云原生開發(fā)模式為網(wǎng)絡(luò)安全倡導(dǎo)者十多年來(lái)一直倡導(dǎo)的應(yīng)用程序安全實(shí)現(xiàn)收益提供了機(jī)會(huì)，但向云原生安全的過渡需要新的工具和應(yīng)用程序以及不同的安全運(yùn)營(yíng)心態(tài)，這將使許多網(wǎng)絡(luò)安全專業(yè)人士走出他們的舒適區(qū)。

以下是開發(fā)者、應(yīng)用程序安全專家和云原生技術(shù)專家對(duì)云原生網(wǎng)絡(luò)安全與傳統(tǒng)方法的不同之處的一些見解。

(1)一切即代碼讓應(yīng)用程序安全變得至關(guān)重要

以色列云原生安全提供商Wiz公司的首席安全研究員Scott Piper表示，在云原生架構(gòu)中，微服務(wù)和API主導(dǎo)的交互不僅存在于應(yīng)用程序組件之間，還存在于底層基礎(chǔ)設(shè)施之間，這意味著一切都變成了應(yīng)用程序安全問題。

他說(shuō)，“在傳統(tǒng)上，網(wǎng)絡(luò)安全在一定程度上涉及到知道網(wǎng)絡(luò)線路連接在哪里。人們知道與公共互聯(lián)網(wǎng)的連接點(diǎn)在哪里，因?yàn)榭梢杂H眼看到。在云中，配置的單個(gè)更改可能導(dǎo)致某些內(nèi)容公開暴露在互聯(lián)網(wǎng)上，不需要在某處連接網(wǎng)絡(luò)線路。”

(2)網(wǎng)絡(luò)攻擊面更大

GuidePoint Security公司的應(yīng)用安全工程總監(jiān)Kristen Bell表示，云原生應(yīng)用程序、基礎(chǔ)設(shè)施和數(shù)據(jù)流增加了企業(yè)的復(fù)雜性，從而引入了更多攻擊面。

Bell說(shuō)，“隨著微服務(wù)和API的增加，數(shù)據(jù)流變得更加復(fù)雜。應(yīng)用程序和系統(tǒng)之間有更多的集成，所有這些都導(dǎo)致了更大的網(wǎng)絡(luò)攻擊面，從安全角度來(lái)看，需要考慮更多的復(fù)雜性。與這些變化相結(jié)合，我們看到越來(lái)越多的新隱私法要求數(shù)據(jù)的地理位置。”

(3)新的架構(gòu)需要新的專用安全工具

Avalara公司的首席應(yīng)用安全工程師Rebecca Deck表示，雖然有傳統(tǒng)的應(yīng)用程序安全掃描工具，例如靜態(tài)應(yīng)用安全測(cè)試、動(dòng)態(tài)應(yīng)用安全測(cè)試和軟件組合分析仍然適用于云原生環(huán)境，但開發(fā)人員和網(wǎng)絡(luò)安全團(tuán)隊(duì)現(xiàn)在需要大量的新功能和利基安全產(chǎn)品。

她說(shuō)，“除了采用傳統(tǒng)工具之外，我們還必須添加云合規(guī)工具、漂移控制工具、可以監(jiān)控云工作負(fù)載的入侵檢測(cè)和協(xié)調(diào)，以將其整合在一起。”她解釋說(shuō)，為了跟上變化的速度，她的團(tuán)隊(duì)的工作方式是使這些安全功能盡可能透明。她說(shuō)，“安全工具應(yīng)該是透明的，只有在發(fā)現(xiàn)安全漏洞時(shí)才會(huì)顯示出來(lái)。”

(4)內(nèi)部部署安全工具可能會(huì)帶來(lái)巨大的成本

Deck還警告說(shuō)，盡管傳統(tǒng)工具仍然可以在云原生安全中發(fā)揮重要的作用，但開發(fā)和安全團(tuán)隊(duì)必須了解它們的架構(gòu)方式以及運(yùn)行它們需要什么條件。如果它們不是為云優(yōu)先的容器化模型設(shè)計(jì)的內(nèi)部部署工具，那么在這些環(huán)境中運(yùn)行可能會(huì)花費(fèi)很多成本。

Deck說(shuō)：“在云中運(yùn)行不是專門為云計(jì)算設(shè)計(jì)的工具可能會(huì)在計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)流量方面產(chǎn)生巨大成本。許多供應(yīng)商要求在內(nèi)部部署成本相對(duì)較低的情況下運(yùn)行成本非常高昂的系統(tǒng)。由于系統(tǒng)延遲要求，通過阻塞點(diǎn)路由網(wǎng)絡(luò)流量通常是不可行的，這需要與可能在云計(jì)算方面沒有豐富經(jīng)驗(yàn)的安全團(tuán)隊(duì)有截然不同的想法。”

(5)變化是永恒的

云原生基礎(chǔ)設(shè)施和開發(fā)模式的動(dòng)態(tài)性和短暫性意味著變化是唯一不變的。

Wiz公司的Piper說(shuō)：“云平臺(tái)在一分鐘之內(nèi)可能有10臺(tái)服務(wù)器運(yùn)行，在一小時(shí)之內(nèi)有1萬(wàn)臺(tái)服務(wù)器運(yùn)行，再過一小時(shí)，可以就只剩1臺(tái)服務(wù)器運(yùn)行。”Piper解釋說(shuō)，開發(fā)人員有權(quán)隨時(shí)做出這些改變，以適應(yīng)創(chuàng)新的業(yè)務(wù)要求。他說(shuō)，“開發(fā)人員也可以靈活地自行開發(fā)這些服務(wù)，并嘗試新的服務(wù)和功能。AWS公司目前擁有200多項(xiàng)服務(wù)，他們只是為數(shù)不多的云計(jì)算提供商之一。”

