云原生安全2.X 进化论系列|云原生安全2.X未来展望(4)

news2024/11/15 15:54:13

随着云计算技术的蓬勃发展,传统上云实践中的应用升级缓慢、架构臃肿、无法快速迭代等“痛点”日益明显。能够有效解决这些“痛点”的云原生技术正蓬勃发展,成为赋能业务创新的重要推动力,并已经应用到企业核心业务。然而,云原生技术在创造效益的同时,却也面临着严峻的安全问题。当下常见的云原生安全产品在发挥效能的同时也引入新问题。作为数字经济时代下的特殊产物,云原生安全解决方案的未来与演进又该何去何从?

安全狗推出云原生安全2.X专题,用翔实的系列文章为读者揭晓云原生安全的演进之路以及未来趋势。

在前面多篇文章中,安全狗云原生安全专家从云原生安全的演变之路(点此查看)、云原生安全2.X的五大特征(点此查看)、云原生安全2.X落地实操(点此查看)等多个方面详细地介绍了云原生安全“过去”“当下”。本篇将提炼前面几篇中提到的重点,并对于云原生安全的“未来”进行延展与“预测”。

云原生安全的“过去式”

01

云原生安全1.X

从安全视角来看,云原生技术落地应用也催生了新的云原生安全基础设施,典型产品包括镜像安全、容器安全、网络微隔离、CSPM等等。这些产品主要延续了以往单体应用时代IT安全模型分层的理念,每个产品专注于解决某个层面的风险与威胁。这样基于分层理念的单点安全能力定义为云原生安全1.X

图1

02

云原生安全1.X的局限性

云原生安全1.X在实际安全运营过程中,带来一系列局限性,主要包括:单点能力堆叠的防护方式导致更加繁杂的管理工作,阻碍了可见性和安全防护的发展;数十种安全工具无法得到统一控制,漏洞和错误配置繁复;缺乏统一的工具平台支持,方案之间衔接安全盲点百出。

造成这些问题的深层原因,是基于分层理念的单点能力组合式产品方案,与云原生在架构上各层之间模糊化并产生了结构性矛盾。

云原生安全的“进行时”

01

云原生安全发展趋势

通过总结可以发现,Gartner近几年先后提出多个单点安全能力的云原生安全模型,包括:CWPP、CSPM)CIEM) 等模型。而Gartner最后提出云原生应用保护平台(CNAPP),是统领上述单点模型方案的单一整体平台,云原生安全的发展趋势逐渐呈现一体化

图2

02

云原生安全2.X

云原生安全的未来,即,“一体化”全栈云原生安全模型方案,可定义为云原生安2.X。覆盖从代码到云的全栈整体安全的,满足软件资产管理和安全一体化、环境安全一体化、网络层安全一体化、工作负载安全一体化、应用安全一体化等五大安全一体化特征的云原生安全平台,则可称为云原生安全2.X产品方案。

03

云原生安全2.X落地模型

云原生安全2.X是安全狗在业界首次提出的概念。在具体落地方面,安全狗也提出了5+X一体化落地架构模型,其中5个安全一体化是基础,是必须要实现的内容,X代表扩展

图3

安全狗云原生安全2.X云甲

01

云甲介绍

安全狗云原生安全解决方案(CNAPP)采用主机安全Agent和安全容器相结合的技术,既落地了“安全左移”的概念,又能对云原生容器做全面保护,同时能灵活地跟容器编排体系相结合,是云原生应用安全最佳实践。

安全狗云原生安全2.X通过将容器云平台通用安全能力下沉到“N合1”安全基座上,有效避免单品堆叠部署的局限性。一个Agent同时覆盖主机安全、容器安全、网络微隔离、多租户、安全策略联邦、云原生安全合规、资产精细化采集等云原生全栈安全需求,并且安全组件具有稳定、资源占用少、不影响业务等特点。同时可依托外联WAF、API安全网关和内联RASP虚拟补丁引擎形成“里应外合”一体化方案,有效赋能应用安全。可与容器云平台、数字化安全运营平台无缝衔接,数据共享和联防联抗,满足了安全集成协同需求。

02

云甲架构

安全狗云甲以安全大基座的方式支撑了资产管理与安全一体化、环境安全一体化、工作负载安全一体化、网络安全一体化的落地实现。

图4

云原生安全的“将来时”

结合对云原生安全过去与当下的剖析,笔者也对云原生安全的未来扩展应用方向进行了展望

01

云原生“零信任”拓展

第1个扩展方向是云原生“零信任”扩展方案。一个个散落在云平台上的服务实例可类比为一个个散落在不同网络里远程接入的办公终端。基于这种类比,Google在2019年12月发表了BeyondProd白皮书,描述了一种基于零信任的应用于云原生的安全架构。这个图是Istio 实现云原生零信任的架构参考方案。云原生架构结合零信任安全架构可为研发团队和安全团队提供巨大的便利,使应用能够更安全地运行在生产环境中。

