我將討論平臺團隊在網絡安全中的角色,包括在保護網絡方面面臨的挑戰,建立和維護強大的網絡安全需要考慮的問題,以及為什么它是這項工作的最佳團隊。
將責任移交給平臺團隊
與傳統設置不同,傳統設置需要單獨的團隊管理基礎設施和網絡安全,而云原生環境需要不同的方法。在這種以持續部署、自動化基礎設施配置和微服務通信為特征的動態環境中,基于邊界的安全方法和責任孤島將不起作用,相反,平臺團隊必須對網絡安全負責,網絡安全必須是動態的、分布式的和即時的。
就像平臺一樣,網絡安全必須是自動化的,與平臺一起擴展,并配置為代碼,以便可以實時更新。考慮到他們的技能,平臺團隊的成員最適合監督這一點。
云原生環境確實需要偏離傳統的基于外圍的安全措施,然而,在傳統網絡安全領域,有一些已經制定、細化和完善的強大原則,平臺團隊應該適應云原生應用。
從傳統網絡安全中學習
雖然云原生環境帶來了獨特的挑戰,但傳統的網絡安全原則提供了幾十年來獲得的寶貴見解。零信任、網絡分段和流量過濾等概念都是久經考驗的實踐,可以調整以適應云原生環境:
·零信任:通過采用零信任方法,即每個請求都被視為潛在惡意請求,組織可以增強其網絡安全態勢。
·網絡分段:網絡分段有助于隔離工作負載并限制橫向移動,從而限制潛在入侵的影響。
·流量過濾:流量過濾使企業能夠控制和監控網絡流量,確保只進行授權通信。
其他有用的概念包括限制橫向移動的應用程序隔離、對可疑流量進行深度數據包檢測以確定攻擊跡象,以及使用威脅情報饋送阻止與已知不良行為者的連接嘗試。
平臺團隊在保護網絡安全方面的作用
在云原生環境中,平臺團隊在保護網絡和實現合規性方面發揮著至關重要的作用,他們需要在CI/CD生命周期的早期主動識別漏洞和惡意軟件,將安全實踐無縫集成到開發和部署流程中。通過將嚴格的安全性構建到基礎設施自動化中,平臺團隊可以在整個環境中一致地應用安全措施。這種方法不僅增強了安全性,還實現了可擴展性和自動化。
平臺團隊還負責配置平臺和工作負載的安全狀態。通過實施不信任任何人、默認拒絕和類似做法,企業可以防止數據外泄,只允許授權的出口。由于幾種不同類型的服務共享一個平臺,因此必須隔離應用程序和服務,以防止橫向移動的威脅并確保多租戶。平臺團隊必須持續監控和更新安全配置,以適應不斷變化的威脅并保持強大的安全態勢。
網絡安全挑戰
在云原生環境中,平臺團隊在網絡安全方面面臨的主要挑戰來自于處理環境的自動化和彈性基礎設施,需要保護出口和內部流量并檢測和阻止攻擊,以及啟用網絡安全以幫助降低風險。
·為云構建可擴展的網絡安全:由于云原生配置的基礎設施是自動化、彈性且跨混合云環境分布的,因此新節點和容器不斷在不同位置產生。平臺團隊需要確保網絡安全能夠與基礎設施一起擴展。
·從多個角度探討網絡安全:網絡安全需要同時保護出口流量和集群內的流量,因為這些流量也通過網絡進行通信。
·檢測和阻止攻擊:網絡安全必須能夠檢測和阻止已知攻擊者的攻擊以及零日攻擊。
·為風險緩解設置網絡安全:網絡安全在風險緩解中發揮著重要作用。一旦發生入侵,網絡安全應該能夠降低暴露的風險并提供取證,以便采取適當的步驟避免再次發生。
實現合規和多租戶
在云原生環境中,合規性超越了傳統的基于邊界的控制。考慮到平臺團隊的技能和職責,他們最適合配置和展示合規性,他們必須與合規團隊密切合作,以了解和實施必要的控制和政策。通過利用自動化和安全即代碼實踐,平臺團隊可以幫助一致地滿足合規性要求。
無論是由合規性還是規模經濟驅動的多租戶,都是云原生環境的一個常見方面。平臺團隊必須設計和實施有效的多租戶策略,以隔離和幫助保護租戶資源,這包括實施強大的訪問控制、網絡分段和加密機制,以保護敏感數據并防止未經授權的訪問。
結論
云原生環境中的網絡安全需要一種主動且適應性強的方法,平臺團隊在確保強大的網絡安全方面發揮著關鍵作用。通過利用來自傳統網絡安全的見解,將安全配置為代碼,并專注于合規性和多租戶,企業可以有效地應對挑戰并保護其云原生平臺。通過持續監控、定期更新和與其他團隊的協作,平臺團隊可以在新出現的威脅中保持領先地位,并幫助維護安全的網絡環境。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號