《云原生安全》讀后感

《云原生安全》讀后感在數(shù)字化進程中，越來越多的組織機構開始擁抱多云和混合云，利用以容器為代表的云原生技術逐步將業(yè)務系統(tǒng)遷移或新建在云計算環(huán)境中。通過閱讀《云原生安全：攻防實踐和體系構建》一書，了解到了云原生應用有了哪些改變，以及隨之引入了哪些安全威脅以及我們如何應對這些威脅所帶來的風險。1．云原生應用對軟件架構和開發(fā)模式帶來改變業(yè)務系統(tǒng)上云可將組織的精力從基礎設施資源管理轉移到應用設計與開發(fā)上面。為了獲取更高的性能、提高軟件質量以及增強業(yè)務系統(tǒng)可移植性，這些都是組織擁抱云原生應用的重要驅動力。當開發(fā)云原生應用的時候，很多組織已經(jīng)從瀑布式開發(fā)轉向敏捷型開發(fā)，從單體式軟件架構轉向微服務架構。在新業(yè)務系統(tǒng)架構和開發(fā)方法的推動下，DevOps理念已經(jīng)被很多機構所采用。DevOps通過CI/CD（持續(xù)集成與持續(xù)交付）自動化工具，將應用開發(fā)、集成、測試和交付進行合并，同時加強了組織內各部門和開發(fā)團隊之間的溝通與協(xié)作，使得業(yè)務系統(tǒng)可以更快地在云端交付。2．云原生傳統(tǒng)應用安全由于云原生應用也是應用，因而云原生應用風險也包含傳統(tǒng)應用風險。傳統(tǒng)應用風險以Web應用風險為主，主要包含注入、敏感數(shù)據(jù)泄漏、跨站腳本、使用含有已知漏洞的組件，不足的日志記錄和監(jiān)控等風險。此外，還包含現(xiàn)有的API風險，主要包括安全性錯誤配置和注入、資產(chǎn)管理不當、資產(chǎn)缺失和速率限制等風險。3．云原生應用引入新型安全威脅組織上云和用云時，邊界逐漸模糊，傳統(tǒng)安全能力無法滿足業(yè)務需求：目前已有大量工作負載橫跨本地環(huán)境和云環(huán)境，傳統(tǒng)防護模型無法處理如此動態(tài)化的環(huán)境，需要統(tǒng)一管理的資源可見性以及基于上下文去理解業(yè)務中各工作負載之間復雜的關聯(lián)。隨著更多容器化工作負載的部署，應用和服務呈現(xiàn)更加分布化的趨勢，同時以容器為載體的云原生應用實例極大地縮短了應用和服務的生命周期。對于傳統(tǒng)安全防護方法提供的有限可見性以及基于邊界的網(wǎng)絡防護模式，顯然無法滿足云原生應用的安全需求。傳統(tǒng)安全認知在DevOps環(huán)境下受到挑戰(zhàn)：傳統(tǒng)安全策略是基于靜態(tài)數(shù)據(jù)的，而DevOps強調讓業(yè)務系統(tǒng)開發(fā)更具流動性，這使得DevOps理念與傳統(tǒng)安全有著較為強烈的文化沖突。產(chǎn)品開發(fā)團隊會猶豫是否將安全團隊納入到他們的開發(fā)計劃中，因為這可能會減緩工作進度造成開發(fā)瓶頸。缺乏安全控制作為DevOps理念固有的風險，如果沒有得到妥當處理將會導致安全問題，為此我們需要將安全防護以合適的方法與DevOps流程緊密集成形成DevSecOps。4．關于云原生應用安全最佳實踐理解1)安全建設融入業(yè)務開發(fā)流程將安全流程與訪問控制合并到DevOps工作里面，這是一個不斷迭代和擴展的過程。初期可以嘗試工作負載的微隔離、API檢查，以及配置核查和漏洞評估；然后開展應用部署前的惡意代碼檢測、安全事件的響應和溯源等工作；最后，執(zhí)行異?；顒拥淖詣踊O(jiān)測和容器運行時的預防性控制等措施。2)實施覆蓋威脅檢測的安全控制部署CWPP能力執(zhí)行自動化安全防護：基于CWPP（云工作負載保護平臺）的安全能力主要為容器化負載提供行為監(jiān)控、惡意文件掃描、應用控制、日志管理等功能；CWPP安全產(chǎn)品通?？梢耘cDevOps編排工具相結合實現(xiàn)自動化部署，并在多云或混合云等異構環(huán)境中保持功能與策略的一致性；CWPP可以很好地適配容器化環(huán)境并為組織提供更多容器化資源的可見性和集中防護能力。通過CSPM能力確保資源配置一致性：很多云上的安全問題都是由于不合理配置導致的?；贑SPM（云安全態(tài)勢管理）的安全工具可以對標Benchmarks對組織云上資源執(zhí)行安全風險評估；另外，CSPM可以自動化評估組織資源所在的云內環(huán)境，識別并梳理組織資源（包括影子IT）并可以基于安全策略和合規(guī)標準對無法滿足需求的配置進行檢測與發(fā)現(xiàn)。通過微隔離限制安全威脅橫移：對云內資源進行微隔離可以有效地減小威脅平面，雖然CWPP可以提供一部分工作負載微隔離能力，但相比之下，專注于微隔離的獨立安全產(chǎn)品具備更強的針對性?；谥鳈C或容器的終端安全產(chǎn)品可以在混合云的環(huán)境下確保能力一致性，同時可以根據(jù)安全策略的建議開展細粒度的微隔離工作。確保實現(xiàn)所有API的可見性和數(shù)據(jù)防護：WebAPI在云環(huán)境下無處不在，傳統(tǒng)應用防護產(chǎn)品在保護WebAPI這方面存在明顯短板。另外，微服務架構應用其內部各服務之間的交互嚴重依賴API，這也導致了對于API的可見性和漏洞掃描達到了前所未有的重要性。應用部署前的代碼測試以及融入DevSecOps流程下不間斷的審計可以有效幫助組織對數(shù)據(jù)滲透進行防護，緩解身份欺詐以及惡意活動的發(fā)生的風險。3）持續(xù)性地開展安全運營云上的資源和環(huán)境是動態(tài)的，所以威脅也是持續(xù)變化的。由于安全能力總有短板，這時就輪到安全運營派上用場的時候了。有效地將安全事件監(jiān)控與威脅情報集成到安全事件響應與溯源能力中，這需要組織對安全運營產(chǎn)品和人力資源進行大量投資，可以直接將完整運營能力外包至專業(yè)第三方服務商，當對比如果造成安全事故組織將要付出大量潛在成本的時候，這是一件長期來看是極具投資回報比的選擇。最后，隨著安全技術的不斷應用和適配，云原生中的各種安全風險將逐步得到緩解，云原生自身的安全水平將會持續(xù)