尊龙凯时

尊龙凯时
首页 > 更多内容 > 论路|云原生利用保 ;;;;て教ǖ姆⒄寡萁雎

论路|云原生利用保 ;;;;て教ǖ姆⒄寡萁雎

功夫:2021-05-19 浏览次数:18719 作者:尊龙凯时

RSAC 2021已于5月17日召开。。。。。受新冠疫情影响,,,,,,, ,本次会议初次选取线上大局同各人碰头。。。。。作为国际驰名的网络安全盛会,,,,,,, ,每年RSAC的召开都寓意着新的机遇与发力方向,,,,,,, ,而今年大会的主题“弹性”的提出也可谓是万受瞩目。。。。。

凭据今年的大会议题,,,,,,, ,我们梳理了尊龙凯时在各有关领域的建设思路与产品动态,,,,,,, ,供各人参考。。。。。我们也欢迎网络安全爱好者们与我们一路进行互换与探求,,,,,,, ,共同为网络安全行业的发展贡献力量。。。。。


一、媒介

云推算、大数据和人为智能的来临,,,,,,, ,上云已经成为组织数字化转型的必由之路。。。。。云原生作为云推算的下一个阶段,,,,,,, ,有关的开发和部署模式已经成为业界趋向,,,,,,, ,技术、产品、尺度和解决规划的生态系统也在同步扩张之中,,,,,,, ,决策者面对着跟进这些复杂设计的挑战。。。。。

云原生技术利用产生了新的云安全需要,,,,,,, ,CISO要在竞争强烈的云原生市场中确保业务安全。。。。。传统的防火墙、反病毒、服务器监控、终端检测响应和SIEM等安全产品,,,,,,, ,与云原生的适配性较好,,,,,,, ,容易部署上云。。。。。但工作负载安全、威胁检测、用户行为监控、合规与风险治理等安全产品,,,,,,, ,无法适应云原生技术的新安全需要,,,,,,, ,必要进行专门的沉新设计。。。。。

从前的几年,,,,,,, ,诞生了云工作负载保 ;;;;て教–WPP(CloudWorkload Protection Platform)、云安全态势治理CSPM(Cloud Security Posture Management)等云安全产品,,,,,,, ,对云原生安全的保 ;;;;げ锪顺烈饔谩!。。。但是,,,,,,, ,随着新利用场景的出现、技术的演化和市场的变动趋向,,,,,,, ,云原生利用保 ;;;;て教ǎ–loud-Native Application Protection Platform, CNAPP)的概想诞生,,,,,,, ,渐有统一CWPP和CSPM之势。。。。。本文将对CNAPP的发展演进脉络进行分析。。。。。

二、传统主机保 ;;;;て教

1、终端保 ;;;;て教

云原生利用法式保 ;;;;て教ㄗ畛醴⒃从谥斩吮; ;;;;て教ǎ‥ndpoint Protection Platform,,,,,,, ,EPP)。。。。。固然一些企业此刻仍在使用EPP产品作为保 ;;;;し务器工作负载的安全产品,,,,,,, ,但是EPP是面向物理终端设备(台式机、笔记本电脑和平板电脑等)的解决规划,,,,,,, ,不适合企业混合云场景下的工作负载保 ;;;;さ囊蟆!。。。

在这种场景下,,,,,,, ,基础架构是由本地服务器、虚构服务器以及公有云环境共同组成,,,,,,, ,重要的保 ;;;;ぶ副晔欠务器的工作负载。。。。。EPP产品的持续使用会使企业的数据和利用法式处在巨大的安全风险之钟祝。。。。传统的以数据中心、网络和终端为重要保 ;;;;ざ韵蟮陌踩硐牒筒,,,,,,, ,必要向混合云场景进行演进。。。。。