Insight Enterprises公司北美地區(qū)的首席技術(shù)官Juan Orlandini表示，環(huán)境中的這種不斷變化的狀態(tài)給安全專業(yè)人員帶來(lái)了巨大的挑戰(zhàn)，他們的任務(wù)是保持一致的安全態(tài)勢(shì)。

他說(shuō)：“因?yàn)樵圃h(huán)境是動(dòng)態(tài)編排的，所以會(huì)有不斷的變化，包括擴(kuò)大和縮小規(guī)模和升級(jí)軟件。”

(6)威脅建模勢(shì)在必行

Insight Enterprises公司的Orlandini說(shuō)，考慮到不斷擴(kuò)大的網(wǎng)絡(luò)攻擊面和云原生環(huán)境的動(dòng)態(tài)條件，威脅建模成為管理軟件風(fēng)險(xiǎn)的一個(gè)越來(lái)越重要的部分。

他解釋說(shuō)：“工具需要發(fā)展，以支持威脅建模作為云原生安全的核心組件。這意味著提供工具來(lái)識(shí)別潛在的漏洞和攻擊面，并自動(dòng)評(píng)估以識(shí)別錯(cuò)誤配置和其他問題。”

(7)以開發(fā)人員為中心的安全工具變得至關(guān)重要

Liberty Mutual公司的軟件交付主管Jeff Talon說(shuō)，跟上開發(fā)工作流的速度和靈活性意味著人工審查和移交不再那么有效。他表示，安全工作需要在開發(fā)工作流程中被簡(jiǎn)化，安全團(tuán)隊(duì)必須找到一種方法來(lái)創(chuàng)建以開發(fā)人員為中心的工具和流程，以審查代碼和維護(hù)安全狀態(tài)。

Talon說(shuō)，“工具必須無(wú)縫集成到核心開發(fā)工具IDE、GIT、CI/CD管道中，避免人工切換或場(chǎng)景切換。合規(guī)性和安全策略評(píng)估需要在整個(gè)開發(fā)過程和云平臺(tái)運(yùn)行時(shí)保持一致。”

(8)安全應(yīng)努力實(shí)現(xiàn)標(biāo)準(zhǔn)化

云原生環(huán)境的新興狀態(tài)孕育了一種“狂野西部”的氛圍，可能對(duì)以規(guī)則為導(dǎo)向的安全人員構(gòu)成嚴(yán)重挑戰(zhàn)。安全團(tuán)隊(duì)可以通過提出標(biāo)準(zhǔn)和以安全為重點(diǎn)的指導(dǎo)方針來(lái)幫助開發(fā)人員實(shí)現(xiàn)云計(jì)算的現(xiàn)代化。

GuidePoint公司的Bell說(shuō)，“重要的是，隨著這一過程的開始形成，應(yīng)用程序和云安全概念要經(jīng)過深思熟慮，記錄在案，然后用于創(chuàng)建標(biāo)準(zhǔn)化，其示例可能包括基線容器映像、遺留應(yīng)用程序被云原生應(yīng)用程序取代時(shí)的退役標(biāo)準(zhǔn)、構(gòu)建和實(shí)施指南以及管道配置的基線標(biāo)準(zhǔn)等。”

(9)安全即代碼幫助應(yīng)用程序安全保持云原生的步伐

如果與安全即代碼的另一個(gè)關(guān)鍵概念相結(jié)合，這些標(biāo)準(zhǔn)的提出可以為可持續(xù)的云原生安全提供基礎(chǔ)。Talon表示，在以開發(fā)人員為中心的工具中，通過策略即代碼自動(dòng)滿足需求是云原生安全的最終目標(biāo)。

他說(shuō)：“安全需求通過在持續(xù)集成/持續(xù)部署管道和云計(jì)算運(yùn)行時(shí)中使用策略即代碼實(shí)現(xiàn)自動(dòng)化，提供一致的開發(fā)體驗(yàn)，確保在整個(gè)開發(fā)過程中符合安全性和合規(guī)性要求。有了這一點(diǎn)，開發(fā)人員可以在更早的過程中獲得安全反饋，并在一個(gè)能夠使他們自我糾正并繼續(xù)前進(jìn)的環(huán)境中獲得反饋。”

(10)持續(xù)監(jiān)測(cè)變得更容易

Orlandini表示，最好的云原生安全方法將包含持續(xù)監(jiān)控，這可能與傳統(tǒng)的應(yīng)用程序安全方法不同，后者更注重定期掃描而不是實(shí)時(shí)監(jiān)控。

好消息是，云原生基礎(chǔ)設(shè)施的“一切即代碼”方法使得在以前不可能的地方設(shè)置遙測(cè)變得更加容易，只要安全專家能夠適應(yīng)原有的網(wǎng)絡(luò)監(jiān)控機(jī)制可能不再適用于他們的事實(shí)。

Piper說(shuō)：“對(duì)于網(wǎng)絡(luò)安全人員來(lái)說(shuō)，云中的一些事情變得更加困難，而另一些事情變得更容易，需要利用這些因素。在云中，不能像在物理服務(wù)器中那樣輕松地依賴網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)控，所以必須依賴其他概念，例如身份。在云端，一次性掃描服務(wù)器硬盤快照等事情變得容易得多。”