图5

02

云原生5G边缘计算拓展方案

第2个扩展方向是云原生5G边缘计算扩展方案。5G边缘计算节点分布在多个机房,涉及多个运营方和责任方,因而对安全提出了更高的要求,而当前主流的基于云资源池模式的边缘计算安全方案存在很大的局限性:

  • 不能有效检测和防护新型无文件/无恶意软件云攻击,且安全组件自身资源缺乏管控

  • 面向5G MEC的安全服务能力管理难以统一,MEC的分布式边缘节点众多,且资源有限

  • 在5G MEC全栈安全能力和建设成本方面存局限性,边缘能力分散导致建设成本增加,难以在安全投入成本和安全能力提供之间平衡

  • 客户对5G MEC数据不出园区的安全需求日益凸显,这就要求面向5G MEC的安全产品必须在复杂、多元的客户私有化环境中具备“灵活按需、能力全面、稳定成熟、成本可控”等诸多苛刻部署要求

笔者认为具备“威胁检测、访问控制和态势感知”能力的一体化“N合1”5G MEC云原生安全保护平台将成为新的发展方向。

图6

03

云原生蜜罐拓展方案

第3个扩展方向是云原生安全蜜罐。参考实现架构如下图所示。它克服了传统蜜罐因为成本、真实度等问题不能实现高覆盖的问题:

 图7

  • 一是蜜罐模拟环境统一部署在专用网络,与用户业务资产天然隔离,而且不同租户间的蜜网相互隔离,即使逃逸到主机也不影响真实业务资产;

  • 二是将VPC网络中的黑洞流量导流至蜜罐,再通过策略配置,选择性响应。不占用用户主机、网络资源,以极低的成本大幅提覆盖率。

  • 三是与运行在主机安全Agent共享资源,也就是主机安全Agent扩展一下,实现一种轻量级的非正常业务流量识别出来,引流到蜜罐集中,进一步提升蜜罐部署密度。

总结

只有对云原生安全全面了解了,才可以“数往知来”。只有明晰云原生安全的局限与优点,才能推陈出新。希望云原生安全2.X主题系列文章能为读者们“抛砖引玉”,集“星星之火”,推动我国云原生安全未来发展更上一层楼。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/399617.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Git学习笔记(六)-标签管理

发布一个版本时,我们通常先在版本库中打一个标签(tag),这样,就唯一确定了打标签时刻的版本。将来无论什么时候,取某个标签的版本,就是把那个打标签的时刻的历史版本取出来。所以,标签…

销售使用CRM系统集成Excel的五个技巧

销售过程中有很多情况会降低团队的效率。通过正确的实施CRM客户管理系统,可以帮助您的企业自动执行手动任务、减少错误并专注于完成交易。这里有5个技巧,可以帮助您的销售人员通过CRM集成Excel为销售流程赋能并提高他们的整体效率。 技巧1:将…

Python每日一练(20230309)

目录 1. 删除有序数组中的重复项 ★ 2. 二叉树的最小深度 ★★ 3. 只出现一次的数字 II ★★ 🌟 每日一练刷题专栏 C/C 每日一练 ​专栏 Python 每日一练 专栏 1. 删除有序数组中的重复项 给你一个有序数组 nums ,请你原地删除重复出现的元素…

Xuetr杀毒工具使用实验(28)

实验目的 (1)学习Xuetr的基本功能; (2)掌握Xuetr的基本使用方法。预备知识 windows操作系统的基本知识如:进程、网络、服务和文件等的了解。 XueTr是近年推出的一款广受好评的ARK工具。ARK工具全称为Anti R…

Ubuntu20.04中Docker安装与配置

一、安装 1、卸载可能存在的旧版本 sudo apt-get remove docker docker-engine docker-ce docker.io2、更新apt包索引 sudo apt-get update显示“正在读取软件包列表… 完成” 3、安装以下包以使apt可以通过HTTPS使用存储库(repository) sudo apt-get install -y apt-tran…

java多线程(二三)并发编程:Callable、Future和FutureTask

一、Callable 与 Runnable 先说一下java.lang.Runnable吧,它是一个接口,在它里面只声明了一个run()方法: public interface Runnable {public abstract void run(); }由于run()方法返回值为void类型,所以在执行完任务之后无法返…

关于React Hook(18)

useState():👉详情 (必须“有条件地调用”;注意避免冗余状态的产生) 关于useState的两种使用方式的区别:👉详情 关于batch机制:有条件地调用一些状态的set方…

