目錄

什麼是雲端原生安全?

目錄

雲端原生安全是指一套專為雲端環境中建立與部署的應用程式所設計的安全實作與技術。這涉及到思維的轉換,從通常依賴網路安全性的傳統安全方法,轉變為更注重應用程式的方法,強調身分與存取管理、 容器 安全性與工作負載安全性,以及不斷地監控與回應。

在雲端原生安全方法中,安全從一開始就內建到應用程式和基礎架構中,而不是在事後才加入。這需要結合自動化安全控制、 DevOps 流程,以及能夠管理雲端環境複雜多變特性的熟練安全專業人員。雲端原生安全的目標是防範雲端環境特有的威脅和漏洞,同時也確保合乎規範性和標準。

 

雲端原生安全性說明

雲端原生技術讓傳統的軟體開發模式幾乎被淘汰,擺脫了單一應用程式架構的複雜性,並為現代開發管道帶來了翻天覆地的變化。這種新的模式有許多優點,但也帶來了一系列新的挑戰。其中,很少有像雲端原生安全問題一樣頑固、危險或複雜的。

幾乎所有雲端原生應用程式的安全性挑戰都可以追溯到雲端原生應用程式本身的性質:單片應用程式架構相對靜態,而雲端原生應用程式架構則高度動態。他們使用 容器無伺服器 功能,意味著雲端應用程式永遠都在縮小、擴充,在內部部署和外部部署之間移動,甚至在多個雲端平台之間跳躍。這導致許多安全挑戰。

瞭解雲端原生架構

微服務架構

微服務架構 是一種軟體開發方法,它將應用程式架構 為一系列小型、鬆散耦合的服務。每個微服務負責特定的業務能力,可以獨立開發、部署和大規模擴充。這種模組化的方式可讓雲端原生應用程式擁有更高的敏捷性、彈性和彈性。

從安全性的角度來看,微服務架構帶來的挑戰包括保障服務間的通訊安全、確保資料完整性,以及在敏感資料流經多個服務時加以保護。

容器化

容器化是將應用程式及其相依性封裝到稱為容器的輕量、隔離單元的過程。容器 可提供高效且一致的執行環境,讓應用程式在不同的基礎架構平台上一致地執行。容器也是可攜式的,讓應用程式更容易在不同環境之間移動,例如開發、測試和生產環境。但容器化也帶來了新的安全性挑戰,包括容器映像內的漏洞、容器隔離,以及安全容器協調的需求。

使用 Kubernetes 進行協調

Kubernetes 是廣泛採用的容器編排平台,可自動部署、大規模擴充和管理容器化應用程式。它提供了管理容器生命週期的強大 Framework,並確保維持應用程式的理想狀態。從安全性的角度來看,Kubernetes 提出了與群集安全性、存取控制和監控相關的挑戰。

 

雲端原生超越固定周界

過去,應用程式安全性團隊只需要保護在實體資料中心運行的固定數量伺服器,並使用硬體防火牆建立固定的周界。這在雲端原生應用程式中並不適用。安全性團隊無法在應用程式周圍建立靜態防火牆,因為該應用程式可能同時在內部和外部部署、跨多個雲端運作,而且前一天可能會擴充至數百萬個工作負載實例,後一天則可能會減少至只有數百個。

 

診斷困難

由於雲端原生應用程式架構具有彈性和複雜性,因此難以快速診斷任何特定安全異常或事件的原因。這對安全性團隊而言是一項挑戰,因為他們診斷和處理威脅的速度與他們用來處理威脅的特定工具同樣重要。

 

加速 DevOps 速度

現在,個別服務可以輕鬆下線、修改或更換,而不會影響應用程式的其他部分,因此 DevOps 團隊可以比過去更頻繁地推出新版本和更新。然而,安全性團隊曾經使用的手動佈建和政策管理流程已無法跟上現代的發行週期。

 