2、混合云场景下的云工作负载保 ;;;;て教

混合云的部署架构逐步被市场接受。。。。。为了满足混合云场景下的工作负载保 ;;;;,,,,,,, ,云工作负载保 ;;;;て教ǎ–loud Workload Protection Platform, CWPP)随之产生。。。。。CWPP最初(2016年)基于主机安全的解决规划进行界说,,,,,,, ,区别于EPP的PC维度,,,,,,, ,CWPP重要解决的问题在于数据中心维度。。。。。CWPP强调了混合数据中心架构必要统一的治理、Linux系统的沉点支持、杀毒软件的无效、定价矫捷性以及跟云平台的对接和API与DevSecOps的结合等等。。。。。

从技术角度来看,,,,,,, ,最主题的是跟云平台原生的对接,,,,,,, ,利用AWS或者Azure提供的接口来进行有关安全措施的处置。。。。。好比说通过VPC接口能够做到有关业务的微隔离,,,,,,, ,也能够通过网络流量日志来进行流量的安全分析。。。。。

2017年,,,,,,, ,CWPP增长了表部场景的云工作负载安全服务(WAF、Firewall和IPS等),,,,,,, ,进一步加强云工作负载的保 ;;;;ぁ!。。。并且,,,,,,, ,起头选取节造面的安全措施(IAM配置、网络配置以及治理员接见等)。。。。。

此表,,,,,,, ,容器的出现,,,,,,, ,使得用户无法对线上系统进行处置,,,,,,, ,安全措施必要前移到开发环节,,,,,,, ,并且运行时的利用节造和容器的锁定必要作为新的防御伎俩,,,,,,, ,云工作负载保 ;;;;ぜ芄顾嬷吮涠!。。。新架构要求对SDL流程的支持,,,,,,, ,与自动化CI/CD工具的结合,,,,,,, ,要求API能够矫捷挪用,,,,,,, ,将安全查抄前移。。。。。

3 混合多云场景下的云工作负载保 ;;;;て教

2018年,,,,,,, ,大部门组织起头在使用至少两个厂商的云推算服务。。。。。 ;;;;旌隙嘣频牟渴鸺茏槌晌谐〉闹髁鳌!。。。为了满足混合多云场景下云工作负载保 ;;;;,,,,,,, ,CWPP必要提供统一的安全战术治理,,,,,,, ,以削减企业的知识天堑。。。。。

同时,,,,,,, ,CWPP的治理必要自动化,,,,,,, ,从而更好地与DevSecOps相结合。。。。。例如,,,,,,, ,在自动化天生工作负载时,,,,,,, ,自动扮装置和配置有关的软件或安全战术。。。。。

此表,,,,,,, ,CWPP起头注沉机械进建技术对产品能力金字塔各个层面的加强作用。。。。。例如,,,,,,, ,对于微隔离层面,,,,,,, ,机械进建能够先进建和观察正常的情况,,,,,,, ,而后成立白名单,,,,,,, ,随着功夫的推移不休更新和建改战术以达到不用人为染指就可设置安全战术的状态。。。。。

然而,,,,,,, ,CWPP并不能解决Serverless推算方式所带来的安全问题,,,,,,, ,势必必要对工作负载的界说进行沉新和全面审视。。。。。因而,,,,,,, ,Gartner在2019年对工作负载的表延和内涵进行细粒度诠释,,,,,,, ,凭据抽象度的分歧分为物理机、虚构机、容器和Serverless。。。。。

这几种工作负载从虚构化水平到单元的计量再到性命周期都有很大的区别。。。。。能力金字塔因而产生了沉大变动。。。。。从原来的11个能力删减到8个能力,,,,,,, ,并且将最底层的“运维习惯”与“加固、配置与缝隙治理”进行了整合。。。。。删掉了“糊弄防御”能力,,,,,,, ,由于糊弄/蜜罐系统是单独产品提供。。。。。同时数据的静态加密大部门情况下都有云厂商提供,,,,,,, ,好比AWS的EBS加密和Azure的磁盘加密,,,,,,, ,因而“静态加密IaaS数据」剽个能力也从能力金字塔中删掉了。。。。。但是加强了对威胁检测和响应的要求,,,,,,, ,相当于要进建EDR的能力。。。。。