L3-021 神坛

在古老的迈瑞城,巍然屹立着 n 块神石。长老们商议,选取 3 块神石围成一个神坛。因为神坛的能量强度与它的面积成反比,因此神坛的面积越小越好。特殊地,如果有两块神石坐标相同,或者三块神石共线,神坛的面积…

STM32F103R8T6 SPWM实现正弦波输出

前言 PWM合成正弦波,原理什么的不详细说了,概括一下就是 PWM有效面积的积分 正弦波的有效面积。PWM的频率越快,细分的越多,锯齿也就越不明显。 做法是:首先利用正弦波取点软件,取点1000个,生…

计算机网络:OSPF协议和链路状态算法

OSPF协议 开放最短路经优先OSPF协议是基于最短路径算法SPF,其主要特征就是使用分布式的链路状态协议OSPF协议的特点: 1.使用泛洪法向自治系统中的所有路由器发送信息,即路由器通过输出端口向所有相邻的路由器发送信息,而每一个相邻的路由器又…

阶段二12_面向对象高级_继承3

知识点内容: 抽象类 模板设计模式 final关键字 一.抽象类 (1)抽象类概述 抽象方法:将共性的行为(方法)抽取到父类之后,发现该方法的实现逻辑 无法在父类中给出具体明确,该方法就可以定义为抽象方法。 抽…

ASP.NET CORE API 使用Orleans

快速使用Monimal API 快速集成Orleans 微软官网地址如下:https://learn.microsoft.com/zh-cn/dotnet/orleans/quickstarts/build-your-first-orleans-app?sourcerecommendations&tabsvisual-studio当然它的存储grain存储采用的是内存级别存储,我缓存…

JVM调优面试题——参数命令专题

文章目录1、JVM参数有哪些?1.1、 标准参数1.2、-X参数1.3、 -XX参数1.4、 其他参数1.5、 查看参数1.6、 设置参数的常见方式1.7、 常用参数含义2、JVM常用命令有哪些?2.1、jps2.2、jinfo2.3、jstat2.4、jstack2.5、jmap3、你会估算GC频率吗?4、 内存溢出…

【unity3D】创建TextMeshPro(TMP)中文字体(解决输入中文乱码问题)

💗 未来的游戏开发程序媛,现在的努力学习菜鸡 💦本专栏是我关于游戏开发的学习笔记 🈶本篇是unity的TMP中文输入显示乱码的解决方式 创建 TextMeshPro 中文字体遇到的问题描述解决方式Font Asset Creator 面板扩展中文字体文本遇到…

深度学习零基础学习之路——第五章 个人数据集的制作

Python深度学习入门 第一章 Python深度学习入门之环境软件配置 第二章 Python深度学习入门之数据处理Dataset的使用 第三章 数据可视化TensorBoard和TochVision的使用 第四章 UNet-Family中Unet、Unet和Unet3的简介 第五章 个人数据集的制作 深度学习数据集的制作Python深度学…

MySQL 行锁

行锁 : 对表中行记录的锁 MySQL 的行锁 : 由各个引擎自己实现MyISAM 不支持行锁InnoDB 支持行锁 两阶段锁协议 : 行锁是在需要时才加上,要等到事务结束才释放 例子 : id 是表 t 的主键的 B 的 update 会阻塞,直到 A 执行 commit 后,B 才能…

Spring Cloud/Spring Cloud Alibaba核心知识总结

Spring Cloud核心知识总结 springCloud是一个服务治理平台,若干个框架的集合,提供了全套的分布式系统的解决方案。包含:服务注册与发现、配置中心、服务网关、智能路由、负载均衡、断路器、监控跟踪、分布式消息、分布式事务等等。 SpringC…

Python机器学习库scikit-learn在Anaconda中的配置

本文介绍在Anaconda环境中,安装Python语言scikit-learn模块的方法。 scikit-learn库(简称sklearn)是一个基于Python语言的机器学习库,提供了各种机器学习算法和相关工具,包括分类、回归、聚类、降维、模型选择和预处理…

TiDB Server

文章目录TiDB Server架构TiDB Server作用TiDB Server的进程SQL语句的解析和编译SQL读写相关模块在线DDL相关模块GC机制与相关模块TiDB Server的缓存热点小表缓存TiDB Server架构 Protocol Layer、Parse、Compile负责sql语句的解析编译和优化,然后生成sql语句执行计划…

易优cms attribute 栏目属性列表

attribute 栏目属性列表 attribute 栏目属性列表 [基础用法] 标签:attribute 描述:获取栏目的属性列表,或者单独获取某个属性值。 用法: {eyou:attribute typeauto} {$attr.name}:{$attr.value} {/eyou:attri…