云安全一直有兩個基本支柱：一是發(fā)現(xiàn)問題的可見性，另一個是有效修復威脅的能力。在理想情況下是以主動的方式進行保護，這意味著在風險被攻擊者利用之前降低風險。自從十多年前一些企業(yè)開始將工作負載轉(zhuǎn)移到云平臺中以來，這兩個支柱都沒有改變。

然而，企業(yè)實施云安全所需的工具和流程近年來發(fā)生了巨大的變化。隨著企業(yè)從由虛擬機驅(qū)動的基本云環(huán)境轉(zhuǎn)變?yōu)榉植际?、基于微服?wù)的云原生環(huán)境，在五到十年前采取的云安全策略如今已不能有效應(yīng)對威脅行為者。

如今，隨著云計算戰(zhàn)略和架構(gòu)的發(fā)展，確保云安全顯然至關(guān)重要。以下對云安全意味著什么以及企業(yè)應(yīng)遵循哪些最佳實踐來滿足云原生安全要求進行了解釋。

從云安全到云原生安全

傳統(tǒng)云計算環(huán)境和云原生計算環(huán)境之間有著很大的區(qū)別。從廣義上講，傳統(tǒng)的云計算安全和云原生安全有很大的不同。

在傳統(tǒng)的云計算環(huán)境中，企業(yè)可以通過設(shè)置云計算防火墻和定義安全組來保護工作負載。企業(yè)通過將代理加載到收集日志和指標的虛擬機上來實現(xiàn)安全可見性?？赡芤呀?jīng)使用云計算提供商的云原生安全工具(如Amazon GuardDuty或Microsoft Defender)來解釋該數(shù)據(jù)并檢測威脅。企業(yè)可能還定期審核其云計算IAM設(shè)置以檢測潛在的錯誤配置，甚至將一些安全操作工作交給托管安全服務(wù)提供商(MSSP)。

這些類型的工具和流程在云原生環(huán)境中仍然很重要。但是，僅靠它們還不足以應(yīng)對云原生工作負載環(huán)境中出現(xiàn)的獨特的安全挑戰(zhàn)。傳統(tǒng)的云計算安全無法滿足以下需求：

• 識別IaaS之外的風險：云原生攻擊面超出了傳統(tǒng)的基礎(chǔ)設(shè)施和應(yīng)用程序。例如，Kubernetes RBAC配置錯誤可能會造成安全風險，僅監(jiān)控虛擬機或應(yīng)用程序不會提醒用戶注意它們。
• 管理不斷變化的配置：現(xiàn)代的云原生環(huán)境可能包括數(shù)十個用戶和工作負載，有數(shù)千個訪問控制規(guī)則定義了誰可以做什么，并且其設(shè)置在不斷變化。在這種快速變化的動態(tài)環(huán)境中，定期審計不足以主動檢測威脅。
• 多云安全需求：當企業(yè)需要保護跨多個云平臺運行的工作負載時，云計算供應(yīng)商提供的云原生安全工具在功能方面是不夠的。
• 糾正根本原因：知道存在風險并不總是足以在復雜的云原生架構(gòu)中快速修復它。例如，檢測應(yīng)用程序中的代碼注入漏洞并不一定意味著企業(yè)可以快速將問題追溯到觸發(fā)它的特定微服務(wù)或代碼提交。

因此，雖然傳統(tǒng)的云安全仍然是云原生安全基礎(chǔ)的一部分，但它本身并不是一個完整的基礎(chǔ)。要全面保護云原生工作負載，企業(yè)需要擴展現(xiàn)有的安全工具和流程來保護傳統(tǒng)云工作負載。

云原生安全最佳實踐

要實現(xiàn)云原生工作負載的完全安全性， 需要努力遵循以下實踐。

(1)將安全性融入開發(fā)管道

在云原生世界中，不要等到部署應(yīng)用程序后才考慮風險。與其相反，通過將安全測試融入到持續(xù)集成(CI)/持續(xù)交付(CD)管道中，最大限度地提高在部署前發(fā)現(xiàn)和修復問題的機會。在理想情況下，企業(yè)將執(zhí)行一系列測試——從測試源代碼開始，然后在預(yù)生產(chǎn)環(huán)境中針對二進制文件運行測試。

(2)超越代理

雖然基于代理的安全性可能足以保護虛擬機等簡單的云計算工作負載，但在某些情況下(例如，當企業(yè)使用無服務(wù)器功能時)無法部署代理來實現(xiàn)安全可見性。

與其相反，企業(yè)需要通過確保其應(yīng)用程序公開檢測威脅所需的數(shù)據(jù)，而不依賴代理作為中介，從而在代碼本身中增加安全可見性。

(3)實施分層安全

云原生環(huán)境包括許多層，例如基礎(chǔ)設(shè)施、應(yīng)用程序、編排、物理和虛擬網(wǎng)絡(luò)等，因此需要確保每一層的安全。這意味著除了捕獲傳統(tǒng)的云安全風險(如IAM錯誤配置)之外，還需要部署能夠檢測風險的工具和安全分析流程，例如，通過配置Kubernetes部署的方式或從容器映像內(nèi)部檢測風險。

(4)持續(xù)和實時審計

同樣，定期審核或驗證云計算配置不足以確保企業(yè)可以實時檢測和修復威脅。與其相反，應(yīng)該部署可以持續(xù)監(jiān)控所有配置并立即提醒注意風險的工具。

(5)自動修復

在可能的情況下，還應(yīng)該部署可以立即隔離或緩解威脅的自動修復工具，而無需人工參與。這種方法不僅可以減輕企業(yè)對IT和安全團隊的負擔，而且還允許盡可能快速和主動地修復漏洞。