论路|云原生利用保;;;;て教ǖ姆⒄寡萁雎

2020年,,,,,,, ,CWPP能力金字塔进一步精简,,,,,,, ,文件加密和防病毒从其中移除。。。。。目前的能力,,,,,,, ,从最主题的起头,,,,,,, ,依照沉要性逐步递减的排序,,,,,,, ,蕴含八层:加固、配置和缝隙治理,,,,,,, ,基于身份的隔离和网络可视化,,,,,,, ,系统齐全性保障,,,,,,, ,利用节造/白名单,,,,,,, ,预防缝隙利用和内存治理,,,,,,, ,服务器工作负载行为监测、威胁检测和响应,,,,,,, ,主机防入侵和缝隙屏蔽,,,,,,, ,扫描恶意软件。。。。。

论路|云原生利用保;;;;て教ǖ姆⒄寡萁雎

 

三、云原生利用保 ;;;;て教


1、云原生利用保 ;;;;て教ǖ牟季 

首先,,,,,,, ,从安全市场角度来看,,,,,,, ,云原生技术持续深刻发展和宽泛遍及势必带来新的网络安全发展机缘,,,,,,, ,产生重大的网络安全需要,,,,,,, ,并推动云安全业务向纵深发展。。。。。

其次,,,,,,, ,从安全生态角度来看,,,,,,, ,安全产品的融合发展成为必然选择。。。。。CWPP在数据面对云工作负载进行保 ;;;;,,,,,,, ,CSPM在节造面对云工作负载进行保 ;;;;ぁ!。。。

值妥贴心的是,,,,,,, ,当前大无数的云安全事务都是配置谬误和管控失当引起的,,,,,,, ,凸显正确配置和合规的沉要性,,,,,,, ,节造面的安全变得越加沉要。。。。。数据面和节造面的云安全产品通过相互融合组成统一的解决规划,,,,,,, ,可能更好地保 ;;;;ざ嘣坪投嘧饣,,,,,,, ,云原生利用保 ;;;;て教ǎ–NAPP)由此产生。。。。。

最后,,,,,,, ,从云安全现实需要角度来看,,,,,,, ,混合多云仍将是组织和机构将来一段时期的基础架构。。。。。
但是,,,,,,, ,工作负载的粒度、性命周期以及创建方式产生了显著变动,,,,,,, ,云安全保 ;;;;ば枰票匾不岵涠!。。。

首先,,,,,,, ,组织在越来越多地选取容器和Serverless等技术进行云原生利用开发,,,,,,, ,工作负载的粒度越来越来越细,,,,,,, ,云原生安全保 ;;;;け匾视ぷ鞲涸亓6鹊谋涠!。。。

其次,,,,,,, ,容器和Serverless等大局的云原生开发的盛行,,,,,,, ,工作负载的性命周期越来越短,,,,,,, ,部署在这些工作负载上的恶意软件也出现出急剧变动的特点。。。。。传统的基于署名文件加载或反恶意软件扫描的方式无法实时响应,,,,,,, ,基于行为建模的规划也因无法网络足够案例变得失效。。。。。云原生安全保 ;;;;け匾视ぷ鞲涸氐男悦芷谠嚼丛蕉痰谋涠!。。。

最后,,,,,,, ,工作负载越来越通过镜像构建和代替,,,,,,, ,在向不变的基础设施转变。。。。。云原生安全保 ;;;;ね匾视φ庵直涠!。。。

2、云原生利用法式保 ;;;;て教ǖ闹匾氐

总的来说,,,,,,, ,CNAPP将会吸收CWPP和CSPM的能力,,,,,,, ,不仅必要把分歧的安全解决规划集成在一路,,,,,,, ,逾越分歧技术天堑执行一致的安全战术,,,,,,, ,提供统一的云原生保 ;;;;,,,,,,, ,还必要选取面向安全的架构设计(例如,,,,,,, ,零信赖),,,,,,, ,鉴别动态工作负载中的属性和元数据,,,,,,, ,自动化地保 ;;;;たⅰ洳肌⒉渴鸷驮擞日鲂悦芷凇!。。。

