云原生開發(fā)改變網(wǎng)絡安全的10種方式

云原生開發(fā)模式為網(wǎng)絡安全倡導者十多年來一直倡導的應用程序安全實現(xiàn)收益提供了機會，但向云原生安全的過渡需要新的工具和應用程序以及不同的安全運營心態(tài)，這將使許多網(wǎng)絡安全專業(yè)人士走出他們的舒適區(qū)。

以下是開發(fā)者、應用程序安全專家和云原生技術專家對云原生網(wǎng)絡安全與傳統(tǒng)方法的不同之處的一些見解。

（1）一切即代碼讓應用程序安全變得至關重要

以色列云原生安全提供商Wiz公司的首席安全研究員Scott Piper表示，在云原生架構中，微服務和API主導的交互不僅存在于應用程序組件之間，還存在于底層基礎設施之間，這意味著一切都變成了應用程序安全問題。

他說，“在傳統(tǒng)上，網(wǎng)絡安全在一定程度上涉及到知道網(wǎng)絡線路連接在哪里。人們知道與公共互聯(lián)網(wǎng)的連接點在哪里，因為可以親眼看到。在云中，配置的單個更改可能導致某些內(nèi)容公開暴露在互聯(lián)網(wǎng)上，不需要在某處連接網(wǎng)絡線路?！?/p>

（2）網(wǎng)絡攻擊面更大

GuidePoint Security公司的應用安全工程總監(jiān)Kristen Bell表示，云原生應用程序、基礎設施和數(shù)據(jù)流增加了企業(yè)的復雜性，從而引入了更多攻擊面。

Bell說，“隨著微服務和API的增加，數(shù)據(jù)流變得更加復雜。應用程序和系統(tǒng)之間有更多的集成，所有這些都導致了更大的網(wǎng)絡攻擊面，從安全角度來看，需要考慮更多的復雜性。與這些變化相結合，我們看到越來越多的新隱私法要求數(shù)據(jù)的地理位置?！?/p>

（3）新的架構需要新的專用安全工具

Avalara公司的首席應用安全工程師Rebecca Deck表示，雖然有傳統(tǒng)的應用程序安全掃描工具，例如靜態(tài)應用安全測試、動態(tài)應用安全測試和軟件組合分析仍然適用于云原生環(huán)境，但開發(fā)人員和網(wǎng)絡安全團隊現(xiàn)在需要大量的新功能和利基安全產(chǎn)品。

她說，“除了采用傳統(tǒng)工具之外，我們還必須添加云合規(guī)工具、漂移控制工具、可以監(jiān)控云工作負載的入侵檢測和協(xié)調(diào)，以將其整合在一起?！彼忉屨f，為了跟上變化的速度，她的團隊的工作方式是使這些安全功能盡可能透明。她說，“安全工具應該是透明的，只有在發(fā)現(xiàn)安全漏洞時才會顯示出來?！?/p>

（4）內(nèi)部部署安全工具可能會帶來巨大的成本

Deck還警告說，盡管傳統(tǒng)工具仍然可以在云原生安全中發(fā)揮重要的作用，但開發(fā)和安全團隊必須了解它們的架構方式以及運行它們需要什么條件。如果它們不是為云優(yōu)先的容器化模型設計的內(nèi)部部署工具，那么在這些環(huán)境中運行可能會花費很多成本。

Deck說：“在云中運行不是專門為云計算設計的工具可能會在計算、存儲和網(wǎng)絡流量方面產(chǎn)生巨大成本。許多供應商要求在內(nèi)部部署成本相對較低的情況下運行成本非常高昂的系統(tǒng)。由于系統(tǒng)延遲要求，通過阻塞點路由網(wǎng)絡流量通常是不可行的，這需要與可能在云計算方面沒有豐富經(jīng)驗的安全團隊有截然不同的想法。”

（5）變化是永恒的

云原生基礎設施和開發(fā)模式的動態(tài)性和短暫性意味著變化是唯一不變的。

Wiz公司的Piper說：“云平臺在一分鐘之內(nèi)可能有10臺服務器運行，在一小時之內(nèi)有1萬臺服務器運行，再過一小時，可以就只剩1臺服務器運行?！盤iper解釋說，開發(fā)人員有權隨時做出這些改變，以適應創(chuàng)新的業(yè)務要求。他說，“開發(fā)人員也可以靈活地自行開發(fā)這些服務，并嘗試新的服務和功能。AWS公司目前擁有200多項服務，他們只是為數(shù)不多的云計算提供商之一?！?/p>

