云原生时代,开发者如何构筑容器安全?
随着数字化转型进入“深水区”,云原生改变传统的开发模式,加快程序应用的开发、交付、运维效率,充分释放云价值。容器作为云原生的代表技术,正成为资源调度和编排的标准,有效帮助企业降低 IT 实施和运维成本。
据 CNCF 发布《2020 中国云原生调查报告》显示,容器持续迅猛增长,68% 的机构在生产过程中使用容器,比去年增长了 39%,比两年前增长 240%。如今 Kubernetes 的使用已无处不在,生产中使用 Kubernetes 的比例从去年的 72% 增长到 82%。
与此同时,我们不可忽略的是容器及容器环境存在一定的安全威胁,据青藤云安全《101文档:容器安全的关键指标》 容器安全需要关注构建环境安全、运行时安全、操作系统安全、编排管理安全等方面。
企业如何做好容器安全,从而建立更完善的云原生安全防护?对此,CSDN 采访到水滴公司安全专家常春峰,聊聊云原生安全的那些事儿。
破解安全“盲盒”
常春峰表示,云原生可降低 IT 成本和提升效率,不受跨平台影响。作为国内知名保险+健康服务科技平台,水滴公司从 2018 年开始尝试云原生安全实践的建设,从原来的虚拟主机安全,完整地经历了微服务化、容器化、服务网格化的建设,如今水滴公司的线上业务安全架构均实现了容器化落地。
在向云原生安全迁移的过程里并非一帆风顺,我们需要考虑的有:一是原有的非容器化(如风险识别、资产指纹的识别与分类分布,基础镜像等)安全能力是否能平移到容器化上;二是在容器化后,一旦容器出现安全问题,或者基础镜像存在漏洞后门等,如果没有相应的安全能力补充是很被动的,这情况类似于安全团队面对一个“盲盒”,需要将这个盲盒拆解了,运维和安全人员可以清晰地了解到这里头有哪些 IT应用资产、如何部署以及分布、现有的存在哪些问题、同时攻击可能从哪里来,如何及时发现和处置风险等问题。
在“盲盒”下,一旦线上出现安全风险,团队应急响应就会很被动:传统的方式基本靠人工,通常做法是在发现情报后,大家通过 IM 软件来拉群推动解决。这种方式有好处也有弊端,久而久之大家就麻木了。何况水滴公司的基础镜像有上万个,管理起来也具有一定的成本,站在ROI角度,招聘团队自研容器安全平台的产出相对较低。在此背景下,水滴公司选择青藤蜂巢·云原生安全平台,来解决上述的安全“盲盒”问题,让安全威胁可见。
蜂巢,一站式容器安全解决方案
常春峰表示,受疫情影响下,当前企业面临新的安全挑战,由于传统内外网的安全边界防护思路作用逐渐减弱,伴随着远程办公的常态化,企业自身的信息化和安全建设需要一站式的全局解决方案,保证安全和用户体验。未来数据安全将会是安全的主要趋势之一,企业自身的安全建设仍需要回归到安全基础设施建设上,我们需要有一个类似“数据地图”的安全平台,来管理和识别 IT 资产和部署分布,从而形成有效的联动机制,例如蜂巢等云原生安全产品。
青藤蜂巢·云原生安全平台是青藤自主研发的云原生安全平台,可集成到云原生复杂多变的环境中,如 Kubernetes、PaaS 云平台、OpenShift、Jenkins、Harbor、JFrog 等。通过提供覆盖容器全生命周期的一站式容器安全解决方案,青藤蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。
常春峰如此形容蜂巢平台“稳定安全”。蜂巢平台从全生命周期角度思考,帮助企业建立起安全资产“地图”,帮助企业理清安全资产、分布等需求,并提供镜像安全检查、容器运行风险检查等功能,将安全检查的能⼒以 API或者插件的形式集成到内部流程中去,打破开发运维和安全的⼈员之间的信息差。蜂巢可有效地帮助企业打造“看得清”“管得了”“防得住”“能融合”的安全平台。
安全的“木桶原理”
在分享企业安全建设心得时,水滴公司不仅在技术上建设云原生安全体系,在安全文化建设上,还会开设网络安全周,邀请各岗位的员工积极参与,学习基础安全技术知识和增强网络安全意识,同时聘请外部专业攻击队,与水滴公司一起开展攻防演练。
最后常春峰强调,安全最终还是要为业务服务,在安全于业务间取得平衡。但随着云原生的发展,传统的SDLC方式需要进一步升级,我们内部也在尝试 DevSecOps的方案实践。安全基线问题在时间管理四象限属于重要不紧急的范畴,在这个维度投入更多精力和时间,才更好的规避或是缓解更多的救火场面。归根到底,企业安全建设防护“木桶原理”同样适用,风险敞口不断的被收敛,对外的攻击面可以有效管控,安全团队才会更有信心。
嘉宾简介:常春峰,曾先后任职于奇虎360,58到家安全技术负责人和美团-摩拜安全专家,具有10年以上的甲乙方安全建设经验,北京航空航天大学MBA。2018年以联合创始人身份参与创业,在区块链金融方向领域,2019年加入水滴公司,经历了安全团队从0到1的建设,负责整体的信息安全建设工作。
云原生时代,开发者如何构筑容器安全?相关推荐
- 云原生时代,如何保证容器镜像安全?
