云原生安全的全景和架构构建涉及从应用开发、运行到运维的全生命周期安全防护,是一种以应用为中心的安全体系构建方法。随着云原生技术的广泛应用,云原生带来的变革涉及统一基础平台、统一软件架构、统一开发流程三大方面,这使得容器成为标准的应用发布和运行格式,Kubernetes成为标准的应用运行平台。云原生的核心价值在于加速业务应用的进化,微服务架构成为云原生时代的标准应用架构,整个软件开发到运维的流程变得更为一体化,并贯穿软件全生命周期的自动化文化。
在云原生时代下,安全变革的主要因素包括应用运行环境边界的模糊化、应用内生性安全的凸显、数据访问安全及数据保护、以及机械化的应用安全管控与自动化软件开发流程间的矛盾。为应对这些变革,需要构建起以应用为中心的云原生安全体系,包括应用运行平台安全、容器层安全、Kubernetes安全、Linux安全、Docker镜像安全、容器运行时安全、安全容器技术以及节点、命名空间、配置和Secret、网络策略、RBAC、账户安全加固、文件权限加固、Iptables与seLinux、自动化漏洞补丁升级和情报驱动的自动化响应等方面。
应用架构安全方面,需关注微服务与Web层架构安全、应用中间件安全、微服务间的通信安全、以及ServiceMesh与应用服务安全。微服务架构的安全涉及网站请求伪造、Iframe风险、Redis缓存、网关安全、防止点击劫持、跨站脚本攻击、消息中间件安全等。ServiceMesh的引入带来了微服务流量限制、微服务间访问控制、HTTPS通信加密、流量动态可视化、流量可追踪、流量精细调整(染色技术)等安全特性。
应用开发流程安全增强机制涉及DevSecOps,即安全集成到开发流程中,包括开发产品需求、CICD、测试驱动安全、持续安全、安全管控及安全增强、安全监控及攻击应对。部署到IaaS上的客户云基础设施应用安全管理包括应用安全审计、业务操作日志记录、基于日志分析的入侵检测等。
数据安全方面,需要关注数据安全的三个要素:数据加密技术、数据脱敏技术、数据访问身份认证。同时,还需保障应用配置和密钥安全,包括应用配置中心安全防护、应用密钥安全保障等。微服务应用业务出口安全涉及ID授权管理及统一认证、访问策略、流控策略、应用访问监控等方面。
云原生安全展望包括新身份认证技术的发展,随着云原生技术的发展和云网融合后边界的变化,身份认证技术将面临新的挑战,需要从传统的人-机关系信息模型转变为更广泛的人与人之间、人-机之间、机与机之间的多维护信任关系。此外,云原生安全的未来趋势还包括数据为中心的安全体系进化、多云协同的综合性安全治理模式,其中数据的广泛流动、云间情报共享等将促进以应用为中心的安全体系演变为面向数据保护、数据访问保护的以数据为中心的安全体系。
