《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 實(shí)現(xiàn)云原生安全的具體技術(shù)措施對(duì)比

實(shí)現(xiàn)云原生安全的具體技術(shù)措施對(duì)比

2021-05-26
來(lái)源: 互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 云原生安全

  云服務(wù)提供商提供了日志,、API,、原生代理等多種技術(shù),,幫助安全團(tuán)隊(duì)在整個(gè)應(yīng)用堆棧中實(shí)現(xiàn)合規(guī),、可見(jiàn)和可控,。

  在云環(huán)境中,,安全責(zé)任由云服務(wù)提供商(CSP)和企業(yè)安全團(tuán)隊(duì)共同承擔(dān),。為了幫助安全團(tuán)隊(duì)在整個(gè)應(yīng)用堆棧中實(shí)現(xiàn)合規(guī),、可見(jiàn)和可控,,云服務(wù)提供商和安全供應(yīng)商在不同層中增加了各種創(chuàng)新措施。在本文中,,我們將比較這些措施,,并為企業(yè)提供了思考這些措施的框架。

  1,、概述

  云服務(wù)提供商正在以驚人的速度推出新服務(wù),,使企業(yè)應(yīng)用程序開(kāi)發(fā)人員能夠更快地為市場(chǎng)帶來(lái)新的商業(yè)價(jià)值。對(duì)于每一項(xiàng)新服務(wù),,云服務(wù)提供商在承擔(dān)越來(lái)越多的安全責(zé)任的同時(shí),,也使企業(yè)安全團(tuán)隊(duì)更多地專注于應(yīng)用程序。為了能夠在這種多樣且快速變化的環(huán)境中提供可見(jiàn)性和安全性并增強(qiáng)現(xiàn)有的工具,,云服務(wù)提供商提供了日志,、API、原生代理以及一些其他技術(shù),,供企業(yè)安全團(tuán)隊(duì)使用,。

  2、具體技術(shù)措施

  有許多不同的措施來(lái)實(shí)現(xiàn)安全性,每種措施都有不同的權(quán)衡考量,,包括可見(jiàn)性和深入程度,、部署難易度、所需權(quán)限,、成本以及適應(yīng)規(guī)模等方面,。

 微信圖片_20210526114147.jpg

  (1)API和日志

  API和日志是探測(cè)云端賬戶并發(fā)現(xiàn)這些賬戶內(nèi)安全團(tuán)隊(duì)感興趣的異?;顒?dòng)的最佳措施,。使用這些機(jī)制可以輕易獲得各種賬戶數(shù)據(jù),且安全團(tuán)隊(duì)無(wú)需做更多的工作就可以對(duì)組織中眾多賬戶進(jìn)行跨賬戶訪問(wèn),。該措施提供了極大的可見(jiàn)性,,但需要輔以保護(hù)措施。

 ?。?)鏡像和快照分析

  鏡像和快照分析是一種很好的措施,,可以在應(yīng)用啟動(dòng)前和運(yùn)行中獲得更深度的工作負(fù)載數(shù)據(jù)。該措施可以對(duì)運(yùn)行中的系統(tǒng)的磁盤鏡像/快照進(jìn)行分析,,以檢測(cè)所有異常,、漏洞、配置事件等,??煺仗峁┝斯ぷ髫?fù)載的深度數(shù)據(jù),但可能無(wú)法檢測(cè)到內(nèi)存常駐問(wèn)題(memory resident issues),,如無(wú)文件惡意軟件(fileless malware),。此外,隨著我們轉(zhuǎn)向使用臨時(shí)工作負(fù)載,,定期分析快照可能作用有限,。此外,這個(gè)機(jī)制可能不適用于無(wú)法獲得磁盤快照的云服務(wù),。該措施提供了快照的深度數(shù)據(jù),,但需要輔以一些保護(hù)措施才能發(fā)揮作用。

