- 1华为OD机试C++ - 生成哈夫曼树
- 2使用git将项目上传到github(最简单方法)_git项目上传github
- 3[问题随记]-在Centos下安装strongswan以及问题解决_strongswan 搭建centos
- 4【JavaScript编程】前端如何实现局部打印(精确打印)_js打印指定区域内容
- 5微信小程序开发中的地理位置服务和周边信息获取_微信小程序wx.chooselocation
- 6python实现豆瓣网Json数据爬取_python爬取网站json数据
- 7数据库系统 第10节 视图 (View)
- 8论文阅读笔记:Efficient Teacher: Semi-Supervised Object Detection for YOLOv5
- 9java在使用jpa连接数据库进行数据查询时判断集合参数是否为空_jpa 和postgresql判断集合参数是否为空并赋值
- 10OpenCV + CUDA + cuDNN模块编译_opencv编译cuda
云原生安全介绍
赞
踩
本博客链接:https://security.blog.csdn.net/article/details/127894940
一、云原生安全概念
1.1、云原生概念
在实践中,本地部署的传统应用面临着停机更新、无法动态扩展、绑定网络资源(如IP、端口)及系统环境、需要人工部署及运维等方面的限制。如果仅仅是简单地将本地部署的应用迁移到云计算平台上,则很难发挥出云计算平台的优势。因此,充分利用云计算弹性、敏捷、资源池和服务化等特性,以解决业务在开发、运行整个生命周期中遇到的问题才是使用云计算平台的真正目的。
为此,就有了在云上设计应用程序的理念,使应用程序得以在云中以最佳的模式运行,以便充分发挥出云计算平台的弹性及分布式架构优势,这就是云原生架构。
1.2、云原生安全概念
云原生安全包含两层含义:面向云原生环境的安全和具有云原生特征的安全
面向云原生环境的安全
面向云原生环境的安全目标是防护云原生环境中的基础设施、编排系统和微服务等系统的安全。这类安全机制不一定具备云原生的特性,比如不是容器化、可编排的,而是以传统模式部署的,甚至是硬件设备,但其作用是保护日益普及的云原生环境。
具有云原生特征的安全
具有云原生特征的安全是指具有云原生特性的各类安全机制。此类安全机制具有弹性、敏捷、轻量级、可编排等特性。云原生是一种理念上的创新,它通过容器化、资源编排和微服务重构传统的开发运营体系,加快业务上线和变更的速度。
以上两种机制可以互相融合,在理想情况下,云原生安全是在云原生环境下,对原有的安全机制进行重构或设计新的安全功能,使得最终的安全机制能与云原生系统无缝融合,最终体现出云原生的安全能力。
二、面向云原生环境的安全体系
根据云原生环境的构成,面向云原生环境的安全体系可包含三个层面的安全机制。
2.1、容器安全
容器安全可以分为以下四个部分:
1、容器环境基础设施的安全性,比如主机上的安全配置是否会影响到其上运行的容器,主机上的安全漏洞和恶意进程是否会影响到容器,容器内的进程是否可以利用主机上的安全漏洞等等。
2、容器的镜像安全,包括镜像中的软件是否存在安全漏洞,镜像在构建过程中是否存在安全风险,镜像在传输过程中是否被恶意篡改等等。
3、容器的运行时安全,比如运行的容器间的隔离是否充分,容器间的通信是否是安全的,容器内的恶意程序是否会影响到主机或者其他容器,容器的资源使用情况是否安全等等。
4、整个容器生态的安全性,比如Docker自身的安全性如何,Service Mesh/Serverless对容器安全有什么影响,容器中安全密钥的管理与传统环境有什么不同,容器化后的数据隐私保护与传统的数据隐私保护是否一致等等。
对于容器云环境的安全,可以分为两个主要方面:
1、容器云内部的安全,这包括宿主机安全、虚拟化安全、容器(东西向)网络的安全、管理平台的安全以及数据安全等。对于容器云内部的安全,可以通过相应的容器安全机制实现。
2、容器云内外之间的网络安全,也就是通常讲的南北向网络安全。对于南北向的网络安全,可以通过安全资源池引流的方式,实现相应的安全检测与防护,这也是业界多数云安全解决方案的实现方式。
最后将这两部分统一接入云安全集中管理系统,进行统一的安全管理和运营。
2.2、编排系统安全
Kubernetes已经成为事实上的云原生编排系统,那么Kubernetes的安全就成为非常重要的编排安全部分。这个展开会非常繁多,后面会单独开篇介绍,此处就不再介绍了。
2.3、云原生应用安全
云原生应用安全包括面向云原生应用的零信任体系、云原生应用的传统安全机制、业务安全和API安全。这个也是,后面会单独开篇介绍,此处就不再介绍了。
三、如何实现安全的云原生化
3.1、安全架构具备编排能力
编排是指将各类资源根据业务需要进行动态控制和管理。在云原生场景中,安全架构需要借助容器编排系统的能力来动态部署或销毁安全资源,并按需调度流量牵引或旁路到安全资源,然后将安全策略下发到安全资源,形成全局统一、一致的安全能力。
除了资源管理之外,安全架构也可借助容器编排系统进行动态升级。例如,某个安全应用发布新版,则可以将其推送到镜像仓库中。编排系统可以将部署在所有节点中的安全容器进行版本升级,甚至可以通过灰度升级策略将一部分安全容器升级,其余安全容器保持不变,从而确认本次更新是否会对业务产生影响。
3.2、安全特权容器保障容器和宿主机安全
在单机容器环境中,容器技术本质上是操作系统虚拟化,因而宿主机中的安全代理是可以观察到宿主机或容器中的所有进程、文件系统等信息的,也可以通过系统调用对容器中的进程、网络连接进行控制,因而在宿主机层面完全可以实现对宿主机、容器等资产的安全防护。
在云原生环境中,如果安全代理本身就是以容器的形式出现的,那么安全编排所需要的安全软件部署、更新、扩容等功能都可以通过容器技术实现。当然,通常这个安全容器需要一些权限,当它需要所有的权限时,它其实就是一个特权容器。在当下主流的容器安全方案中,宿主机侧通常会部署安全特权容器以实现对其所在宿主机和容器的安全防护。
3.3、Sidecar安全容器保障业务安全
Sidecar容器本质上就是一种提供反向代理的容器,该容器会劫持业务容器的流量,经过解析后获得应用层请求和响应,然后根据安全策略进行检测或防护。
除此之外,Sidecar安全容器与安全特权容器的区别是Sidecar安全容器是尽可能贴近服务的,可以与编排系统深度融合,随着微服务和无服务容器的增加而相应增加,反之亦然。可见Sidecar安全容器的资源管理和策略管理是云原生的。
