设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 创业者 数据 手机
当前位置: 首页 > 站长资讯 > 评论 > 正文

云原生带来的云安全机遇

发布时间:2020-07-23 23:48 所属栏目:17 来源:站长网
导读:副标题#e# 云原生和云工作负载的演进 云计算发展之大成,来自于处理器、存储、网络等几个关键计算要素的交替迭代进步;而云计算的部署使用模式,跟历史上的交流电和自来水一样,目标是把计算能力发展成随用随取的市政资源。这将是IT基础设施的一次变革,其

云原生和云工作负载的演进

云计算发展之大成,来自于处理器、存储、网络等几个关键计算要素的交替迭代进步;而云计算的部署使用模式,跟历史上的交流电和自来水一样,目标是把计算能力发展成随用随取的市政资源。这将是IT基础设施的一次变革,其颠覆性发展,带来了使用“云原生”应用的需求,也带来了对安全机制“云原生”的需求。

“云原生(Cloud Native)”一词,经常被作为形容词定语,冠在不同子领域名词前面,引来了很多理解上的困惑。从云租户的视角来看,他们关心的是要运行于云上的应用和业务,以及最重要的,要付多少钱。因此,如果以业务、应用作为讨论的基础,那么宽泛的说,“云原生”描述的是充分利用原生云能力(自动扩展、无中断部署、自动化管理、弹性,等等)来进行应用设计和部署的方法。在这个形而上的框架下,微服务、容器技术、云数据库技术、K8S、弹性搜索、遥测(Telemetry)等,都是形而下的技术。

简单的把原有企业网的环境和虚机迁移到IaaS云里,或者把原有单一应用(monolithic application)直接打包到虚机里运行,乃至做些API对外提供接口,这些做法离云原生都还远。为了实现“云原生”属性,云应用需要在发布、服务方式、随需弹性、数据和工作负载(workload)管理等多方面都重新构建。

所谓工作负载,是对运行应用所需要的资源和进程的抽象化定义。最初的工作负载形式就是物理服务器。随着IDC走向虚拟化,工作负载演进为虚拟机形式。到今天,云服务中容器成为工作负载的主流,而正在出现和发展的工作负载新形式Serverless(无服务程序),直接对应用run-time虚拟化,改变了传统意义上的服务进程监听-运行模式,是更加精细粒度的瞬态工作负载(ephemeral Workload)。

可见随着云计算和云原生需求的发展,云工作负载的形式越来越抽象灵活,同时其部署和运行的生命周期也可越来越短。多种形式和生命周期的云工作负载会长期共存,目前并没出现彼此淘汰的情况,同时这些演进和共存,也使得抽象化定义很有必要。

云原生带来的云安全领域变化

安全机制一直是跟随IT基础设施和业务来为其服务的,云安全也不例外。其保护的对象就是面向访问和使用云系统、云应用的流程机制。与传统企业网络安全机制显著不同的是,云安全的管理责任由云运营商和用户共同分担。更重要的是,传统物理边界变得模糊后,安全不再围绕企业数据中心和终端来设计部署,安全边界也不再是数据中心边缘和企业网边缘的某个盒子。在云计算时代,应该基于以数据为中心(Data-centric)的原则来部署安全,关心的问题应该是:谁,能访问什么业务和数据,应该授予何种访问权限,为什么需要这些权限,在授权范围访问是如何进行的,等等,而不再是“业务在哪里”和“边界在哪里”。换句话说,传统安全边界变成了无处不在的边界能力——动态创建、策略强化、权限管控、安全访问。

云原生环境对安全在业务、管理和部署上的关键要求包括:

云业务持续不断的交付要求,需要持续不断的安全保障。亚马逊、沃尔玛等级别的云用户的更新部署要求可达每日数百次,弹性和无中断成为标配要求,因此安全必须也做到轻量化、持续不断,并嵌入部署工具中各个环节来确保成为“检查点”。

对工作负载(Workload)的安全防护是必须的,而且要随着工作负载的演进而不断演进。传统企业安全防护,端点、网络、边界,各个层级相对清晰,而云环境下,这些边界界限变得很模糊,承载计算的工作负载则是直面威胁的对象。因此,工作负载的安全,是一个需要横向保护多种负载,也需要纵向对每类负载深入做好保护的问题。

对多系统和混合栈的支持,以及自动化配置。云安全要考虑到云的公有、私有、混合等形态,也要考虑云工作负载的多样性和演进,同时还需要支持多种操作系统。而云应用带来的配置复杂度,让自动化要求在云原生的背景下有格外重要的意义。

从责任共享和云原生要求这两个角度出发,云安全产品可以简单直观的分成三大类:

第一类是对云原生要求不高的传统安全产品,比如防火墙、防入侵、端点安全、服务器监控、终端检测响应和SIEM等,云运营商可直接将第三方安全产品部署上云。

第二类是云运营商为配套云服务而提供的安全产品,也可称为“云运营商原生提供的安全(Native Cloud Security)”。常见的有威胁检测、云数据库安全、API安全、容器和工作负载安全、用户行为监控、合规与风险管理等。一般由运营商从第三方购买整合或自己开发。

第三类则是基于云原生应运而生的“新安全”产品和服务。与云天生具有较好的亲和力,比如云工作负载保护平台CWPP(Cloud Workload Protection Platform)、云安全态势管理CSPM(Cloud Security Posture Management)、云访问安全代理CASB(Cloud Access Security Broker)、微隔离Micro-segmentation,等等。

第一类是传统安全厂商的静态存量市场(搬一块少一块),第二类和第三类则是云安全市场的创新和整合频繁出现的地方,创业公司层出不穷,安全大厂并购频繁,云运营商也亲自下场买买买,因此这是安全厂商的机会所在。

CWPP与CSPM:数据面和控制面的分工与合作

CWPP的能力集和分类

根据Gartner的定义,云工作负载保护平台CWPP,意指在现代混合多云数据中心架构下,以租户的云工作负载为中心的安全机制。CWPP是IaaS安全的关键环节之一,也是促进企业“上云”的保障。

时至今日,随着云工作负载保护在云计算中重要性的提升,CWPP已经与传统大户——终端安全防护EPP(Endpoint Protection Platform)分庭抗礼。2019年全球的CWPP市场收入为12.44亿美元,在2018年10亿美元的基础上,增长超过20%。三个最大的玩家分别是:趋势科技、赛门铁克和McAfee,占一半的营收。

2020年4月Gartner发布的CWPP市场指南对业界已经很熟悉的CWPP能力金字塔进一步精简,从最核心按重要性递减排序为八层:原有的文件加密和防病毒不再纳入:

(1)加固、配置和漏洞管理,

(2)基于身份的隔离和网络可视化,

(3)系统一致性保证,

(4)应用控制/白名单,

(5)预防漏洞利用和内存管理,

(6)服务器工作负载行为监测、威胁检测和响应,

(7)主机防入侵和漏洞屏蔽,

(8)扫描恶意软件。

不同安全厂商针对特定领域,聚焦一种或多种能力,这也造就了CWPP具体产品实现的不同基因。Gartner据此把厂商分成七大类:广泛能力和多系统支持,漏洞扫描和配置合规,基于身份的隔离和可视化与管控,应用管控与状态执行,服务器行为监测和威胁检测和响应,容器和K8S保护,以及对Serverless的保护。其中,志翔科技的至明?智能主机安全响应系统产品(ZS-ISA),对服务器、虚拟机和容器都能监测和保护,并支持基于用户角色的精细管控RBAC和安全可视化,因此被归类为CWPP中的“基于身份的隔离和可视化与管控”。

CSPM:硬币的另一面

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读