【51CTO.com快譯】云原生應(yīng)用程序與基礎(chǔ)設(shè)施需要配合不同于以往的安全方法。而以下最佳實踐無疑值得您關(guān)注。

[[208431]]

如今，各類企業(yè)皆在積極探索云原生軟件技術(shù)的應(yīng)用。“云原生”是指將軟件打包至容器這類標(biāo)準(zhǔn)化單元中的方法，將這些單元排列成彼此對接的微服務(wù)即可構(gòu)成應(yīng)用程序，從而確保所運行的應(yīng)用程序?qū)崿F(xiàn)高度自動化，并帶來速度、靈活性與可擴展性等優(yōu)勢。

由于此類方案徹底顛覆了軟件的構(gòu)建、部署與運行方式，因此從根本上改變了軟件的保護需求。云原生應(yīng)用程序與基礎(chǔ)設(shè)施帶來了多種全新挑戰(zhàn)，因此需要配合新的安全程序以支持企業(yè)安心運用云原生技術(shù)。

首先，我們將著眼于具體挑戰(zhàn)，而后分兩大部分探討能夠?qū)⑵浣鉀Q的最佳實踐。下面來看具體挑戰(zhàn)：

1. 傳統(tǒng)安全基礎(chǔ)設(shè)施缺少容器可見能力。 大多數(shù)現(xiàn)有主機型與網(wǎng)絡(luò)安全工具無法監(jiān)控或捕捉容器活動。這些工具的設(shè)計初衷在于保護單一操作系統(tǒng)或主機間的流量，而非運行在其上的應(yīng)用程序。這意味著缺少對容器內(nèi)事件、系統(tǒng)交互與容器間流量的可見能力。

2.  攻擊面可能快速變化。 云原生應(yīng)用程序包含大量被稱為微服務(wù)的小型組件，這些組件高度分布且必須進行獨立審計及保護。由于此類應(yīng)用程序需要專門由編排系統(tǒng)進行配置與規(guī)模調(diào)整，因此攻擊面將隨時變化——且速度遠(yuǎn)高于傳統(tǒng)整體式應(yīng)用程序。

3.  分布式數(shù)據(jù)流要求持續(xù)監(jiān)控。 容器與微服務(wù)具備輕量化特性，且需要以編程化方式實現(xiàn)彼此或與外部云服務(wù)間的交互。這將帶來大量跨越環(huán)境的快速移動數(shù)據(jù)，我們需要對其進行持續(xù)監(jiān)控以快速發(fā)現(xiàn)攻擊與入侵跡象，同時不斷掌握未授權(quán)數(shù)據(jù)訪問或滲透行為。

4.  檢測、預(yù)防與響應(yīng)必須實現(xiàn)自動化。容器生成事件的規(guī)模與速度要遠(yuǎn)超過現(xiàn)有安全運營工作流的承載能力。容器的短暫生命周期也使相關(guān)工具難以捕捉、分析并確定事件的根本原因。有效的威脅保護方案需要以自動化方式進行數(shù)據(jù)收集、過濾、關(guān)聯(lián)以及分析，從而對新事件作出充分反應(yīng)。

面對上述全新挑戰(zhàn)，安全專業(yè)人士需要建立新的安全程序以支持企業(yè)對云原生技術(shù)方案的使用。當(dāng)然，這類安全程序也應(yīng)當(dāng)有能力解決云原生應(yīng)用程序完整生命周期內(nèi)的各類問題，具體可分為兩大不同階段：構(gòu)建與部署階段，以及運行時階段。兩大階段各自擁有不同的安全需求考量，且必須將二者結(jié)合起來方能構(gòu)建起一套全面的安全規(guī)程。

到這里，我們已經(jīng)對面對的實際挑戰(zhàn)擁有了充分的認(rèn)識。在本篇文章的下半部分內(nèi)，我們將詳細(xì)探討兩大階段中存在的具體問題，并考量如何將其解決。各位讀者朋友，咱們不見不散!

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】