為了滿足應用上云的多樣化需求,企業面臨著要采用多種混合云資源的局面。此外還需要為關鍵應用對接各類數據源,云原生架構成為滿足這些需求的不二之選。
云安全的重構
云原生以其技術優勢正在不斷延伸到各類應用場景中,各行各業也越來越多地基于云原生進行敏捷開發與業務創新。同樣地,云原生也遇到了安全問題,并且隨著數字化轉型深入而擴散到企業IT架構的各個層面。
Palo Alto Networks(派拓網絡)中國區大客戶技術總監 張晨
大量新的云原生應用和虛擬化技術等,給企業管理者提出一個新的課題,安全如何能夠平滑地過渡到新型IT架構中。Palo Alto Networks(派拓網絡)中國區大客戶技術總監張晨談到:云上的安全如何管理,包括上云之后,應用很多云原生的技術,如何對它們進行無縫的安全管理,已經成為影響安全事件的重要主體。
相比于傳統松耦合的云安全,云原生安全更需要云原生平臺與安全體系緊密結合,成為基于架構的內生安全。這緣于兩方面:一方面是不斷使用新組件和發布新應用將面臨新的安全風險,另一方面則是傳統架構在向新架構轉變的云原生安全需求。
云原生遇到了安全挑戰,在快速的云原生環境變化過程中,安全策略相對滯后,因為云原生環境的設計和架構規劃并非出于安全考慮,而是如何以最低的資源開銷和最便捷的開發環境資源,獲取最大的應用發布成果。張晨這樣表示到:云原生并不是以安全機制為初衷,在云原生應用全生命周期中有很多安全漏洞和短板,因此越來越多的企業會尋求在整個云原生應用環境中對安全進行前置。
在云原生環境下的網絡安全策略應該采取什么樣的戰略轉型?
張晨建議:首先,建設云原生應用生命周期中全面的可視化能力,應用從開始開發到鏡像發布之后,配置上有哪些問題,我們必須有可視化的能力。
其次,對于云上應用一旦投產使用生效的時候,我們要對這個應用本身會遭遇到的安全攻擊進行高效準確的檢測,這包括和云原生相關聯的網絡、端點和上下游供應鏈廠家,都應該有相應的安全機制。
最后,我們應該提升安全管理的整體效率,要使企業IT管理部門能夠在一個平臺上對整個云原生的生命周期進行全方位的安全策略管理,而不是一個人管理很多不同的產品,產品之間又沒有關聯性,這樣會導致安全效率非常低。
運營云原生安全
面對復雜的多云環境,企業建設云原生安全體系時,應該具備持續的云原生安全運營理念,采用專業的云原生安全產品和服務,滿足企業自身數字化轉型與云安全重構的需求。
處于數字化轉型下的云原生,其承載的主要是企業的敏態業務,由于引入的組件和新技術更多,導致不可信任的風險點增多,安全威脅面增大。傳統的安全邊界已經不能滿足云原生安全要求,需要從基于邊界的安全轉變為零信任安全體系。
什么才是真正的零信任接入的網絡?
張晨認為:真正零信任網絡接入的架構首先應該具備最小權限的訪問原則,不會讓訪問的主體和客體有過多的權限;其次,要進行持續不斷的身份校驗和安全檢查,而不是一次性地在一個網絡入口做完一個認證就可以通過。張晨同時強調,以零信任網絡接入的整體架構進行數據保護,覆蓋所有的數據類型和應用類型,只有以零信任的指導思想才能保護整個網絡。
派拓網絡的下一代網絡安全平臺具有高度集中化和高智能特點,有網絡安全、云安全和終端安全三個主要組成部分,平臺上有相應自動化安全運營的構建,把網絡云原生環境下以及端點安全等所有信息都匯總到自動化安全運營平臺上進行統一監控和管理。再加上智能化的編排,最大程度降低人工參與的部分,把大量重復性的安全處置事件交給自動化運營平臺處理,極大地降低了安全運營的復雜性,提高了效率。
通過人工智能和機器學習技術,派拓網絡把很多安全事件都集成到統一的數據分析單元里進行分析,讓管理人員從網絡、云環境、終端和主機上全面看到企業IT架構下的整體安全運營情況,以及進行自動化的安全處置。
全面的云原生安全
與從IT架構視角的傳統云計算不同,云原生更關注的是企業業務和應用架構。在云原生場景下,安全管理消除安全威脅的最終目標是如何最大限度地保證業務的連續性,減小安全風險帶來的業務損失。
云原生環境下,既有內網又有外網,同時交織著架構、資源、工作負載以及終端和身份可信等各方面的安全風險。企業必須要有一個全面防護云原生的安全架構體系,才能保證業務應用的快速開發迭代,以及更強的安全。
Prisma Cloud 3.0是派拓網絡針對應用整個安全生命周期的全方位安全需求而設計,通過一個平臺涵蓋云原生代碼開發環境、上云之后的安全威脅態勢感知,以及云原生應用在運行過程中等和網絡相關的所有安全防護。張晨表示:所以用戶是在一個高度集成且能夠覆蓋全生命周期的環境下使用派拓網絡的Prisma Cloud解決方案,這也是目前業界唯一一個能夠進行云原生應用全生命周期覆蓋的統一平臺。
Prisma Cloud平臺涵蓋了應用產生和上線、發布、使用整個全生命周期,它是一個整合的平臺,不需要管理人員管理多個不同的產品。另外,Prisma Cloud能夠通過代理的方式幫助用戶把在云上的應用資源進行全面可視化的管理,大大簡化管理人員對云原生應用環境下的工作負載。
在云原生環境下,企業不可避免地會用到一些開源的環境,這就更要對云原生本身的開發環境進行安全檢測,尤其是配置檢查,要在云原生開發過程中內置進去,也就是安全左移。
張晨最后表示,不能等到應用發布之后再被動地去檢測這個應用的流量中是否存在安全問題,我們要在整個云原生的生命周期中把安全放在最開始的位置,與開發環境集成在一起,保證開發環境的安全和配置正確性,避免人為誤操作造成的錯誤配置。如此,當應用程序發布后投產使用時,安全系數才會大幅提高。
