近年來,隨著云計算技術在全球的快速普及,上云成為了企業實現數字化轉型中的重要路徑。憑借能讓企業更好地適應和使用云環境的優勢,“云原生”這一概念開始被云計算服務商廣泛接受和開發,逐漸成為云計算領域中重要的技術發展趨勢。
例如在企業上云的初期,大部分應用程序是從本地環境直接移植到云上的,這些應用程序在設計開發時并沒有考慮云環境的特殊問題,很容易出現“水土不服”的情況。為了讓應用程序更好地適應云環境,以云作為最終部署環境,按照云環境的要求所開發的應用程序——云原生應用被相繼開發出來,為加速企業數字化轉型進程提供重要助力。
除了應用程序適配性的問題外,云原生應用的普及在為企業帶來高效、便捷的使用體驗的同時,也帶來了傳統安全手段無法應對的新型攻擊路徑和安全問題。如何將安全防護能力與云原生的概念相結合,從而構建出以部署在云環境為基礎、能夠更加貼合云環境下安全態勢的云原生安全體系,成為了廣大企業眼下亟需解決的問題。
云原生安全問題解決方法眾說紛紜 缺乏行之有效的統一方案
云計算技術作為數字化經濟時代的基礎設施,正逐漸成為支撐各企業正常運轉、開拓業務的重要支柱,云原生應用的出現將進一步加速云計算技術的發展和普及。正因如此,企業在考慮如何使用更加高效地通過云原生帶來發展機會時,也開始重視如何通過云原生來加強安全防護能力的問題。
然而,云原生應用基金會(CNCF)雖然給出了云原生的定義,但是對于安全層面上的內容卻只字未提,導致行業中推出的云原生安全解決方法存在分歧。如Google傾向于通過改寫底層代碼的方式對安全問題進行“修補”;而網絡安全供應商PaloAlto則是通過對各類云上安全問題提供外掛式安全產品的方式,提供具有針對性的云上安全防護功能。但修改代碼存在滯后性,外掛掛多了也容易產生產品功能冗余的情況,均不能算是云原生安全的最優解。
現階段行業中就如何云原生安全的討論仍在繼續,由于尚未合理合規的標準出臺,云原生安全領域仍處于群雄割據的“戰國時代”,至今仍未有統一的觀點和解決方案出現。但對于云上企業來說,眼下只能采用針對現有問題選擇單一產品這種“頭痛醫頭、腳痛醫腳”的方法來保障云上安全,迫切需要一套切實有效的方案來守護云上安全。
記者注意到,近期騰訊安全和CSDN發起的《產業安全公開課 · 云原生安全專場》一系列直播課程中,七位安全專家在構建云原生安全體系時的實踐經驗和心得,嘗試將時下企業上云所面臨的安全痛點與自身的安全防護服務相結合,輸出騰訊安全對于云原生安全的獨特觀點和解決方案。
云上企業最關心數據安全 公開課詳解云原生數據安全解決方案
數據作為新基建時代中重要的生產資料,能夠為企業在數字化時代下快速發展提供重要支撐,但也因此成為了不法分子覬覦的對象,外部攻擊、內部泄露均威脅著數據的安全。同時,隨著云上環境中數據使用場景持續擴大,也進一步提升了維護數據安全的難度,如何根據云原生應用的特點引入相應的安全策略,從而更加高效地為數據提供在產生、流動、存儲、使用及銷毀過程中的全程安全防護,成為了企業關注的重點。
對此,騰訊安全數據安全專家周京川從等保合規的角度,講述了建設云原生數據安全體系的必要性。“從法規和監管層面來看,我國正在通過發布相關法規和條例加強對于數據安全的監管力度,迫使企業數據的安全防護和健康穩定放在發展規劃的首位。”周京川表示,在企業上云的大潮下,企業就應該從云環境出發,在滿足企業數據安全防護需求的同時,制定云原生數據安全體系的架構和策略。
“我們需要根據云原生應用的特點引進數據安全的策略。”騰訊安全云鼎實驗室專家姬生利表示,早期大部分服務商所采用的數據安全保護策略是照搬物理機部署的應用模式,各個流程中對數據的安全防護措施相對分離,無法適用于云上數據高速流動的使用場景。
姬生利認為,從傳統應用到業務上云再到云原生應用,數據的使用場景也在不斷變化。要構建云原生數據安全防護體系,企業需要隨著架構的演進提出新的數據安全保護策略。而云原生數據安全防護策略主要可以從3個方面入手。
首先需要進行數據的分類治理,針對敏感數據和重要數據制定相應的保護策略;其次,在數據傳輸存儲的整個過程中,應使用加密技術對上述數據進行加密和脫敏保護,通過密碼技術保障數據的完整性和機密性。最后,針對外部攻擊和內部員工誤操作導致數據泄露的問題,通過身份認證、角色管理等手段對數據獲取權限進行統一管理,完善企業對數據訪問的控制能力,最終形成云原生數據全生命周期的安全防護。
傳統安全威脅云上再升級 以云原生概念為基礎打造云上防線
