雲原生環境下的網絡安全怎麼治?
網絡安全的未來在雲端,這幾乎已經是不爭的事實。
伴隨越來越多的行業、領域企業開始將部分、乃至核心業務搬上雲端,因雲而生的應用、技術也得到越來越廣泛、成熟的落地,雲原生基礎設施不斷完善的同時,也迫切需要一套新的雲安全運維和治理手段,如CASB(雲訪問安全代理)、CSPM(雲安全配置管理)、CWPP(雲工作負載安全防護平台)、SASE(安全訪問服務邊緣模型)等新興雲安全技術已經出現。
據雷鋒網瞭解,“名詞定義磚家”Gartner在2020年定義了一個新技術應用CNAPP(Cloud-Native Application Protection Platform),即雲原生應用保護平台,通過融合CSPM和CWPP的功能,可掃描開發中的工作負載和配置如虛擬機、容器、無服務器等,以起到運行時保護作用。其優勢在於,具備強大自動化和編排能力,通過實現標準化和更深層次的防禦,以提高安全性;以及允許更頻繁地訪問工作負載。
下面就來看看CNAPP誕生的歷史背景和價值。
傳統意義上來講,雲安全大致有三個階段組成:一是CASB(Cloud Access Security Broker ),即用户和應用程序之間的檢查點;CSPM(Cloud Security Posture Management),即在測試和構建階段防止配置錯誤並支持合規性;CWP(Cloud Workload Protection),即涵蓋了應用程序的部署和操作。
但是,正是由於這些解決方案往往來自不同供應商(有時同一供應商也會出現類似情況)的獨立產品集成,會導致企業客户的IT團隊犯難,這導致團隊根本無法協同工作。這導致在雲端往往缺乏端到端的可觀測性,給網絡攻擊提供了利用的盲點。
為了應對雲原生帶來的種種安全挑戰,越來越多的組織正轉向新的安全技術棧,能夠將CSPM和CWP的優點融為一體。CNAPP雖然不算一個新穎的命題,但它正改變遊戲規則。
對於雲安全市場而言,CNAPP為從構建到運行時間的整個生命週期內雲基礎架構提供了最佳保護等級。
這種整合帶來了諸多好處:由於個人不再需要關聯來自不同分析平台的信息,因此技能集變得更容易,它減少了人為錯誤,提供了有關安全威脅的更多環境,並減少了在多個雲安全產品上的成本。這等於是在提供了更安全的雲環境的同時,減少了對已經過度緊張的IT團隊的需求。
對於客户而言,CNAPP解決方案有以下幾點優勢:一是將CSPM和CWP集成到一個100%雲原生管理控制枱中;二是它結合了機器學習、深度學習、攻擊指示器(IOA)、行為監測與分析的功能,並結合了威脅獵人,以提供持續的運行時保護;三是從端點到雲的端到端可觀測性;四是能夠為本地無服務器容器提供相同等級的保護。
針對雲原生應用程序的體系結構都需要採用自己獨特的安全性手段來實現對客户端的策略和控制。但隨着雲部署方式的迅速採用,許多組織仍在以來過時側策略來保護本地託管的網絡和相關資產。
保護雲原生環境的關鍵挑戰在於兩點:一是圍繞影子IT(總IT部門以外的部門部署的系統)的使用,由於組織在制定全面的安全策略之前採用和部署的解決方案而造成的“混亂”增加了問題複雜度;二是缺乏容器運行時保護。
如同買保險一樣,安全問題同樣也是防患於未然。正因如此,雲原生的安全性往往從開發的一刻就已經開始了。這種策略的優勢在於,不僅可以降低網絡風險,還能夠降低成本。據IBM系統科學研究所的説法,在設計極端解決安全問題的成本比實施過程少6倍,在測試過程中少15倍。
CI/CD作為DevOps的一個重要方面,在生產中得到了廣泛應用。而安全團隊應該將安全流程和工具嵌入到CI/CD中。這一點至關重要。
值得一提的是,知名安全解決方案供應商McAfee不久前就推出了這樣一款平台MVISION CNAPP。目前來看,經過整合後的McAfee MVISION已經具備了比較完整的雲安全能力。
Gartner所展望的正一步步變成現實。
(雷鋒網雷鋒網雷鋒網)