云原生安全是什么云原生安全如何建設(shè)

———云原生安全是什么云原生安全如何建設(shè)云原生(CloudNative)，分為2部分，Cloud一切都在云上，Native從軟件設(shè)計之初就考慮云環(huán)境。以充分利用云計算優(yōu)勢構(gòu)建和運行應用的方式。大致來說：云原生是基于IaaS基礎(chǔ)設(shè)施，已DevOps為開發(fā)理念，使用容器化、微服務(wù)等技術(shù)進行持續(xù)交付式的開發(fā)。那么云原生安全就是基于這個基礎(chǔ)做出的安全防護，一起來看看吧。

云原生安全是什么

云原生會有什么樣的安全問題，就是我們我們要知道的云原生安全的含義，以下幾點是云原生安xx涉及到的一起來看看吧。

API安全

由于云原聲架構(gòu)中，內(nèi)部組件和微服務(wù)的調(diào)用普遍使用API，API之間調(diào)用頻繁，由此帶來的安全問題也逐漸增多。

容器安全

容器鏡像安全問題，據(jù)Banyan調(diào)查顯示，在DockerHub官方鏡像倉庫中，約超過30%的鏡像存在高危漏洞。這些鏡像隨著開發(fā)人員的下載進入各個產(chǎn)品中，造成巨大隱患。

容器逃逸安全問題，攻擊者通過劫持容器，借助一些手段進一步獲得該容器所在直接宿主機，經(jīng)常見到"物理機運行虛擬機，虛擬機再運行容器'的場景，該場景下的直接宿主機指容器外層的虛擬機。

缺乏集中管理

各組件然有自己的日志和管理方式，但數(shù)據(jù)內(nèi)容無法統(tǒng)一，且各組件訪問行為之間無法做到關(guān)聯(lián)分析，對全局數(shù)據(jù)安全態(tài)勢沒有整體了解，這將給安全管理帶來巨大的隱患;

排查困難

由于是在云上容器話部署，相對以前，一個項目直接在物理機上運行，多了2層的架構(gòu)，當出現(xiàn)安全問題，需要對#容器、云、業(yè)務(wù)等多方面進行排查追溯，如果是公有云還需要云計算商協(xié)助，往往會產(chǎn)生溝通問題，造成問題解決的滯后。

云原生安全如何建設(shè)

云原生安全不同與以前的安全產(chǎn)品云上部署。而是強調(diào)在云設(shè)計之處就把安全考慮在內(nèi)。在中國信通院發(fā)布的《云原生安全白皮書》中這樣寫到：云原生安全強調(diào)安全產(chǎn)品原生化。服務(wù)商內(nèi)嵌于云、能夠有效解決云上安全風險的原生安全產(chǎn)品;云計算客戶能夠利用原生安全產(chǎn)品，建設(shè)與云計算環(huán)境融合的安全體系與架構(gòu)，規(guī)避傳統(tǒng)安全架構(gòu)與云計算環(huán)境割裂等問題，利用云平臺，最大限

度發(fā)揮安全防護能力，極大程度提升云計算客戶體驗更加安全的使用云計算。

如果說云原生是在開發(fā)項目時就和云環(huán)境進行綁定，那么云原生安全，就是在云創(chuàng)建之初就考慮云上應用的安全問題，已達到安全前置的效果。

零信任安全架構(gòu)(ZeroTrustSecurity)是一種安全策略，超越了以前網(wǎng)絡(luò)邊界安全的模式，對網(wǎng)絡(luò)中的一切行為不信任，始終驗證，持續(xù)監(jiān)測。任何訪問主題通過零信任安全代理去訪問網(wǎng)絡(luò)中的資源。由于云環(huán)境天生具有彈性，在云環(huán)境上構(gòu)建零信任架構(gòu)，動態(tài)的根據(jù)安全情況配置網(wǎng)絡(luò)資源和策略，云原生天生和零信任架構(gòu)的親和度就較高，便于實現(xiàn)零信任架構(gòu)。

DevSecOps，DevSecOps是在DevOps的概念上發(fā)展而來的，在原本的DevOps中加入了Sec(安全)。要了解DevSecOps，首先要了解DevOps。DevOps(Development和Operations的組合詞)是一種重視"軟件開發(fā)人員(Dev)'和"IT運維技術(shù)人員(Ops)'之間溝通合作的文化、運動或慣例。透過自動化"軟件交付'和"架構(gòu)變更'的流程，來使得構(gòu)建、測試、發(fā)布軟件能夠更加地快捷、頻繁和可靠。用通俗的語言來說就是開發(fā)運維一體化，敏捷開發(fā)，持續(xù)集成。而DevSecOps，是DevOps模式下的安全概念，人人為安全負責，讓業(yè)務(wù)、技術(shù)和安全協(xié)同工作以生產(chǎn)更安全的產(chǎn)品。如果說DevOps是把開發(fā)