1.云原生安全與云訪問安全代理無關
當人們開始專注于在云端工作時,許多組織意識到他們需要切換業務模式,并開始使用軟件即服務。由于這種轉變,公共云安全問題爆發,因此迎來云訪問安全代理(CASB)時代,這些代理通常用來處理像Salesforce數據一樣的任務。
這可能是云時代早期的情況,但與近年來發展的另一個主題無關。最近,更多的軟件開發團隊已經著手開發生產云軟件,因為他們需要創建優秀的新軟件來吸引客戶,并啟用新的商業模式。這一切都凸顯出“每家公司正在成為軟件公司”的主題。
但是,如果企業為客戶構建了一個應用程序,并且不想成為泄露數據的另一個Equifax公司,則必須為應用程序提高更多的安全性。這是云原生的安全性,它與云訪問安全代理(CASB)的作用有著根本的不同。這二者都與云計算有關,但分別解決的是兩個截然不同的問題。
2.云原生安全取代了現有的應用程序積極主動的威脅防護措施
企業在第一次面臨如何保護其云原生軟件的問題時,最初的回應是使用現有的安全工具。這是一個選擇,但效率不同,企業必須執行大量人工操作,否則面臨的風險將成為企業創新的瓶頸。
以下安全概念很難在云原生的世界中推廣應用:
·讓IT團隊檢查每個產品更新的材料清單并驗證其合規性。
·開發團隊和運營團隊聚集在一起,構建虛擬機,從而可以快速移動,但不會因為頻繁更改或修復軟件而導致問題的風險。
·讓IT團隊修補補丁,更新虛擬機,并確保所有環境都適合生產環境。
·開發人員和操作團隊建立了devops,因此可以自己修補。
(1)網站安全防護(WAF)的作用
企業通常采用網站安全防護(WAF),其目的是阻止工作負載遭到攻擊。除了所有的變化之外,運行網站安全防護(WAF)的工作人員卻無法跟蹤所有的微型工作負載。
(2)網絡分段
企業可能已嘗試細分或微分割網絡以隔離可能引入漏洞的工作負載。雖然這是一個很好的概念,但微小的敏捷工作負載中在現實中并不奏效,一旦不能遵守其規則,網絡分段就沒有效果。
然而,云原生安全性的應用從根本上得到了擴展。它有更多關于應用程序的信息,并且使用它們來自動化以下提到的所有元素。
自動化使企業能夠獲得更強大,更精細的安全性,并且允許企業專注于基于應用程序表達安全性策略,而不是在每次更改/更新工作負載時人工配置安全機制。它還允許企業將其策略集成到現代部署工具中,從而與開發人員進行直接的討論。
3.云原生安全仍然需要多層次的防御
在傳統的安全術語中,企業將考慮多個安全層。企業可能考慮代碼安全,包管理,操作系統補丁,服務器端點安全等方面的內容。但現在這些不再需要了。但重要的是要明白,使用云原生工作負載不會從這個角度給出任何快捷方式,從這個角度來看,企業仍然需要用所有必需的安全層包裝軟件。
4.云原生安全是端到端的安全
devops的應用將傳統專業團隊分為兩類:一類是部署微服務的開發人員,另一類是致力于云計算的基礎架構團隊。通常情況下,即使這兩個團隊也變成了一個單一的“云”團隊,也需要承擔多重責任。
如果企業考慮到這種環境的安全性,將其分成兩組也是更有意義的:
(1)云原生基礎架構:包括企業云消費的服務(例如L3-4防火墻,服務器安全,網絡加密和存儲加密)的安全性。
(2)云原生應用程序:包括需要應用程序感知的任何安全元素(例如,L7防火墻,安全滲透測試,圖像安全性,以及應用程序的微分割)。
這將改變人們在市場上看到的安全產品的類型。云計算供應商將在其云端產品中增加更多傳統的基礎架構功能,以增強其平臺吸引力,并提供涵蓋所有基礎架構安全需求的全方位產品。另一方面,安全提供商將主要側重于應用程序級安全性,并且還將需要提供端到端的安全解決方案,這也將需要包括前面提到的多個因素。
5.云原生安全由云團隊經營
傳統上,安全層需要不同人員或團隊的專業知識(例如端點,服務器,網絡,身份,PKI,存儲和軟件開發)。企業可以讓人們手動添加這些安全層作為基礎設施的分配和應用程序的部署,然后調用團隊中的專家來配置必要的云概念。但是分配這些資源需要是即時的,并且需要改進其安全產品。
云原生安全性已經引發了重大變化。它決定圍繞安全層的策略需要由安全性和基礎架構師定。但是,執行這些策略的安全機制必須自動附加到云端和配置進程。通過允許devops或云團隊盡可能無縫地進行操作,從而全面展開整個過程。
京公網安備 11010502049343號