2023第四期科技趋势推荐——云原生安全
2023-08-30
云原生安全
安全技术与云紧密结合,打造平台化、智能化的新型安全体系。[1]
安全技术与云紧密结合,打造平台化、智能化的新型安全体系。[1]
依据CNCF发布的云原生1.0版本的定义,云原生技术主要包括容器、微服务、服务网格、不可变基础设施以及声明式API。云原生在倡导应用敏捷、可靠、弹性、易扩展的同时,也带来了一系列安全问题。2022年3月,美国加州提供云容器监控服务的Sysdig公司发布《2022年云原生安全和使用报告》[2]。该报告显示,75%的运行容器中存在“高危”或“严重”漏洞,73%的云账户包含暴露的S3对象存储桶,而36%的现有S3对象存储桶对公众开放访问,数据面临泄露危险,27%的用户拥有不必要的root权限,大多数没有启用多因子认证(Multi-factorAuthentication,MFA),潜在的安全风险很大,但企业为了快速发展往往会忽视这些安全风险。尽管云原生在企业中的应用越来越广泛和深入,为其业务发展带来诸多便利,但如果安全防护不到位,将面临潜在的安全威胁。[3]因此,云原生安全至关重要。云原生安全不是特指云原生技术的安全,而是包含云基础设施的原生安全和用云的原生能力形成更加弹性、统一、智能的安全能力。
云原生安全经历了一系列变迁:从安全保障云原生到云原生赋能安全,内涵不断扩展,逐步形成了一套涵盖基础设施、应用、数据、研发测试、安全运营等在内的防护体系。云原生应用保护平台、面向云原生的攻击面管理平台、云原生威胁检测与响应、云原生事件取证与溯源等,这一系列新型的防护措施也应运而生、快速发展,得到了业界共识。
从管理视角、运营视角和用户视角,可以看到云原生安全的三方面价值:
1.全链路风险可视可控。将安全和合规要求贯穿软件生产和服务全链路,及时扫描检查关键环节,避免后期处置造成被动,最大程度降低整体风险管控成本。
2.基础设施安全运营闭环高效。安全防护功能融合化,可以实现异常事件响应处置流程的闭环管理;策略执行自动化,可减少对安全运营人员的依赖,降低误操作概率;同时,自动阻断机制可以为应对攻击和修复争取更充分的时间。
3.云上客户资产全面保障。帮助客户全面、实时监测各类数据资产;在身份验证、配置管理、应用运行时监控、数据安全保护等方面提供多元化、灵活调用的安全服务。[1]
针对云原生网络架构虚拟化、连接情况复杂、网络边界动态变化的特点,用户需要在更细粒度上实现网络隔离,减少不同容器间网络横向攻击的风险。同时,需要引入零信任安全理念。派拓网络建议用五个步骤帮助用户构建零信任的网络。第一,定义保护对象与范畴;第二,掌握通信与数据流(应用业务流程分解);第三,基于保护区域构建隔离网络;第四,建立零信任安全管理政策;第五,有效率的监控及运维。[4]
云原生安全经历了一系列变迁:从安全保障云原生到云原生赋能安全,内涵不断扩展,逐步形成了一套涵盖基础设施、应用、数据、研发测试、安全运营等在内的防护体系。云原生应用保护平台、面向云原生的攻击面管理平台、云原生威胁检测与响应、云原生事件取证与溯源等,这一系列新型的防护措施也应运而生、快速发展,得到了业界共识。
从管理视角、运营视角和用户视角,可以看到云原生安全的三方面价值:
1.全链路风险可视可控。将安全和合规要求贯穿软件生产和服务全链路,及时扫描检查关键环节,避免后期处置造成被动,最大程度降低整体风险管控成本。
2.基础设施安全运营闭环高效。安全防护功能融合化,可以实现异常事件响应处置流程的闭环管理;策略执行自动化,可减少对安全运营人员的依赖,降低误操作概率;同时,自动阻断机制可以为应对攻击和修复争取更充分的时间。
3.云上客户资产全面保障。帮助客户全面、实时监测各类数据资产;在身份验证、配置管理、应用运行时监控、数据安全保护等方面提供多元化、灵活调用的安全服务。[1]
针对云原生网络架构虚拟化、连接情况复杂、网络边界动态变化的特点,用户需要在更细粒度上实现网络隔离,减少不同容器间网络横向攻击的风险。同时,需要引入零信任安全理念。派拓网络建议用五个步骤帮助用户构建零信任的网络。第一,定义保护对象与范畴;第二,掌握通信与数据流(应用业务流程分解);第三,基于保护区域构建隔离网络;第四,建立零信任安全管理政策;第五,有效率的监控及运维。[4]
云原生在改变系统和应用程序的部署方式的同时,也从根本上改变了计算机行业对信息安全的需求。曾经可以应对大部分情景的安全工具和防护流程如今根本无法适应并有效保护云原生中的工作负载。根据云原生的基础架构以及各项信息安全风险,开发团队需要研究更详细的管理策略来对容器、服务、功能等多方面进行信息安全防护。云原生的多领域发展也意味着,开发团队所有的决策都可能对其他领域的信息安全产生重大的影响和变革。这些领域中的每一层面都要求以开发优先的方式重新考虑对信息安全的控制策略和保障方式。研究人员提出代码审计、微隔离、Kubernetes、API访问控制、无服务器功能防护等防护手段。[5]
注释:
[1].达摩院:2023十大技术趋势.[EB/OL].[2023-04-04].
https://damo.alibaba.com/techtrends/2023
[2].Sysdig.2022云原生安全和使用报告[EB/OL].(2022-03-03)[2022-07-18].https://sysdig.com/2022-cloud-native-security-and-usage-report/.
