多年來,安全生態系統一直處于響應狀態。當攻擊發生時,立即作出的反應是確保安全元素到位,有助于防止未來的攻擊行為。根據2016年賽門鐵克公司出具的互聯網威脅報告,當今35%的網站存在漏洞。而更持久、更復雜和不斷擴散的威脅要求安全團隊重新考慮他們的方法。
云原生安全性可以為企業提供更強大的防范攻擊的能力,從而創建一個密閉的安全環境。因此,首先從了解當今的威脅環境開始。
病毒的威脅
破壞數據中心的威脅類型相對簡單。通常其對手是一些編寫腳本來尋找已知的漏洞的不素之客,并使用已知的工具來利用在企業環境中運行的舊版本的軟件缺陷。但企業需要防范更復雜的攻擊者,這取決于如何通過應用程序環境、數據中心、域名、子網、公開服務等方面的調查來阻止其最薄弱的應用程序被居心不良的人發現。
當攻擊者最終找到一個弱點時,他們通常會注入并執行shellcode,從應用程序的邊界到應用程序運行的操作環境。然后攻擊者將嘗試提升其在黑客環境中的權限,目的是連接一個“命令和控制” 遠程控制被攻擊的機器,并繼續探索漏洞。這將為企業造成很多問題。
云原生的網絡安全是不同的
現在是挑戰傳統智慧的時候了,當談到傳統的虛擬機環境和被動策略時,虛擬機上的任何東西都需要關注,無論是機器瀏覽還是攻擊應用程序的人。云原生網絡安全采取不同的方法。一方面通過使應用程序本身歸零,另一方面將其回溯到應用程序的創建過程,其安全性開始實施的時間更早一些。
按照上述威脅情形,將討論容器和云端網絡安全與虛擬機安全性不同的三種方式,以及為什么它更適合于當今的威脅。
(1)防范漏洞
在上面的攻擊中,采用腳本進行攻擊的居心不良的人能夠發現已知的漏洞并進行破壞。在云原生環境中,企業可以在易受攻擊的軟件產生前阻止它們。當開發人員意外將已知漏洞或甚至不符合規定的漏洞投入生產時,需要立即被標記,而不會影響生產環境。
工作負載的不變性以及將某些產品推向生產的情況證明,工作負載需要隨著時間的推移保持合規性。當發現新的漏洞時,它可以讓安全小組能夠準確了解哪些工作負載受到影響,并在解決問題上做出策略。
當涉及到更復雜的攻擊者時,他們的攻擊關鍵是映射一個環境。使用自動編排的云原生工作負載,企業的微服務會在群集周圍應用,并且隨著時間的推移更難跟蹤。云原生安全性還允許企業輕松檢測掃描嘗試,或者在多臺機器上檢測服務異常。
對于傳統的虛擬機來說,幾乎不可能保持純凈環境,并且在一個編排的場景中,它將永遠不會具有與“應用程序”相同的可見性。
(2)預防Shellcode注入
如上所述,攻擊者嘗試并注入shellcode,而企業總是試圖進行阻止。對于未知的漏洞來說,很難做到這一點,甚至對于已知的漏洞也是如此。大多數漏洞在于應用程序層面,破解具體的應用程序來防范相關的威脅是很難持續進行的。
云原生安全性解決了白名單和防范已知威脅的問題。企業可以自動將那些流量列入白名單,并自動將其應用于應用程序。虛擬機安全性完全忽略應用程序特定元素或應用程序的更大背景,特別是在應用程序的IP可能按小時更改的協調系統中。
關于防范已知威脅,現有網絡應用程序防火墻(WAF)的主要問題之一是,為每個暴露的服務正確配置是非常困難的。云原生安全性也可以提供幫助,因為它可以自動配置WAF以插入特定應用程序,包括在需要時對其進行解密。
(3)提升特權
通常情況下,攻擊者首先要做的是獲取一個允許他們運行任意代碼的shell。如果他們想用在不同的機器,他們可以跳過權限,但是如果他們想要做任何事情,他們必須“脫離”應用程序流。
在這里,云原生安全性再次徹底改變了企業的能力。在過去,它是關于猜測攻擊模式的猜測。如今企業可以輕松地在主機或微型服務級別部署白名單,并且開發人員可以向用戶顯示應該發生的事情。例如,企業可以阻止行為或對其進行警戒,從而保護最初感染點處的環境。
為什么它工作
有效的企業安全是云原生的網絡安全。這是減輕企業風險的一種更加快速的變革方式,抵御攻擊與反應癥狀的根源。它可以幫助企業創建一個更好的安全環境,而不是使用傳統人工與開發人員無關的虛擬機安全。
京公網安備 11010502049343號