利用云原生 (Cloud-Native) 架構，公司企業(yè)能以較低的成本減少應用開發(fā)時間，提升敏捷性。盡管靈活性和可移植性驅動了云原生架構的廣泛采納，但也帶來了新的挑戰(zhàn)：怎樣規(guī)?；芾戆踩靶阅?

[[271514]]

云端挑戰(zhàn)

容器和微服務安全難以保障主要是以下幾個原因：

1. 邊界分散：一旦傳統(tǒng)邊界被突破，惡意軟件或勒索軟件常會在數(shù)據中心和云環(huán)境中四處游走，難以檢測。

2. DevOps 思維模式下，開發(fā)人員不斷構建、推送和拉取各種鏡像，直面無數(shù)暴露，比如操作系統(tǒng)漏洞、軟件包漏洞、錯誤配置、秘密信息暴露……

3. 容器生存周期短，內容不透明，很容易在用過后遺留下大量數(shù)據，極難看清容器化環(huán)境的風險及安全態(tài)勢。面對幾百萬臺轉瞬即逝的容器，想要梳理其上成千上萬服務中的互聯(lián)數(shù)據，以便及時了解具體安全狀況或違規(guī)情況，好比大海撈針一樣。

4. 隨著開發(fā)速度的加快，安全被擠到了開發(fā)周期末端。開發(fā)人員不再從早期開始即植入安全，而寧可在末期補上，最終也就增加了基礎設施中潛在暴露的概率。

預算緊張，加上不斷創(chuàng)新的壓力，讓機器學習和人工智能 IT 運營 (AIOps) 逐漸融入安全提供商路線圖中，因為這是減輕現(xiàn)代架構中安全人員負擔最為現(xiàn)實的解決方案了，至少目前看來是。

為什么機器學習很適合?

容器按需使用，上下線轉換頻繁，安全人員沒有犯錯的余地。攻擊者卻只需成功一次即可收獲滿滿，而不斷發(fā)展變化的云原生環(huán)境中，入侵來得更加容易，因為安全難以跟進。也就是說，運行時環(huán)境如今可因內部人黑客行為、策略錯誤配置、零日威脅和外部攻擊而千瘡百孔。

這種動態(tài)環(huán)境中，人手短缺的安全團隊是無法人工大規(guī)模抵御這些威脅的。安全配置可能需要幾個小時乃至數(shù)天才能調整好，如此充裕的時間完全夠黑客充分利用該機會窗口了。

過去幾十年來，我們已經見證了機器學習算法和技術的長足進步。如今，即使是沒有統(tǒng)計學背景的人，也可以獲取機器學習模型并將之應用來解決各種問題。

容器很適合用監(jiān)督學習模型，原因如下：

1. 容器表面很小

因為容器基本為模塊化任務設計，構造簡單，比較容易定義其內部行為基線，區(qū)分正常與不正常的行為。虛擬機則不同，動輒幾百個程序和進程運行，比容器難判斷得多。

2. 容器是聲明性的

不用挨個兒查配置，DevOps 團隊查看守護進程和容器環(huán)境就可以了解特定容器運行時可以做些什么了。

3. 容器是不可變的

這種不變性就是防止運行時修改的保護圍欄。比如說，如果某容器突然開始運行 netcat，那就說明可能有人入侵了。

鑒于以上特性，機器學習模型可以從行為中學習，在創(chuàng)建運行時配置時更加準確，精準評估哪些行為應被允許而哪些應加以禁止。通過讓機器來定義準確的配置，自動發(fā)現(xiàn)潛在威脅指標，檢測的效率和精度都能得到大幅提升。同時，這還能緩解安全運營中心團隊成員的過勞情況，讓他們不用為不同容器環(huán)境挨個兒手動創(chuàng)建特定規(guī)則，從而將精力放在響應和修復上，而不是單調機械地人工檢測上。

云原生時代，安全必須跟上不斷變化的技術態(tài)勢。團隊應配備云原生安全工具以摒除噪音與干擾，找出所需的準確情報。若不用機器學習，安全團隊會被大量無關緊要的瑣碎細節(jié)絆住，錯失真正應該關注的東西。