关于云原生安全性的5个关键因素

虽然“云计算”这个术语曾经是科技行业讨论的主要议题,但“云原生” 和“云原生安全”正在取而代之。越来越多的组织开始在云计算中建立自己的IT和安全性,但有许多要素需要注意。而组织寻求理解不同的元素时,需要考虑以下五个关键因素。

1

云原生安全与云访问安全代理无关

当人们开始专注于在云端工作时,许多组织意识到他们需要切换业务模式,并开始使用软件即服务。由于这种转变,公共云安全问题爆发,因此迎来云访问安全代理(CASB)时代,这些代理通常用来处理像Salesforce数据一样的任务。

这可能是云时代早期的情况,但与近年来发展的另一个主题无关。最近,更多的软件开发团队已经着手开发生产云软件,因为他们需要创建优秀的新软件来吸引客户,并启用新的商业模式。这一切都凸显出“每家公司正在成为软件公司”的主题。

但是,如果企业为客户构建了一个应用程序,并且不想成为泄露数据的另一个Equifax公司,则必须为应用程序提高更多的安全性。这是云原生的安全性,它与云访问安全代理(CASB)的作用有着根本的不同。这二者都与云计算有关,但分别解决的是两个截然不同的问题。

2

云原生安全取代了现有的应用程序积极主动的威胁防护措施

企业在第一次面临如何保护其云原生软件的问题时,最初的回应是使用现有的安全工具。这是一个选择,但效率不同,企业必须执行大量人工操作,否则面临的风险将成为企业创新的瓶颈。

以下安全概念很难在云原生的世界中推广应用:

·让IT团队检查每个产品更新的材料清单并验证其合规性。

·开发团队和运营团队聚集在一起,构建虚拟机,从而可以快速移动,但不会因为频繁更改或修复软件而导致问题的风险。

·让IT团队修补补丁,更新虚拟机,并确保所有环境都适合生产环境。

·开发人员和操作团队建立了devops,因此可以自己修补。

(1)网站安全防护(WAF)的作用

企业通常采用网站安全防护(WAF),其目的是阻止工作负载遭到攻击。除了所有的变化之外,运行网站安全防护(WAF)的工作人员却无法跟踪所有的微型工作负载。

(2)网络分段

企业可能已尝试细分或微分割网络以隔离可能引入漏洞的工作负载。虽然这是一个很好的概念,但微小的敏捷工作负载中在现实中并不奏效,一旦不能遵守其规则,网络分段就没有效果。

然而,云原生安全性的应用从根本上得到了扩展。它有更多关于应用程序的信息,并且使用它们来自动化以下提到的所有元素。

自动化使企业能够获得更强大,更精细的安全性,并且允许企业专注于基于应用程序表达安全性策略,而不是在每次更改/更新工作负载时人工配置安全机制。它还允许企业将其策略集成到现代部署工具中,从而与开发人员进行直接的讨论。

3

云原生安全仍然需要多层次的防御

在传统的安全术语中,企业将考虑多个安全层。企业可能考虑代码安全,包管理,操作系统补丁,服务器端点安全等方面的内容。但现在这些不再需要了。但重要的是要明白,使用云原生工作负载不会从这个角度给出任何快捷方式,从这个角度来看,企业仍然需要用所有必需的安全层包装软件。

4

云原生安全是端到端的安全

devops的应用将传统专业团队分为两类:一类是部署微服务的开发人员,另一类是致力于云计算的基础架构团队。通常情况下,即使这两个团队也变成了一个单一的“云”团队,也需要承担多重责任。

如果企业考虑到这种环境的安全性,将其分成两组也是更有意义的:

