云原生安全取决于开源

news2024/11/16 18:56:48

本文首发微信公众号网络研究院,关注获取更多。

Kubernetes 和 K3S 等技术是云原生计算的成功和开源力量的代名词。他们在竞争中大获全胜绝非偶然。当企业寻求安全的云原生环境时,开源是难题中的关键部分。

工具法则是众所周知的认知偏差。当你只有一把锤子时,每个问题看起来都像钉子。这句话是从相同的、狭隘的角度处理不同问题的比喻:特定的专业知识或技能组合不加区别地应用于每种情况。

当谈到云原生安全性时,请谨慎考虑您目前采用的安全解决方案可能不是合适的解决方案。开源的力量是关键,你需要一种不同类型的锤子。

云原生部署需要独特的安全性

网络威胁的盛行及其对合规性、财务损失、声誉和用户隐私的潜在后果使得组织必须优先考虑软件安全。

云原生计算由于其架构和分布式动态特性引入了独特的安全需求。

动态基础设施允许根据需求创建、扩展和销毁服务和组件,但这需要能够适应快速变化的实例并一致应用的安全措施。

微服务架构中的通信增加了攻击面,保护容器化环境需要采取图像完整性验证、安全容器运行时配置和定期修补等措施来解决漏洞。

此外,像Kubernetes这样的编排平台还需要考虑额外的安全因素,例如保护集群的网络和 API 端点,而这些对于传统安全工具来说是不可见的。

由于大多数云环境支持多租户,因此需要强大的隔离机制来防止一个租户访问另一个租户的资源。

最后,随着部署规模和复杂性的不断增长,手动安全管理变得不切实际,安全自动化(从威胁检测到合规性管理)至关重要。

如何实现云原生安全

为了满足这些独特的安全需求,组织需要遵循最佳实践:实施强大的访问控制、加密静态和传输中的数据、定期修补软件以及定期进行安全评估。

在开发人员和运营团队中培养安全意识文化大有帮助,但需要覆盖哪些关键领域呢?

漏洞管理

从管道到生产,我们开发了开源组件来准确、持续地扫描容器生命周期中的漏洞,从构建到交付再到运行。与所有组件一样,可扩展的图像漏洞分析是关键,它可能涉及扫描数千或数十万张图像。

通过实施强大的供应链安全措施,组织可以最大限度地降低中断风险,保护其资产和知识产权的可靠性和完整性,并维持客户和利益相关者的信任。

随着 DevOps 团队集成其工具链以实现基于容器的应用程序的自动部署,安全性始终会减慢现代云原生管道的速度。

虽然自动漏洞扫描是标准做法,但创建安全策略来保护生产中的应用程序工作负载在很大程度上是一个手动过程。

使用 Kubernetes 自定义资源在管道早期捕获和声明应用程序安全策略可以解决此问题。

遵守

在日益严格的监管标准以及对隐私和数据暴露的严厉处罚的情况下,合规性是所有企业的首要考虑因素。

容器环境中的合规性是一项需要特别考虑的挑战。好消息是,基于容器的部署的安全控制使组织能够保护敏感数据,向监管机构展示合规性工作。

深度防御计划包括端到端漏洞管理、通过 CIS 基准进行配置审核以及容器 DLP 保护,提供了传统工具无法实现的可见性和高枕无忧。

容器分割

容器通常部署为微服务,在 Kubernetes 集群中动态部署和扩展。这些微服务可以跨共享网络和服务器(或虚拟机或主机)部署,这种多样化和分布式环境需要虚拟墙来保持个人和私有信息在网络上安全隔离。

这正是容器分段所实现的目标,尽管规模和分布式性质往往会导致复杂的策略创建和执行。

运行时安全

当容器运行时,需要主动保护来检测和防止内部发生恶意活动。进程和文件系统监控可以识别并阻止未经授权的容器活动和连接,而不会中断正常的容器会话。

应考虑其他工具,例如机密计算。

网络可视性

深度网络可见性是运行时容器安全性最关键的部分。考虑到容器部署的动态和快速特性,传统的基于边界的方法(防火墙在攻击到达工作负载之前阻止攻击)在云原生环境中是不够的。

云原生工具解决了传统的缺点,检查容器网络流量以在攻击到达应用程序或工作负载之前阻止攻击,并防止通过网络发送数据的被利用应用程序造成数据泄露。简而言之,适当的网络控制可以限制攻击的影响范围。

