在不斷發(fā)展的云原生環(huán)境中，網(wǎng)絡(luò)安全的重要性怎么強(qiáng)調(diào)都不為過。在非云原生環(huán)境中，網(wǎng)絡(luò)安全職責(zé)由多個團(tuán)隊(duì)分擔(dān)，網(wǎng)絡(luò)和安全團(tuán)隊(duì)起主導(dǎo)作用，但是，考慮到云原生環(huán)境的性質(zhì)，平臺團(tuán)隊(duì)?wèi)?yīng)該對其平臺的網(wǎng)絡(luò)安全負(fù)責(zé)。

我將討論平臺團(tuán)隊(duì)在網(wǎng)絡(luò)安全中的角色，包括在保護(hù)網(wǎng)絡(luò)方面面臨的挑戰(zhàn)，建立和維護(hù)強(qiáng)大的網(wǎng)絡(luò)安全需要考慮的問題，以及為什么它是這項(xiàng)工作的最佳團(tuán)隊(duì)。

將責(zé)任移交給平臺團(tuán)隊(duì)

與傳統(tǒng)設(shè)置不同，傳統(tǒng)設(shè)置需要單獨(dú)的團(tuán)隊(duì)管理基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全，而云原生環(huán)境需要不同的方法。在這種以持續(xù)部署、自動化基礎(chǔ)設(shè)施配置和微服務(wù)通信為特征的動態(tài)環(huán)境中，基于邊界的安全方法和責(zé)任孤島將不起作用，相反，平臺團(tuán)隊(duì)必須對網(wǎng)絡(luò)安全負(fù)責(zé)，網(wǎng)絡(luò)安全必須是動態(tài)的、分布式的和即時的。

就像平臺一樣，網(wǎng)絡(luò)安全必須是自動化的，與平臺一起擴(kuò)展，并配置為代碼，以便可以實(shí)時更新?？紤]到他們的技能，平臺團(tuán)隊(duì)的成員最適合監(jiān)督這一點(diǎn)。

云原生環(huán)境確實(shí)需要偏離傳統(tǒng)的基于外圍的安全措施，然而，在傳統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域，有一些已經(jīng)制定、細(xì)化和完善的強(qiáng)大原則，平臺團(tuán)隊(duì)?wèi)?yīng)該適應(yīng)云原生應(yīng)用。

從傳統(tǒng)網(wǎng)絡(luò)安全中學(xué)習(xí)

雖然云原生環(huán)境帶來了獨(dú)特的挑戰(zhàn)，但傳統(tǒng)的網(wǎng)絡(luò)安全原則提供了幾十年來獲得的寶貴見解。零信任、網(wǎng)絡(luò)分段和流量過濾等概念都是久經(jīng)考驗(yàn)的實(shí)踐，可以調(diào)整以適應(yīng)云原生環(huán)境：

• 零信任：通過采用零信任方法，即每個請求都被視為潛在惡意請求，組織可以增強(qiáng)其網(wǎng)絡(luò)安全態(tài)勢。
• 網(wǎng)絡(luò)分段：網(wǎng)絡(luò)分段有助于隔離工作負(fù)載并限制橫向移動，從而限制潛在入侵的影響。
• 流量過濾：流量過濾使企業(yè)能夠控制和監(jiān)控網(wǎng)絡(luò)流量，確保只進(jìn)行授權(quán)通信。

其他有用的概念包括限制橫向移動的應(yīng)用程序隔離、對可疑流量進(jìn)行深度數(shù)據(jù)包檢測以確定攻擊跡象，以及使用威脅情報饋送阻止與已知不良行為者的連接嘗試。

平臺團(tuán)隊(duì)在保護(hù)網(wǎng)絡(luò)安全方面的作用

在云原生環(huán)境中，平臺團(tuán)隊(duì)在保護(hù)網(wǎng)絡(luò)和實(shí)現(xiàn)合規(guī)性方面發(fā)揮著至關(guān)重要的作用，他們需要在CI/CD生命周期的早期主動識別漏洞和惡意軟件，將安全實(shí)踐無縫集成到開發(fā)和部署流程中。通過將嚴(yán)格的安全性構(gòu)建到基礎(chǔ)設(shè)施自動化中，平臺團(tuán)隊(duì)可以在整個環(huán)境中一致地應(yīng)用安全措施。這種方法不僅增強(qiáng)了安全性，還實(shí)現(xiàn)了可擴(kuò)展性和自動化。