(1)云原生基础架构:包括企业云消费的服务(例如L3-4防火墙,服务器安全,网络加密和存储加密)的安全性。

(2)云原生应用程序:包括需要应用程序感知的任何安全元素(例如,L7防火墙,安全渗透测试,图像安全性,以及应用程序的微分割)。

这将改变人们在市场上看到的安全产品的类型。云计算供应商将在其云端产品中增加更多传统的基础架构功能,以增强其平台吸引力,并提供涵盖所有基础架构安全需求的全方位产品。另一方面,安全提供商将主要侧重于应用程序级安全性,并且还将需要提供端到端的安全解决方案,这也将需要包括前面提到的多个因素。

5

云原生安全由云团队经营

传统上,安全层需要不同人员或团队的专业知识(例如端点,服务器,网络,身份,PKI,存储和软件开发)。企业可以让人们手动添加这些安全层作为基础设施的分配和应用程序的部署,然后调用团队中的专家来配置必要的云概念。但是分配这些资源需要是即时的,并且需要改进其安全产品。

云原生安全性已经引发了重大变化。它决定围绕安全层的策略需要由安全性和基础架构师定。但是,执行这些策略的安全机制必须自动附加到云端和配置进程。通过允许devops或云团队尽可能无缝地进行操作,从而全面展开整个过程。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2017-10-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

谨防云计算的隐性成本

对于企业来说,公共云的总体成本可能具有吸引力,但还有许多其他因素需要包括在内,如果没有仔细的规划,采用云计算的成本很快就会螺旋上升。

14470
来自专栏纯洁的微笑

HRMS(人力资源管理系统)-SaaS架构设计-概要设计实践

https://www.cnblogs.com/hegezhou_hot/p/9753733.html

56110
来自专栏腾讯大数据的专栏

腾讯信鸽新功能:应用卸载如何统计?

在上班拥挤的地铁中,突然消息铃声响起,好不容易掏出手机一看却是无关痛痒的鸡肋信息......肆意推送的消息会让用户无从招架,不但做不到价值信息的传递,反而容易引...

32550
来自专栏CSDN技术头条

十一问MongoDB CTO,谈NoSQL人气王的扩展、事务及运维

【编者按】在“MongoDB成为首位10亿美元初创”一文中,我们曾介绍过这个千禧年的宠儿——NoSQL领域的人气王,只通过6年时间就将公司市值发展到12亿美元,...

199100
来自专栏全栈数据化营销

营销案例分享:京东食间到新媒体传播策划方案

这个案例的借鉴意义其实也挺大的,主要还是在于确定策略后,如何将策略执行到位的问题,这里京东以活动为主,利用kol做大规模的宣传,当然kol的筛选其实还是挺有方法...

9930
来自专栏云计算D1net

云计算火爆难掩API失落 这事其实也不难

随着越来越多的企业选择采用云服务,云计算面临的内外部的压力都与日俱增。而相应的,作为云与企业的桥梁,API接口的任务也在变得更重,云服务提供商也开始考虑为其增加...

36340
来自专栏BestSDK

如何以更少的成本、更便捷的方式构建私有云?

这些选项与传统的服务器部署模式类似:你可以部署在自己的服务器上,也可以在一个联合本地中心部署,你甚至可以在“托管但是专用”的基础上使用一个传统的托管服务。   ...

35470
来自专栏云计算D1net

开始云征程:迁移计划要先行

当把应用迁往云时,我们不能只是把应用往云中一放就奢求它们能够在其中正常运行了。制定一个完备的迁移计划可确保您的应用运行表现良好,并具有较高的成本效益。 云迁移并...

36350
来自专栏云计算D1net

用微服务和云构建高效IoT模型

物联网吸引了很多人的关注。传感器和控制器的网络毫无疑问会极大地丰富我们的生活——但是它们也可能被误用而造成危害。幸运的是,云能够帮助我们发扬物联网的优势,并且极...

28140
来自专栏十月梦想

腾讯云自媒体分享计划

“腾讯云自媒体计划”是由腾讯云发起的为期一年的为广大自媒体扶持的计划,对于有 20 篇以上符合投稿要求原创技术文章的博主或微信公众号,提供各大技术社区及平台百万...

14720

扫码关注云+社区

领取腾讯云代金券