为什么开源是正确的

出于几个关键原因,开源是云原生安全成功的关键。

确保这个生态系统的安全需要利用全球各地的技能和开源软件开发。正如我之前提到的,共享标准和最佳实践在云原生计算中尤其重要,开源促进了开发人员、架构师和用户之间的协作。

开源模式还带来了数量上的优势。云原生计算基金会 (CNCF) 托管了前面讨论的许多安全组件,并吸引了来自 189 个国家/地区 850 个成员的 175000 名贡献者。

单一实体无法与这些数字以及来自不同地区和利益的不同观点竞争。

多元化创新是开源开发的核心,它为开发人员提供了一个平台,可以试验和改进现有代码,并为不断增长的知识体系做出贡献。

云原生计算需要这种创新来利用新的、更好的方法在云中构建和部署应用程序。考虑到应用程序在云原生计算中跨多个环境频繁部署的情况,开源对互操作性的促进至关重要。

当您考虑安全需求时,请考虑并非一切都是等待同一锤子的钉子。

开放解决方案替代方案及其带来的灵活性、协作、互操作性和创新可以拓宽视野、培养多样化技能并利用不同方法来构建云原生安全成功。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/689905.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

openeuler22.03系统salt-minion启动报“Invalid version: ‘cpython‘“错的问题处理

某日,检查发现一台openeuler22.03 SP1系统的服务器上之前正常运行的saltstack客户端minion未运行,查看服务状态,报"Invalid version: cpython"错,无法正常运行,本文记录问题处理过程。 一、检查salt-minion…

【Nginx】第三章 Nginx常用的命令和配置文件

第3章 Nginx常用的命令和配置文件 3.1 nginx常用的命令 (1)启动命令 在/usr/local/nginx/sbin目录下执行 ./nginx (2)关闭命令 在/usr/local/nginx/sbin目录下执行 ./nginx -s stop (3)重新加载命令…

docker报错 driver failed programming external connectivity on e

Error response from daemon: driver failed programming external connectivity on e ndpoint mj 原因:在我们启动了Docker后,我们再对防火墙firewalld进行操作,就会发生上述报错, 详细原因:docker服务启动时定义的…

分别用最小二乘法和梯度下降法实现线性回归

下面代码中包含了两种方法 import numpy as npnp.random.seed(1234)x np.random.rand(500, 3) # x为数据,500个样本,每个样本三个自变量 y x.dot(np.array([4.2, 5.7, 10.8])) # y为标签,每个样本对应一个y值# 最小二乘法 class LR_LS():d…

LENOVO联想笔记本拯救者Legion R7000P APH8 2023款(82Y9)原厂Windows11系统原装出厂状态预装系统

lenovo联想笔记本电脑,拯救者Legion R7000P APH8(2023款)(82Y9)原装出厂Windows11系统安装,预装系统重装镜像,恢复出厂状态 系统自带所有驱动、出厂主题壁纸LOGO、Office办公软件、联想电脑管家等预装程序 所需要工具:16G或以上…

element ui - el-select 手动设置高度

el-select 手动设置高度 场景代码 场景 当我们的页面想要手动设置 element ui 中 el-select 的高度时,如果只是通过设置 el-select 的 height 属性时,会发现调整无效。 继续对 el-select 中的 input 元素 .el-input__inner 设置。会发现高度生效了&…

机器视觉硬件选型-机器视觉三大技术之一打光(图像采集技术)

机器视觉halcon-胶水轮廓检测 针对被测物的不同特征,要用不同打光方式,才可以突出被测物,便于图像处技术进一步处理。 机器视觉作为当前的热门行业,是计算机视觉的延伸,集结了光学、机械、电子、计算机软硬件等各方面技术,旨在于将所需求的图像特征提取出来,以方便视觉系…

读发布!设计与部署稳定的分布式系统(第2版)笔记13_断路器与舱壁

1. 电路保险丝 1.1. 保险丝通过自身率先失效,控制整体的系统失效方式 1.2. 当遇到电阻时,电流产生的热量与电流强度的平方和电阻的乘积(I^2R)成正比 1.3. 在房子着火前先行熔断,切断电路并避免火灾 1.4. 民用保险丝…