雲端原生安全的關鍵要素

在實作更有效的雲端原生安全性解決方案之前,安全性、作業與開發團隊必須瞭解 雲端原生安全性的關鍵要素。這些包括

  • 庫存和分類:要確保安全性作業團隊能夠清楚瞭解整個軟體堆疊中的潛在弱點,就必須對所有資產進行精確的清查和適當的分類。
  • 合規性管理:系統的設計應一致地執行產業和/或法律規範 (例如,標準配置、 安全最佳實務、可信賴登記冊的使用)。
  • 網路安全性:組織確保其資產和網路流量安全性的策略和佈建,必須包括分析所有網路流量,以維護網路中所有系統和資訊的機密性、完整性和可用性。
  • 身分與存取管理 (IAM) 安全性: IAM 安全性 是將雲端的資源限制給特定個人的做法。這包括存取治理、 特權監控 和以機器學習為動力的使用者實體行為分析 (UEBA) 等活動。
  • 資料安全:這涉及儲存資料的安全性,包括資料分類、 資料遺失防護和 雲端儲存的 惡意軟體掃描。
  • 弱點管理:識別和預防整個應用程式生命週期中的弱點,應包括不斷地監控雲端環境中的所有主機、影像和功能。
  • 工作量安全:保護放在雲端實體上的每個不同工作功能,可確保改善跨工作負載的能見度,也應包括弱點掃描和執行階段防護。
  • 自動調查和回應:安全工具最好能提供自動修復功能,並與安全作業中心 (SOC) 和票單整合,必要時也可使用第三方工具。

 

雲端原生-安全策略

最近出現了許多雲端原生安全策略,標榜有不同程度的成效。這些包括

  • 共同負責模式:共同責任模式中,雲端供應商負責保護底層基礎架構的安全,而客戶則負責保護自己的應用程式、資料和對雲端存取的安全。這個概念構成所有其他現代雲端原生安全策略的基礎。
  • 多層安全性:雲端服務一般由七層組成,包括設施、網路、硬體、作業系統、中介軟體、應用程式和使用者。多層安全性會監控每一層,以辨識風險並降低弱點。此方法可包括多種工具,例如 雲端感知防火牆和端 對端加密。但管理這些不同的工具可能會變得很麻煩。
  • 雲端相容的安全平台:這些平台是目前管理雲端原生安全性需求最有效的策略,可提供跨生態系統的能見度 (減少雲端廠商鎖定),並為負擔過重的安全性團隊簡化警示和工具。

 

雲端原生安全常見問題集

雲端原生應用程式面臨各種安全性風險,包括基於容器的漏洞、 不安全的 API、資料外洩、不安全的網路連線,以及雲端設定錯誤。這些風險可能導致資料遭竊、資料遺失、合規性違規,以及聲譽受損。
雲端原生安全與傳統安全方法的不同之處在於,它需要更動態的方法,以適應不斷變化的雲端環境本質。傳統的安全方法通常依賴於周界型防禦,而雲端原生安全則著重於 微區隔、零信任 (Zero Trust),以及不斷地監控與緩解。
保護雲端原生程式安全的最佳實作包括:實作強大的存取控制、實作安全的程式碼到雲端、使用加密來保護資料的存取和傳輸、定期修補和更新軟體、執行弱點掃描和滲透測試,以及不斷地監控可疑的活動。
雲端原生環境中常見的安全性工具與技術包括容器安全性平台、雲端存取安全中介 (CASB)、身分與存取管理 (IAM) 解決方案、網路安全性解決方案,以及日誌分析工具。不過,如今大多數組織已將其安全性解決方案合併到全面的程式碼到雲端 CNAPP中。
DevOps 將安全性融入整個應用程式開發與部署生命週期,在雲端原生安全性方面扮演關鍵角色。DevOps 團隊使用各種工具與流程,例如 基礎架構即程式碼持續整合與遞送,以及自動化測試,來建立安全性與彈性兼具的應用程式。
為確保雲端原生環境合規性與標準,組織應定期進行風險評估、實作安全控制與監控、執行稽核與評估,並記錄政策與程序。合規性也可以透過使用第三方認證和稽核來達成。

監控和偵測雲端原生環境中的安全性事件,需要使用日誌分析、入侵偵測與防禦,以及安全性資訊與事件管理 (SIEM) 等工具。這也包括實作安全事故的自動回應,以及定期進行事故回應測試和訓練。

進一步 瞭解雲端不可知安全平台 如何簡化您的安全策略。

相關內容
以 CNAPP 滿足整合式雲端原生安全的需求
許多組織對於雲端原生安全都採取被動的態度,往往被迫將問題當成一次性的問題來處理,而不是更全面地解決雲端安全問題。
雲端原生安全狀況報告
超過 3,000 位雲端安全與 DevOps 專業人士指出他們面臨的挑戰、處理方式,以及在過程中的心得。
雲端原生安全成熟度:使用安全推動軟體開發效率...
動態雲端原生環境與更快的軟體開發週期是新的常態。隨著這些快速的變化,也帶來了安全上的挑戰。組織需要雲端原生的安全解決方案。
雲端原生開發的五大風險
儘管雲端架構可提供應用程式的速度與敏捷性,但正在進行轉型的組織也了解到雲端原生開發也會帶來新的風險。學習 ...

取得最新資訊、活動邀請,以及威脅警示