为了满足应用上云的多样化需求,企业面临着要采用多种混合云资源的局面。此外还需要为关键应用对接各类数据源,云原生架构成为满足这些需求的不二之选。
云安全的重构
云原生以其技术优势正在不断延伸到各类应用场景中,各行各业也越来越多地基于云原生进行敏捷开发与业务创新。同样地,云原生也遇到了安全问题,并且随着数字化转型深入而扩散到企业IT架构的各个层面。
Palo Alto Networks(派拓网络)中国区大客户技术总监 张晨
大量新的云原生应用和虚拟化技术等,给企业管理者提出一个新的课题,安全如何能够平滑地过渡到新型IT架构中。Palo Alto Networks(派拓网络)中国区大客户技术总监张晨谈到:云上的安全如何管理,包括上云之后,应用很多云原生的技术,如何对它们进行无缝的安全管理,已经成为影响安全事件的重要主体。
相比于传统松耦合的云安全,云原生安全更需要云原生平台与安全体系紧密结合,成为基于架构的内生安全。这缘于两方面:一方面是不断使用新组件和发布新应用将面临新的安全风险,另一方面则是传统架构在向新架构转变的云原生安全需求。
云原生遇到了安全挑战,在快速的云原生环境变化过程中,安全策略相对滞后,因为云原生环境的设计和架构规划并非出于安全考虑,而是如何以最低的资源开销和最便捷的开发环境资源,获取最大的应用发布成果。张晨这样表示到:云原生并不是以安全机制为初衷,在云原生应用全生命周期中有很多安全漏洞和短板,因此越来越多的企业会寻求在整个云原生应用环境中对安全进行前置。
在云原生环境下的网络安全策略应该采取什么样的战略转型?
张晨建议:首先,建设云原生应用生命周期中全面的可视化能力,应用从开始开发到镜像发布之后,配置上有哪些问题,我们必须有可视化的能力。
其次,对于云上应用一旦投产使用生效的时候,我们要对这个应用本身会遭遇到的安全攻击进行高效准确的检测,这包括和云原生相关联的网络、端点和上下游供应链厂家,都应该有相应的安全机制。
最后,我们应该提升安全管理的整体效率,要使企业IT管理部门能够在一个平台上对整个云原生的生命周期进行全方位的安全策略管理,而不是一个人管理很多不同的产品,产品之间又没有关联性,这样会导致安全效率非常低。
运营云原生安全
面对复杂的多云环境,企业建设云原生安全体系时,应该具备持续的云原生安全运营理念,采用专业的云原生安全产品和服务,满足企业自身数字化转型与云安全重构的需求。
处于数字化转型下的云原生,其承载的主要是企业的敏态业务,由于引入的组件和新技术更多,导致不可信任的风险点增多,安全威胁面增大。传统的安全边界已经不能满足云原生安全要求,需要从基于边界的安全转变为零信任安全体系。
什么才是真正的零信任接入的网络?
张晨认为:真正零信任网络接入的架构首先应该具备最小权限的访问原则,不会让访问的主体和客体有过多的权限;其次,要进行持续不断的身份校验和安全检查,而不是一次性地在一个网络入口做完一个认证就可以通过。张晨同时强调,以零信任网络接入的整体架构进行数据保护,覆盖所有的数据类型和应用类型,只有以零信任的指导思想才能保护整个网络。
派拓网络的下一代网络安全平台具有高度集中化和高智能特点,有网络安全、云安全和终端安全三个主要组成部分,平台上有相应自动化安全运营的构建,把网络云原生环境下以及端点安全等所有信息都汇总到自动化安全运营平台上进行统一监控和管理。再加上智能化的编排,最大程度降低人工参与的部分,把大量重复性的安全处置事件交给自动化运营平台处理,极大地降低了安全运营的复杂性,提高了效率。
通过人工智能和机器学习技术,派拓网络把很多安全事件都集成到统一的数据分析单元里进行分析,让管理人员从网络、云环境、终端和主机上全面看到企业IT架构下的整体安全运营情况,以及进行自动化的安全处置。
全面的云原生安全
与从IT架构视角的传统云计算不同,云原生更关注的是企业业务和应用架构。在云原生场景下,安全管理消除安全威胁的最终目标是如何最大限度地保证业务的连续性,减小安全风险带来的业务损失。
云原生环境下,既有内网又有外网,同时交织着架构、资源、工作负载以及终端和身份可信等各方面的安全风险。企业必须要有一个全面防护云原生的安全架构体系,才能保证业务应用的快速开发迭代,以及更强的安全。
Prisma Cloud 3.0是派拓网络针对应用整个安全生命周期的全方位安全需求而设计,通过一个平台涵盖云原生代码开发环境、上云之后的安全威胁态势感知,以及云原生应用在运行过程中等和网络相关的所有安全防护。张晨表示:所以用户是在一个高度集成且能够覆盖全生命周期的环境下使用派拓网络的Prisma Cloud解决方案,这也是目前业界唯一一个能够进行云原生应用全生命周期覆盖的统一平台。
Prisma Cloud平台涵盖了应用产生和上线、发布、使用整个全生命周期,它是一个整合的平台,不需要管理人员管理多个不同的产品。另外,Prisma Cloud能够通过代理的方式帮助用户把在云上的应用资源进行全面可视化的管理,大大简化管理人员对云原生应用环境下的工作负载。
在云原生环境下,企业不可避免地会用到一些开源的环境,这就更要对云原生本身的开发环境进行安全检测,尤其是配置检查,要在云原生开发过程中内置进去,也就是安全左移。
张晨最后表示,不能等到应用发布之后再被动地去检测这个应用的流量中是否存在安全问题,我们要在整个云原生的生命周期中把安全放在最开始的位置,与开发环境集成在一起,保证开发环境的安全和配置正确性,避免人为误操作造成的错误配置。如此,当应用程序发布后投产使用时,安全系数才会大幅提高。