對于企業來說,Web攻擊和DDoS攻擊都已是耳熟能詳的安全威脅了,并且大部分企業已經具備了周全的防護能力。但隨著云計算的不斷發展和普及,這兩種傳統威脅在云環境中不斷升級進化,再次成為了讓云上企業頭疼安全問題。 此外,企業遷徙上云后,也為主機安全和防火墻等傳統安全防護功能帶來更加多元化的安全挑戰。
隨著技術的升級,DDoS已經能通過電腦、移動設備、IoT設備對云上企業發起攻擊,而攻擊流量也會隨著攻擊面的擴展而逐漸增大,目前TB級攻擊的時代已經來臨。“傳統的IP限速和拉黑名單的方式已經無法適應現在的攻擊手段了。”騰訊安全網絡安全專家王超力表示,騰訊安全將豐富的抗D經驗和云環境特點相結合,不僅打造出了云原生防御算法和防護策略,還引入了AI智能引擎和流量行為建模等新興技術助力抗D。
而在企業上云的過程中,傳統IDC環境中部署的硬件防火墻已經無法適應云端的架構;但隨著攻擊技術、漏洞披露等日趨成熟,針對Web漏洞的攻擊愈演愈烈,企業急需構建在云環境下運行無礙的云原生Web防護體系。“企業上云后,首先要考慮的就是如何將Web防護功能接入到云原生的環境之中。”據騰訊安全WAF負責人劉吉赟介紹,在以云原生概念為基礎對產品架構進行重新設計后,云WAF會以旁路引擎作為核心功能,并在接入云環境之后將產品所具備的Web防護功能與云上基本安全能力相結合,最終打造出云原生的Web防護體系。
騰訊安全主機安全產品負責人謝奕智表示,在云環境中主機防護的策略需要根據防護規模的擴大而進行變更,還要考慮鏡像污染、容器逃逸等云原生安全問題。“要解決云原生安全問題,就要貼合云原生支撐的技術和服務去做,從云的角度去思考和部署。”謝奕智認為,合格的云原生主機安防體系,不僅需要根據企業云上業務的規模對安全防護策略進行靈活調整,還應具備檢測能力、響應能力、架構適配能力、滿足合規要求的能力。
“在企業遷徙上云后,基于云原生的防護墻技術將取代傳統防火墻,成為守護企業云端安全的關鍵基礎設施。“在講到云防火墻的功能時,騰訊安全云防火墻產品負責人周荃表示,盡管在云原生安全的背景下,計算、存儲以及容器serverless等新型的網絡基礎設施都具備原生的安全能力,但仍缺少針對網絡安全和流量的安全檢測能力。云防火墻能夠為用戶提供入侵防護、威脅實時檢測、威脅橫向移動防護等基于云環境開發的,云原生安全防護功能。
云環境下效率與安全問題并存 以安全運營中心構建云原生安全體系
企業上云后,在享受DevOps模式、容器、云函數等云原生服務所帶來高效、便利體驗的同時,也需要面對云上新生的安全問題。以DevOps模式為例,借助云原生API驅動的DevOps得到了大規模的應用,企業可以通過DevOps實現產品的敏捷開發以增加整體效率。
但在DevOps模式下產生的新生安全威脅,如異常API調用、SecretKey泄漏則要求企業具備針對性的檢測手段才能夠發現。在此背景下,企業的運維團隊不僅要對云上新型安全威脅和傳統互聯網攻擊進行檢測和及時響應,還需要通考慮如何對各個安全產品進行統一管理,從而搭建出真正行之有效的云原生安全體系。
為了解決云上新生安全問題并打通云上各類安全產品間的相關數據,騰訊安全高級工程師耿琛在公開課上分享了騰訊安全云原生安全運營體系的構建理念。“針對公有云環境中的安全問題,要以云原生的思路構建云的安全體系,而不是將傳統的安全體系搬到云上。”他表示,以云原生為中心,以安全左移、數據驅動及自動化為基本支撐,就是構建云原生安全運營體系的“一個中心和三個基本點”。
其中,安全左移指的是云原生安全運營體系首先應該具備事前感知安全威脅和配置風險檢查能力,既以構建安全預防體系的方式提升整體安全水平;而數據驅動則是云原生安全運營的基本要求,通過建立云上安全數據湖對各安全產品上的數據進行收集和統一管理,在為整個安全運營體系提供支撐的同時,也打破了各個安全產品間相互孤立的局面,為安全產品相互協同、形成完整安全閉環打下了基礎;最后,通過云上資產自動化盤點及云上威脅自動化響應處置等自動化技術,幫助企業安全運維團隊實現對云上新型安全問題的自動應對。
從中短期來看,除非出現能夠超越5G傳輸速率的物理傳輸技術,否則云平臺仍會是未來企業在新基建時代拓展業務的主要陣地。而云原生作為企業數字化轉型和持續創新的加速器,將受到廣大企業和云服務商的持續關注,對于如何基于云原生應用構建云上安全體系的討論和探索也將不斷深入。本次騰訊安全所發起的產業安全公開課,或將成為行業中云原生安全實踐成果分享的最佳范例,引導其他安全服務商對外分享云原生安全的探索成果,為企業提升云上安全水位提供更多助力。