HOT22-相交链表

leetcode原题链接:相交链表 题目描述 给你两个单链表的头节点 headA 和 headB ,请你找出并返回两个单链表相交的起始节点。如果两个链表不存在相交节点,返回 null 。 图示两个链表在节点 c1 开始相交: 题目数据 保证 整个链式结…

可视化低代码编程平台项目

后端Spring BootMySQL 前端Vue 同学通过这个项目练手,简历上写出来也蛮有亮点的。 技术栈比较全面, 项目可以提高公司的开发效率,特别是方便产品经理或者业务线人员直接可视化生成UI

java之路——带你了解springboot框架与其基本使用

文章目录 一、springboot的发展背景二、什么是springboot三、springboot的地位四、开发步骤 一、springboot的发展背景 要了解springboot,我们先要了解Spring Boot的发展背景。 Spring Boot的发展背景可以追溯到Spring Framework的诞生和演进过程。 首先&#xff…

Linux常用命令——free命令

在线Linux命令查询工具 free 显示内存的使用情况 补充说明 free命令可以显示当前系统未使用的和已使用的内存数目,还可以显示被内核使用的内存缓冲区。 语法 free(选项)选项 -b # 以Byte为单位显示内存使用情况; -k # 以KB为单位显示内存使用情况…

【Docker】Exited 139解决Window下docker启动oracle11g失败Exited 139

前几天,在docker安装了oracle11,安装非常简单,但是启动的时候启动不起来,且没有任何log日志输出! docker 拉取安装oracle11 docker pull registry.cn-hangzhou.aliyuncs.com/helowin/oracle_11g安装完成后启动oracle …

Nature Biomedical Engineering --利用白细胞“吃掉”实体瘤

癌症仍然是美国死亡率最高的疾病之一,每年导致的死亡人数超过60万人。形成实体肿瘤的癌症,如乳房、大脑或皮肤肿瘤,尤其难以治疗。外科手术通常是对抗实体肿瘤的第一道防线。但是,手术可能无法完全清除癌细胞,残留的细…

Linux运维监控学习笔记6

触发器(重点) 触发器(trigger):定义监控项到达一个临界值(阈值)或者满足一个条件,就会发现状态变化(OK变为Problem,Problem变为OK)。 监控agent1…

FFmpeg工具使用(一)

转码 指令 ffmpeg -i input.mp4 output.avi 这个指令是使用FFmpeg工具对视频进行格式转换的命令。 其中,"-i input.mp4"表示指定输入文件为"input.mp4",而"output.avi"则是指定输出文件名,并将视频转码成A…

【无标题】TI AM64x工业核心板规格书(双核ARM Cortex-A53 + 单/四核Cortex-R5F + 单核Cortex-M4F,主频1GHz)

1 核心板简介 创龙科技SOM-TL64x是一款基于TI Sitara系列AM64x双核ARM Cortex-A53 单/四核Cortex-R5F 单核Cortex-M4F设计的多核工业级核心板,通过工业级B2B连接器引出5x TSN Ethernet、9x UART、2x CAN-FD、GPMC、PCIe/USB 3.1等接口。核心板经过专业的PCB Layo…

ModaHub AI模型开源社区——向量数据库Milvus存储操作教程

目录 存储操作 数据插入 数据落盘 定时触发 客户端触发 缓冲区达到上限触发 数据合并 建立索引 删除 删除集合 删除分区 删除实体 数据段整理 数据读取 常见问题 存储操作 阅读本文前,请先阅读 存储相关概念。 数据插入 客户端通过调用 insert 接…

读写锁原理解读

目录 回顾什么是读写锁 t1 w.lock,t2 r.lock t3 r.lock,t4 w.lock t1 w.unlock t2 r.unlock,t3 r.unlock 写锁上锁流程 写锁释放流程 读锁上锁流程 读锁释放流程 回顾什么是读写锁 读写锁是一对互斥锁,分为读锁和写锁。…

UG\NX二次开发 显示临时标记 UF_DISP_display_temporary_point

文章作者:里海 来源网站:https://blog.csdn.net/WangPaiFeiXingYuan 简介: 显示临时标记 UF_DISP_display_temporary_point,最后一个参数控制显示的类型,可通过下表1表2查询 表1: 表2: 0UF_DISP_NO_MARKER