平臺團(tuán)隊(duì)還負(fù)責(zé)配置平臺和工作負(fù)載的安全狀態(tài)。通過實(shí)施不信任任何人、默認(rèn)拒絕和類似做法，企業(yè)可以防止數(shù)據(jù)外泄，只允許授權(quán)的出口。由于幾種不同類型的服務(wù)共享一個平臺，因此必須隔離應(yīng)用程序和服務(wù)，以防止橫向移動的威脅并確保多租戶。平臺團(tuán)隊(duì)必須持續(xù)監(jiān)控和更新安全配置，以適應(yīng)不斷變化的威脅并保持強(qiáng)大的安全態(tài)勢。

網(wǎng)絡(luò)安全挑戰(zhàn)

在云原生環(huán)境中，平臺團(tuán)隊(duì)在網(wǎng)絡(luò)安全方面面臨的主要挑戰(zhàn)來自于處理環(huán)境的自動化和彈性基礎(chǔ)設(shè)施，需要保護(hù)出口和內(nèi)部流量并檢測和阻止攻擊，以及啟用網(wǎng)絡(luò)安全以幫助降低風(fēng)險。

• 為云構(gòu)建可擴(kuò)展的網(wǎng)絡(luò)安全：由于云原生配置的基礎(chǔ)設(shè)施是自動化、彈性且跨混合云環(huán)境分布的，因此新節(jié)點(diǎn)和容器不斷在不同位置產(chǎn)生。平臺團(tuán)隊(duì)需要確保網(wǎng)絡(luò)安全能夠與基礎(chǔ)設(shè)施一起擴(kuò)展。
• 從多個角度探討網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全需要同時保護(hù)出口流量和集群內(nèi)的流量，因?yàn)檫@些流量也通過網(wǎng)絡(luò)進(jìn)行通信。
• 檢測和阻止攻擊：網(wǎng)絡(luò)安全必須能夠檢測和阻止已知攻擊者的攻擊以及零日攻擊。
• 為風(fēng)險緩解設(shè)置網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全在風(fēng)險緩解中發(fā)揮著重要作用。一旦發(fā)生入侵，網(wǎng)絡(luò)安全應(yīng)該能夠降低暴露的風(fēng)險并提供取證，以便采取適當(dāng)?shù)牟襟E避免再次發(fā)生。

實(shí)現(xiàn)合規(guī)和多租戶

在云原生環(huán)境中，合規(guī)性超越了傳統(tǒng)的基于邊界的控制。考慮到平臺團(tuán)隊(duì)的技能和職責(zé)，他們最適合配置和展示合規(guī)性，他們必須與合規(guī)團(tuán)隊(duì)密切合作，以了解和實(shí)施必要的控制和政策。通過利用自動化和安全即代碼實(shí)踐，平臺團(tuán)隊(duì)可以幫助一致地滿足合規(guī)性要求。

無論是由合規(guī)性還是規(guī)模經(jīng)濟(jì)驅(qū)動的多租戶，都是云原生環(huán)境的一個常見方面。平臺團(tuán)隊(duì)必須設(shè)計和實(shí)施有效的多租戶策略，以隔離和幫助保護(hù)租戶資源，這包括實(shí)施強(qiáng)大的訪問控制、網(wǎng)絡(luò)分段和加密機(jī)制，以保護(hù)敏感數(shù)據(jù)并防止未經(jīng)授權(quán)的訪問。

結(jié)論

云原生環(huán)境中的網(wǎng)絡(luò)安全需要一種主動且適應(yīng)性強(qiáng)的方法，平臺團(tuán)隊(duì)在確保強(qiáng)大的網(wǎng)絡(luò)安全方面發(fā)揮著關(guān)鍵作用。通過利用來自傳統(tǒng)網(wǎng)絡(luò)安全的見解，將安全配置為代碼，并專注于合規(guī)性和多租戶，企業(yè)可以有效地應(yīng)對挑戰(zhàn)并保護(hù)其云原生平臺。通過持續(xù)監(jiān)控、定期更新和與其他團(tuán)隊(duì)的協(xié)作，平臺團(tuán)隊(duì)可以在新出現(xiàn)的威脅中保持領(lǐng)先地位，并幫助維護(hù)安全的網(wǎng)絡(luò)環(huán)境。