当前位置:   article > 正文

深信服day7:云原生(Cloud Native)_cloud native software realization

cloud native software realization

目录

一、定义

二、云原生核心技术

1、微服务(Microservice)

2、CI/CD持续集成/持续部署

3、容器化

4、无服务器计算Serverless

5、DevOps

三、云访问服务代理CASB

1、定义

2、CASB“四个功能”及部署“四种方式”

1)可视化

2)合规性

3)数据安全

4)威胁防护

四、补充

1、Web安全网关(SWG)

2、SECaaS安全及服务

3、FWaaS防火墙及服务

4、不同的网络安全融合架构——ZTE(Zero Trust Edge)

5、不同的网络安全融合架构——SSE(Security Service Edge,SSE)


一、定义

云原生基金会(CNCF)对云原生的定义如下:

云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用。

二、云原生核心技术

1、微服务(Microservice)

微服务作为一种松耦合的应用架构方式,其服务作为独立部署的、原子的、自治的业务组件,而各业务组件之间通过消息中间件进行交互,可按需独立伸缩、容错、故障恢复。

2、CI/CD持续集成/持续部署

CI/CD:是一种通过在应用开发阶段引入自动化来频繁向客户交付应用的方法。CI/CD的核心概念是持续集成和持续部署。即开发人员可以随时进行。

3、容器化

容器化是指将软件代码和所需的所有组件(例如库、框架和其他依赖项)及运行环境打包,并在“容器”中隔离运行的过程。

容器具有启动快、省资源、运行环境一致等优势。

容器化将程序的代码和运行环境一起打包进行版本控制,是实现基础设施即代码或不可变基础设施的主要技术方式。

4、无服务器计算Serverless

无服务器计算也称为函数计算,是一种云原生架构,让您可以在不考虑服务器的情况下构建并运行应用程序和服务,不需要管理任何基础设施。当触发代码的预定义事件发生时,无服务器平台执行任务。服务器计算按函数调用次数收费。

5、DevOps

Dev0ps(英文:Development和Operations的组合)是一组过程、方法与系统的统称,用于促进开发(应用程序/软件工程)、技术运营和质量保障(QA)部门之间的沟通、协作与整合。它的出现是由于软件行业日益清晰地认识到:为了按时交付软件产品和服务,开发和运营工作必须紧密合作。

三、云访问服务代理CASB

1、定义

1)随着企业IT运营逐渐从本地上云,他们就开始寻找从内部数据中心引入云运营的安全访问控制方法。云访问安全代理(CASB)就是这样的一种工具。

2)CASB是置于云服务消费者和云服务提供商之间的企业内部或基于云的安全策略执行点,以便在访问基于云的资源时结合和嵌入企业的安全策略。CASB整合了多种类型的安全策略执行。

3)主要应用场景:专注于SaaS安全,为企业提供了对SaaS使用情况的可视性和安全控制。

2、CASB“四个功能”及部署“四种方式”

1)可视化

CASB可以帮助企业发现”影子IT”,实现应用可视化。同时可以实现用户、数据和威胁的可视化。

2)合规性

CASB可帮助组织证明其管理的云服务的使用情况。提供信息来确定云风险偏好并确定云风险承受能力,同时有助于满足数据位置和法律合规性要求。

3)数据安全

CASB可以够实施以数据为中心的安全策略,以防止基于数据分类、数据发现以及因监控敏感数据访问或提升权限等用户活动而进行有害活动。具体可以通过加密、审计、告警、拦截、隔离等控制措施来实施数据安全管控策略。

4)威胁防护

CASB可通过嵌入式UEBA识别异常行为、威胁情报、网络沙箱以及恶意软件识别对可能具备威胁的数据访问行为进行有效防护。

四、补充

1、Web安全网关(SWG)

1)Web安全网关用于保护访问网页的PC端免受感染并执行公司IT安全策略的解决方案,它可以在用户发起的网页访问流量中过滤恶意或非必要的流量,并强制执行公司策略合规性检验。

2)Web安全网关在落地解决方案中具有五个关键因素

A、能够支持以云为中心的远程工作的架构

B、实时威胁保护

C、强大的数据丢失预防(DLP)功能

D、无人管理的应用控制

E、细分的可见性和报告

2、SECaaS安全及服务

SECaaS 通过基于云的服务来保护云中的系统和数据、以及混合的和传统的企业网络。这些系统可能在云中,也可能部署在本地。

常见的SECaaS包括:FWaaS、CASB、Web安全网关WSG、身份与访问管理、电子邮件安全等。

3、FWaaS防火墙及服务

防火墙一般部署在网关上,用来隔离子网之间的访问,防火墙即服务(FireWall as a Service, FWaaS)也是在网络节点上(具体说来是在路由器命名空间中)来实现。FWaaS在云中运行并可以通过互联网进行访问,第三方供应商将其作为服务提供,并负责相关的更新和维护事项。

4、不同的网络安全融合架构——ZTE(Zero Trust Edge)

Forrester于2021年01月提出了零信任边缘(ZTE)模型,将边缘安全纳入到零信任框架中。

Forrester在《将安全带到零信任边缘》报告中认为, ZTE模型与SASE模型是相似的,ZTE模型重点侧重于零信任,而SASE模型侧重点是通过SD-WAN进行网络和安全的同步。ZTE解决方案使用零信任访问原则,主要利用基于云的安全和网络服务安全地连接和传输流量、进出远程站点。

5、不同的网络安全融合架构——SSE(Security Service Edge,SSE)

Gartner于2022年的云安全技术成熟度曲线报告中提出安全服务边缘。

SSE将主要安全元素与SASE的网络部分分离,专注于统一所有安全服务,包括SWG、CASB和ZTNA等。

SSE和SASE 都是身份驱动的,依靠零信任模型来限制用户对允许资源的访问,两者最显著的区别是网络基础设施。借助SSE,无法或不愿意捆绑其网络基础设施的企业也可以拥有融合云安全服务的产品。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小桥流水78/article/detail/1015044
推荐阅读
相关标签
  

闽ICP备14008679号