 ?。?)原生Agent和腳本

  原生Agent和腳本是一個(gè)很好的措施,通過(guò)提供一個(gè)簡(jiǎn)單的方法來(lái)加強(qiáng)云原生Agent(如SSM)來(lái)實(shí)現(xiàn)更深層次的可見(jiàn)性和可控性,。根據(jù)功能原理,,這些Agent可以有很高的資源使用率。原生Agent的支持受限于云服務(wù)提供商提供的能力,,如操作系統(tǒng)支持/提供的功能,。在很多情況下,原生Agent運(yùn)行的命令會(huì)記錄所需的信息,,這意味著我們需要與日志記錄措施并行工作,。

 ?。?)DaemonSet和Sidecar容器

  DaemonSet和Sidecar容器是一種在容器和無(wú)服務(wù)(serverless)環(huán)境中輕松部署代理的方法。Sidecar允許每個(gè)pod運(yùn)行一個(gè)容器,,該容器可提供深度數(shù)據(jù),,但資源使用量和成本很高,因?yàn)槎鄠€(gè)sidecar會(huì)在一臺(tái)服務(wù)器上運(yùn)行,。Sidecar可以在容器無(wú)服務(wù)(Container Serverless)模型中工作,,而在這種模型下DaemonSet容器無(wú)法使用。由于Sidecar和DaemonSet的功能就像Agent一樣,,所以本文所提到的許多Agent限制也適用,。

  (5)Agent

  Agent通過(guò)與應(yīng)用程序一起運(yùn)行代碼,,提供了對(duì)應(yīng)用程序運(yùn)行環(huán)境的最深可見(jiàn)性和最佳可控性,。然而這種措施難以實(shí)現(xiàn),因?yàn)榘踩珗F(tuán)隊(duì)需要事先具備深入的主機(jī)發(fā)現(xiàn)能力,,才能部署這些Agent,。安裝Agent也存在阻力,因?yàn)樗仨氃诿颗_(tái)機(jī)器上運(yùn)行,,而安全團(tuán)隊(duì)沒(méi)有權(quán)限在每臺(tái)機(jī)器上運(yùn)行軟件,,尤其是在云環(huán)境中。根據(jù)所支持的用例,,該解決方案的資源使用和成本可能很高,。較新的技術(shù)(如擴(kuò)展伯克利包過(guò)濾器eBPF)可以減少Agent的資源占用,使其更容易被廣泛接受,。

 ?。?)內(nèi)置入鏡像/代碼

  內(nèi)置入鏡像/內(nèi)置入代碼的措施允許安全內(nèi)置到被部署的應(yīng)用程序鏡像中。這使得無(wú)需在每個(gè)工作負(fù)載上部署Agent即可完成安全功能的部署,。這種措施提供了應(yīng)用程序的深度可見(jiàn)性,,甚至適用于無(wú)服務(wù)(serverless)的工作負(fù)載。但由于必須在構(gòu)建過(guò)程中添加代碼,,因此代碼編譯時(shí)會(huì)增加巨大的阻力,,并且需要提供各種應(yīng)用語(yǔ)言的代碼庫(kù)。

  3,、總結(jié)

  每種安全措施都有其獨(dú)特的權(quán)衡,,由于不同團(tuán)隊(duì)使用的平臺(tái)各不相同,沒(méi)有一種措施可以滿足各種團(tuán)隊(duì)的所有需求,。

  隨著時(shí)間變化,,不同的云服務(wù)將會(huì)處于不同的成熟度水平。安全團(tuán)隊(duì)需要采取循序漸進(jìn)的方法,在服務(wù)采用周期的開(kāi)始階段選用易于集成的解決方案,,來(lái)提供安全性和可見(jiàn)性的基本防護(hù),。隨著服務(wù)上的應(yīng)用程序日漸成熟并且更多高價(jià)值的應(yīng)用程序逐漸上線,則需要提供更深入的發(fā)現(xiàn)和控制安全措施來(lái)對(duì)現(xiàn)有措施進(jìn)行補(bǔ)充,。

  沒(méi)有任何單一措施能夠滿足所有客戶用例,,任意時(shí)刻都會(huì)有不同的安全解決方案在發(fā)揮作用。我們正在走向一個(gè)安全措施更加多元化的世界,,必須結(jié)合使用這些措施來(lái)幫助保護(hù)企業(yè)安全,。



微信圖片_20210517164139.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。