合生產(chǎn)環(huán)境。
• 開發(fā)人員和操作團隊建立了devops，因此可以自己修補。

(1)網(wǎng)站安全防護(WAF)的作用

企業(yè)通常采用網(wǎng)站安全防護(WAF)，其目的是阻止工作負載遭到攻擊。除了所有的變化之外，運行網(wǎng)站安全防護(WAF)的工作人員卻無法跟蹤所有的微型工作負載。

(2)網(wǎng)絡(luò)分段

企業(yè)可能已嘗試細分或微分割網(wǎng)絡(luò)以隔離可能引入漏洞的工作負載。雖然這是一個很好的概念，但微小的敏捷工作負載中在現(xiàn)實中并不奏效，一旦不能遵守其規(guī)則，網(wǎng)絡(luò)分段就沒有效果。

然而，云原生安全性的應(yīng)用從根本上得到了擴展。它有更多關(guān)于應(yīng)用程序的信息，并且使用它們來自動化以下提到的所有元素。

自動化使企業(yè)能夠獲得更強大，更精細的安全性，并且允許企業(yè)專注于基于應(yīng)用程序表達安全性策略，而不是在每次更改/更新工作負載時人工配置安全機制。它還允許企業(yè)將其策略集成到現(xiàn)代部署工具中，從而與開發(fā)人員進行直接的討論。

3.云原生安全仍然需要多層次的防御

在傳統(tǒng)的安全術(shù)語中，企業(yè)將考慮多個安全層。企業(yè)可能考慮代碼安全，包管理，操作系統(tǒng)補丁，服務(wù)器端點安全等方面的內(nèi)容。但現(xiàn)在這些不再需要了。但重要的是要明白，使用云原生工作負載不會從這個角度給出任何快捷方式，從這個角度來看，企業(yè)仍然需要用所有必需的安全層包裝軟件。

4.云原生安全是端到端的安全

devops的應(yīng)用將傳統(tǒng)專業(yè)團隊分為兩類：一類是部署微服務(wù)的開發(fā)人員，另一類是致力于云計算的基礎(chǔ)架構(gòu)團隊。通常情況下，即使這兩個團隊也變成了一個單一的“云”團隊，也需要承擔多重責任。

如果企業(yè)考慮到這種環(huán)境的安全性，將其分成兩組也是更有意義的：

• (1)云原生基礎(chǔ)架構(gòu)：包括企業(yè)云消費的服務(wù)(例如L3-4防火墻，服務(wù)器安全，網(wǎng)絡(luò)加密和存儲加密)的安全性。
• (2)云原生應(yīng)用程序：包括需要應(yīng)用程序感知的任何安全元素(例如，L7防火墻，安全滲透測試，圖像安全性，以及應(yīng)用程序的微分割)。

這將改變?nèi)藗冊谑袌錾峡吹降陌踩a(chǎn)品的類型。云計算供應(yīng)商將在其云端產(chǎn)品中增加更多傳統(tǒng)的基礎(chǔ)架構(gòu)功能，以增強其平臺吸引力，并提供涵蓋所有基礎(chǔ)架構(gòu)安全需求的全方位產(chǎn)品。另一方面，安全提供商將主要側(cè)重于應(yīng)用程序級安全性，并且還將需要提供端到端的安全解決方案，這也將需要包括前面提到的多個因素。

5.云原生安全由云團隊經(jīng)營

傳統(tǒng)上，安全層需要不同人員或團隊的專業(yè)知識(例如端點，服務(wù)器，網(wǎng)絡(luò)，身份，PKI，存儲和軟件開發(fā))。企業(yè)可以讓人們手動添加這些安全層作為基礎(chǔ)設(shè)施的分配和應(yīng)用程序的部署，然后調(diào)用團隊中的專家來配置必要的云概念。但是分配這些資源需要是即時的，并且需要改進其安全產(chǎn)品。

云原生安全性已經(jīng)引發(fā)了重大變化。它決定圍繞安全層的策略需要由安全性和基礎(chǔ)架構(gòu)師定。但是，執(zhí)行這些策略的安全機制必須自動附加到云端和配置進程。通過允許devops或云團隊盡可能無縫地進行操作，從而全面展開整個過程。