[3].宋胜攀,刘振慧,庄东燃.云原生应用安全防护技术研究[J].保密科学技术,2022,No.147(12):45-51.
[4].杨光.派拓网络(PaloAltoNetworks)云原生安全法则:零信任永远不可或缺[N].中国信息化周报,2022-12-05(023).DOI:10.28189/n.cnki.ndnjy.2022.000559.
http://dx.doi.org/10.28189/n.cnki.ndnjy.2022.000559
[5].康金鹏,叶琼瑜,任悦.云原生的信息安全风险分析及对策[J].工业信息安全,2022,No.10(10):69-74.
往期精彩推荐
人工智能成为科学家的新生产工具,催生科研新范式(1)
大模型参数竞赛进入冷静期,大小模型将云边端协同进化(2)
光电融合兼具光子和电子优势,突破摩尔定律限制(3)
人工智能助力大规模绿色能源消纳,实现多能互补的电力体系(4)
机器人将兼具柔性和类人感知,可自适应完成多种任务(5)
全域隐私计算破解数据保护与流通两难,隐私计算走向全域数据保护(6)
星地计算卫星及地面一体化的通信与计算,促进空天地海全面数字化(7)
多模态预训练大模型:基于多模态的预训练大模型将实现图文音统一知识表示,成为人工智能基础设施。(8)
Chiplet的互联标准将逐渐统一,重构芯片研发流程。(9)
存算一体资本和产业双轮驱动,存算一体芯片将在垂直细分领域迎来规模化商用。(10)
服务推广
图书馆知识产权服务团队借助图书馆海量的学科信息资源、文献计量分析方法和相关分析工具,为北京邮电大学师生提供基于研究主题的学科文献资源的推荐与订阅服务。
我们也可以为您定期寻找和推荐与您的研究相似的最新文献;我们还可以为您提供您的学科的研究热点;您所在学科的机构发文量最新统计等。
如果您有上述相关需要,欢迎联系我们:
联系电话:66605302(周一至周五8:00-11:30,13:30-17:00)
地址:沙河图书馆201室
联系人:王老师
邮箱:zcfw@bupt.edu.cn
注释:
[1].达摩院:2023十大技术趋势.[EB/OL].[2023-04-04].
https://damo.alibaba.com/techtrends/2023
[2].Sysdig.2022云原生安全和使用报告[EB/OL].(2022-03-03)[2022-07-18].https://sysdig.com/2022-cloud-native-security-and-usage-report/.
[3].宋胜攀,刘振慧,庄东燃.云原生应用安全防护技术研究[J].保密科学技术,2022,No.147(12):45-51.
[4].杨光.派拓网络(PaloAltoNetworks)云原生安全法则:零信任永远不可或缺[N].中国信息化周报,2022-12-05(023).DOI:10.28189/n.cnki.ndnjy.2022.000559.
http://dx.doi.org/10.28189/n.cnki.ndnjy.2022.000559
[5].康金鹏,叶琼瑜,任悦.云原生的信息安全风险分析及对策[J].工业信息安全,2022,No.10(10):69-74.
往期精彩推荐
人工智能成为科学家的新生产工具,催生科研新范式(1)
大模型参数竞赛进入冷静期,大小模型将云边端协同进化(2)
光电融合兼具光子和电子优势,突破摩尔定律限制(3)
人工智能助力大规模绿色能源消纳,实现多能互补的电力体系(4)
机器人将兼具柔性和类人感知,可自适应完成多种任务(5)
全域隐私计算破解数据保护与流通两难,隐私计算走向全域数据保护(6)
星地计算卫星及地面一体化的通信与计算,促进空天地海全面数字化(7)
多模态预训练大模型:基于多模态的预训练大模型将实现图文音统一知识表示,成为人工智能基础设施。(8)
Chiplet的互联标准将逐渐统一,重构芯片研发流程。(9)
存算一体资本和产业双轮驱动,存算一体芯片将在垂直细分领域迎来规模化商用。(10)
服务推广
图书馆知识产权服务团队借助图书馆海量的学科信息资源、文献计量分析方法和相关分析工具,为北京邮电大学师生提供基于研究主题的学科文献资源的推荐与订阅服务。
我们也可以为您定期寻找和推荐与您的研究相似的最新文献;我们还可以为您提供您的学科的研究热点;您所在学科的机构发文量最新统计等。
如果您有上述相关需要,欢迎联系我们:
联系电话:66605302(周一至周五8:00-11:30,13:30-17:00)
地址:沙河图书馆201室
联系人:王老师
邮箱:zcfw@bupt.edu.cn