目录 遵从最佳实践,编写 Dockerfile 选择合适的基础镜像 以非 root 用户启动容器 采用多阶段构建 选择来源可靠且经常更新的镜像 用安全的方式构建容器镜像 使用容器镜像扫描 和极狐 Gi ...
- 华为云MVP马超:云原生时代开发者的挑战与出路
嘉宾 | 马超 整理 | 黄文勤 出品 | CSDN云原生 当前,开发领域开始进入云原生时代.新的时代赋予开发人员便利的同时,也提出了诸多挑战. 2022年6月9日,在CSDN云原生系列在线峰会第 ...
- 云原生时代,谁是容器的最终归宿?
前言 "云原生技术有利于各组织在公有云.私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用.云原生的代表技术包括容器.服务网格.微服务.不可变基础设施和声明式 API.这些技术能够构 ...
- 云原生时代,为什么基础设施即代码(IaC)是开发者体验的核心?
作者 | 林俊(万念) 来源 |尔达 Erda 公众号 从一个小故事开始 你是一个高级开发工程师. 某天,你自信地写好了自动煮咖啡功能的代码,并在本地调试通过.代码合并入主干分支后,你准备把服务发布到 ...
- 为什么说容器的崛起预示着云原生时代到来?
摘要:聊云原生之前,我们不妨从容器技术说起. 近年来,云原生(Cloud Native)可谓是 IT 界最火的概念之一,且随着云计算普及进程的不断加深,有愈演愈烈的趋势.今天再谈云原生已经不是少数几个 ...
- 云原生时代下,容器安全的“四个挑战”和“两个关键”
作者 | 匡大虎 来源 | 阿里巴巴云原生公众号 云原生进程中的容器安全挑战 云原生的火热带来了企业基础设施和应用架构等技术层面的革新,在云原生的大势所趋下,越来越多的企业选择拥抱云原生,在 CNCF ...
- 快进键启动,一文带你了解云原生时代容器安全
简介: 分享阿里云容器安全的治理能力与经验,致力保护生产环境安全. 都说国内需求离容器化还远,更谈不上关注安全,喊的热闹而落地困难.但总得有些声音面向未来向前看. 在2020年Forrester Ia ...
- 传统开发被冲击得“七零八落”,云原生时代下开发者要如何自救?
整理 | 郑丽媛 出品 | CSDN(ID:CSDNnews) 当前,新一轮科技革命和产业变革正在重塑全球技术发展格局,传统开发模式开始变得难以满足企业产品业务快速迭代和升级需求,数字化转型已然成为大 ...
- 云原生时代到来 KubeSphere要让容器应用零门槛落地
如今,Kubernetes.DevOps.微服务.应用管理等已经给客户带来了太多认知上的负担,而KubeSphere要做的就是简化.简化.简化. 云计算技术应用的深入,云原生正在成为云计算2.0的发展 ...
- 云原生时代(五):Kubernetes与容器编排之战
上文我们主要介绍了容器和Docker,第五部分我们来讲Kubernetes与容器编排之战. 容器编排与Kubernetes 在单机上运行容器,无法发挥它的最大效能,只有形成集群,才能最大程度发挥容器的 ...
最新文章
- 传统企业如何在数字化时代实现进化?
- 操作系统(5) -- 输入/输出管理
- java 数据库插入数据_java向数据库插入N条数据
- 两数之和Python解法
- CentOS7下分布式文件系统FastDFS的安装 配置 (单节点)
- 04.卷积神经网络 W1.卷积神经网络
- JDK8 Stream操作整理
- web.xml文件书写规则
- CSS Grid中的陷阱和绊脚石
- 企业CIO都要知道的数据中台建设五步法,用友大神十二讲就搞定
- 深度学习论文阅读目标检测篇(四)中英文对照版:YOLOv1《 You Only Look Once: Unified, Real-Time Object Detection》
- 2022-2028年中国商业地产物业管理行业发展模式分析及市场需求预测报告
- JavaScript和jQuery的基础知识和使用
- 点阵屏HCMS-3977驱动
- DNS解析过程中不得不知道的那些事
- 百药食坊-团队项目开始介绍
- es6 语法,在 IE 中不兼容的处理办法
- pycharm笔记-动手学深度学习(李沐)微积分课后习题
- utf8转gb2312精简版
- 记一次微信公众号后台数据抓取