Insight Enterprises公司北美地區(qū)的首席技術官Juan Orlandini表示，環(huán)境中的這種不斷變化的狀態(tài)給安全專業(yè)人員帶來了巨大的挑戰(zhàn)，他們的任務是保持一致的安全態(tài)勢。

他說：“因為云原生環(huán)境是動態(tài)編排的，所以會有不斷的變化，包括擴大和縮小規(guī)模和升級軟件?！?/p>

（6）威脅建模勢在必行

Insight Enterprises公司的Orlandini說，考慮到不斷擴大的網(wǎng)絡攻擊面和云原生環(huán)境的動態(tài)條件，威脅建模成為管理軟件風險的一個越來越重要的部分。

他解釋說：“工具需要發(fā)展，以支持威脅建模作為云原生安全的核心組件。這意味著提供工具來識別潛在的漏洞和攻擊面，并自動評估以識別錯誤配置和其他問題?！?/p>

（7）以開發(fā)人員為中心的安全工具變得至關重要

Liberty Mutual公司的軟件交付主管Jeff Talon說，跟上開發(fā)工作流的速度和靈活性意味著人工審查和移交不再那么有效。他表示，安全工作需要在開發(fā)工作流程中被簡化，安全團隊必須找到一種方法來創(chuàng)建以開發(fā)人員為中心的工具和流程，以審查代碼和維護安全狀態(tài)。

Talon說，“工具必須無縫集成到核心開發(fā)工具IDE、GIT、CI/CD管道中，避免人工切換或場景切換。合規(guī)性和安全策略評估需要在整個開發(fā)過程和云平臺運行時保持一致?！?/p>

（8）安全應努力實現(xiàn)標準化

云原生環(huán)境的新興狀態(tài)孕育了一種“狂野西部”的氛圍，可能對以規(guī)則為導向的安全人員構成嚴重挑戰(zhàn)。安全團隊可以通過提出標準和以安全為重點的指導方針來幫助開發(fā)人員實現(xiàn)云計算的現(xiàn)代化。

GuidePoint公司的Bell說，“重要的是，隨著這一過程的開始形成，應用程序和云安全概念要經(jīng)過深思熟慮，記錄在案，然后用于創(chuàng)建標準化，其示例可能包括基線容器映像、遺留應用程序被云原生應用程序取代時的退役標準、構建和實施指南以及管道配置的基線標準等。”

（9）安全即代碼幫助應用程序安全保持云原生的步伐

如果與安全即代碼的另一個關鍵概念相結合，這些標準的提出可以為可持續(xù)的云原生安全提供基礎。Talon表示，在以開發(fā)人員為中心的工具中，通過策略即代碼自動滿足需求是云原生安全的最終目標。

他說：“安全需求通過在持續(xù)集成/持續(xù)部署管道和云計算運行時中使用策略即代碼實現(xiàn)自動化，提供一致的開發(fā)體驗，確保在整個開發(fā)過程中符合安全性和合規(guī)性要求。有了這一點，開發(fā)人員可以在更早的過程中獲得安全反饋，并在一個能夠使他們自我糾正并繼續(xù)前進的環(huán)境中獲得反饋?！?/p>

（10）持續(xù)監(jiān)測變得更容易

Orlandini表示，最好的云原生安全方法將包含持續(xù)監(jiān)控，這可能與傳統(tǒng)的應用程序安全方法不同，后者更注重定期掃描而不是實時監(jiān)控。

好消息是，云原生基礎設施的“一切即代碼”方法使得在以前不可能的地方設置遙測變得更加容易，只要安全專家能夠適應原有的網(wǎng)絡監(jiān)控機制可能不再適用于他們的事實。

Piper說：“對于網(wǎng)絡安全人員來說，云中的一些事情變得更加困難，而另一些事情變得更容易，需要利用這些因素。在云中，不能像在物理服務器中那樣輕松地依賴網(wǎng)絡數(shù)據(jù)包監(jiān)控，所以必須依賴其他概念，例如身份。在云端，一次性掃描服務器硬盤快照等事情變得容易得多?！?/p>