首先,,,,,,, ,CNAPP无疑仍将聚焦动态混合、异构多云架构场景下的工作负载保 ;;;;,,,,,,, ,沉点是跨分歧技术天堑执行一致的安全战术。。。。。

其次,,,,,,, ,CNAPP必要具备对所有粒度的工作负载进行保 ;;;;さ哪芰Α!。。。云原生利用必要虚构机、容器和无服务器PaaS组合起来提供服务,,,,,,, ,单一的工作负载保 ;;;;の薹ūU侠玫恼灏踩!。。。并且,,,,,,, ,随着工作负载的粒度和动态变动,,,,,,, ,CNAPP战术和产品也许必须动态适应、弹性伸缩。。。。。

 第三,,,,,,, ,CNAPP必要对开发、颁布、部署和运营等整个性命周期进行保 ;;;;ぁ!。。。此刻的CWPP重要关注工作负载运营阶段的保 ;;;;,,,,,,, ,不足对其他阶段的保 ;;;;ぁ!。。。CNAPP必要注沉基于基础设施的不变性进行保 ;;;;ぁ!。。。在开发阶段,,,,,,, ,使用安全测试来鉴别合规和配置的有关问题,,,,,,, ,为持续改进提供急剧、可操作的反馈流程。。。。。在颁布阶段,,,,,,, ,持续地对工作负载镜像(例如容器镜像)进行自动扫描和更新,,,,,,, ,预防遭逢缝隙、恶意软件、危险代码以及其它不当行为的侵害,,,,,,, ,确保所依赖的开源软件和第三方利用等软件供给链的安全。。。。。在部署时,,,,,,, ,对工作负载镜像的属性进行的验证(例如,,,,,,, ,署名、安全战术等)。。。。。

第四,,,,,,, ,CNAPP必要适应云原生开发的急剧迭代,,,,,,, ,基于CI/CD实现自动化。。。。。云原生钻营的性质指标是效能,,,,,,, ,CI/CD作为效能提升的沉要伎俩,,,,,,, ,是云原生的关键个性。。。。。云原生时期,,,,,,, ,不满足CI/CD自动化的安全产品,,,,,,, ,将粉碎云原生的价值,,,,,,, ,也就不能算作云原生安全保 ;;;;ぁ!。。。

第五,,,,,,, ,CNAPP必要沉点加强配置保 ;;;;ず秃瞎嫘圆槌芰Α!。。。云推算基础设施谬误配置带来的安全风险恶比攻破工作负载带来的安全风险更大。。。。。CSPM可能对云推算技术设施的配置和合规性进行持续评估和改进,,,,,,, ,CNAPP必要充分吸收CSPM的这种能力。。。。。 

第六,,,,,,, ,CNAPP需具备对云原生利用法式进行威胁检测和响应的能力。。。。。CWPP重要依赖于预防性节造,,,,,,, ,而CNAPP必要选取CARTA战术框架和自适应安全架构,,,,,,, ,对云原生利用法式以及有关工作负载的行为进行监控。。。。。

参考资料:[1]CWPP产品市场演进.安全内参.https://www.secrss.com/articles/9984

[2]CASB、CSPM、CWPP三大云安全工具利用场景详解.安全内参.https://www.secrss.com/articles/15597

[3]Gartner2020年十大安全项目详解.安全内参.https://www.secrss.com/articles/26342

[4]云原生带来的云安全机缘.安全内参.https://www.secrss.com/articles/23726 

返回
尊龙凯时
【网站地图】【sitemap】