云安全一直有兩個基本支柱。一是發(fā)現(xiàn)問題的可見性。另一個是有效修復(fù)威脅的能力——理想情況下，以主動的方式，這意味著在風(fēng)險被積極利用之前降低風(fēng)險。自從十多年前公司開始將工作負(fù)載轉(zhuǎn)移到云中以來，這些支柱都沒有改變。

然而，近年來發(fā)生了巨大變化的是企業(yè)實施云安全所需的工具和流程。隨著組織從由虛擬機驅(qū)動的基本云環(huán)境轉(zhuǎn)變?yōu)榉植际健⒒谖⒎?wù)的云原生環(huán)境，五到十年前就足夠的云安全策略已不再足以領(lǐng)先于威脅行為者。

如今，確保云安全隨著您的云戰(zhàn)略和架構(gòu)而發(fā)展至關(guān)重要。本文解釋了這意味著什么以及企業(yè)應(yīng)遵循哪些最佳實踐來滿足云原生安全要求。

從云安全到云原生安全

傳統(tǒng)的云計算環(huán)境和云原生計算環(huán)境有很大的不同。推而廣之，傳統(tǒng)的云安全和云原生安全有很大的不同。

在傳統(tǒng)的云環(huán)境中，您可以通過設(shè)置云防火墻和定義安全組來保護工作負(fù)載。您通過將代理加載到收集日志和指標(biāo)的虛擬機上來實現(xiàn)??安全可見性。您可能已經(jīng)使用云提供商的本地安全工具（如 Amazon GuardDuty 或 Microsoft Defender）來解釋該數(shù)據(jù)并檢測威脅。您可能還定期審核您的云 IAM 設(shè)置以檢測潛在的錯誤配置。也許您甚至將一些安全操作外包給了托管安全服務(wù)提供商 (MSSP)。

這些類型的工具和流程在云原生環(huán)境中仍然很重要。但是，僅靠它們還不足以應(yīng)對云原生工作負(fù)載環(huán)境中出現(xiàn)的新的和獨特的安全挑戰(zhàn)。傳統(tǒng)的云安全無法滿足以下需求：

• 識別 IaaS 之外的風(fēng)險：云原生攻擊面超出了傳統(tǒng)的基礎(chǔ)架構(gòu)和應(yīng)用程序。例如，Kubernetes RBAC 配置錯誤可能會造成安全風(fēng)險，但僅監(jiān)控 VM 或應(yīng)用程序不會提醒您注意它們。
• 管理不斷變化的配置：現(xiàn)代的云原生環(huán)境可能包括數(shù)十個用戶和工作負(fù)載，有數(shù)千個訪問控制規(guī)則定義誰可以做什么——并且設(shè)置不斷變化。在這種動態(tài)、快速變化的環(huán)境中，定期審計不足以主動檢測威脅。
• 多云安全需求：當(dāng)您需要保護同時跨多個云運行的工作負(fù)載時，云供應(yīng)商的本地安全工具是不夠的。
• 補救根本原因：知道存在風(fēng)險并不總是足以在復(fù)雜的云原生架構(gòu)中快速修復(fù)它。例如，檢測到應(yīng)用程序中的代碼注入漏洞并不一定意味著您可以快速將問題追溯到觸發(fā)它的特定微服務(wù)或代碼提交。

因此，雖然傳統(tǒng)的云安全仍然是云原生安全基礎(chǔ)的一部分，但它本身并不是一個完整的基礎(chǔ)。要全面保護云原生工作負(fù)載，您需要擴展現(xiàn)有的安全工具和流程來保護傳統(tǒng)云工作負(fù)載。

云原生安全最佳實踐

要實現(xiàn)云原生工作負(fù)載的完全安全性，請努力遵循以下實踐。

將安全性融入您的開發(fā)管道

在云原生世界中，您不想等到部署應(yīng)用程序后才發(fā)現(xiàn)風(fēng)險。相反，通過將安全測試烘焙到 CI/CD 管道中，最大限度地提高在部署前發(fā)現(xiàn)和修復(fù)問題的機會。理想情況下，您將執(zhí)行一系列測試——從測試原始源代碼開始，然后在預(yù)生產(chǎn)環(huán)境中針對二進制文件運行測試。

超越代理

雖然基于代理的安全性可能足以保護簡單的云工作負(fù)載（如虛擬機），但在某些情況下（例如，當(dāng)您使用無服務(wù)器功能時）您無法部署代理來實現(xiàn)安全可見性。相反，您需要通過確保您的應(yīng)用程序在不依賴代理作為中介的情況下公開檢測威脅所需的數(shù)據(jù)來檢測代碼本身的安全可見性。

實施分層安全

云原生環(huán)境包括許多層——基礎(chǔ)設(shè)施、應(yīng)用程序、編排、物理和虛擬網(wǎng)絡(luò)等——您需要保護每一層。這意味著除了捕獲傳統(tǒng)的云安全風(fēng)險（如 IAM 錯誤配置）之外，還需要部署能夠檢測風(fēng)險的工具和安全分析流程，例如，您配置 Kubernetes 部署的方式或從容器鏡像內(nèi)部。

持續(xù)和實時審計

同樣，定期審核或驗證云配置不足以確保您可以實時檢測和修復(fù)威脅。相反，您應(yīng)該部署可以持續(xù)監(jiān)控所有配置并立即提醒您注意風(fēng)險的工具。

自動修復(fù)

在可能的情況下，您還應(yīng)該部署可以立即隔離或緩解威脅的自動修復(fù)工具，而無需人工“參與其中”。這種方法不僅可以減輕您對 IT 和安全團隊的負(fù)擔(dān)，還可以讓您盡可能快速主動地修復(fù)威脅。

馴服云原生安全的復(fù)雜性綜上所述，即使您對保護傳統(tǒng)云環(huán)境和工作負(fù)載的能力充滿信心，您也可能在處理云原生安全風(fēng)險方面面臨一場艱苦的戰(zhàn)斗。存在解決方案，但它們需要專業(yè)知識和對新的、快速發(fā)展的云原生架構(gòu)和技術(shù)的深入了解。