安全狗云原生安全从1.X到2.X的演变之路（1）

随着云计算技术的蓬勃发展，传统上云实践中的应用升级缓慢、架构臃肿、无法快速迭代等“痛点”日益明显。能够有效解决这些“痛点”的云原生技术正蓬勃发展，成为赋能业务创新的重要推动力，并已经应用到企业核心业务。然而，云原生技术在创造效益的同时，却也面临着严峻的安全问题。当下常见的云原生安全产品在发挥效能的同时也引入新问题。作为数字经济时代下的特殊产物，云原生安全解决方案的未来与演进又该何去何从？

安全狗推出云原生安全2.X专题，用详实的系列文章为读者揭晓云原生安全的演进之路并分享落地实践经验。

IT架构质变

云原生应用各层之间的界限模糊

从IT架构的角度来看，云原生化最显著的特点就是云原生应用各层之间的界限模糊，如下图所示。通过解构云原生环境分层实验，可以显著的得出一个结论：应用程序层和基础设施层之间没有明确的界限。无论用户采用何种维度或方法，都无法将每种类型的资源整齐地分类到不同的层或其他层。

图1

在这种环境下，基础设施层在哪里停止？应用层从哪里开始？无法得知。有读者可能会争辩说容器是应用程序层的一部分，因为它们包含应用程序的代码。但是我们也可以提出同样等效的论点，即容器是云基础设施层的一部分，因为它们提供了运行应用程序代码的托管环境的一部分。

云原生安全1.X：

基于分层理念的单点安全堆叠

在单体应用架构时代，IT 安全模型还相对简单。它们被分成几层：基础设施层、应用层、网络层等等。每一层都与不同类型的风险相关联，每个专门的安全团队的任务是在每一层内实施必要的控制以应对这些风险。

从安全视角来看，云原生技术落地应用也催生了新的云原生安全基础设施。典型产品包括镜像安全、容器安全、网络微隔离、CSPM等等。这些产物的基本思路继承了以往单体应用时代IT安全模型分层的理念，每个产品专注于解决某个层面的风险与威胁。

这种基于分层理念的单点安全能力我们定义为云原生安全1.X。

图2

云原生安全1.X时代主要安全产品：

云原生安全1.0：

– 镜像安全

– 容器安全：容器安全防护平台等

– 网络安全：容器网络微隔离，或容器防火墙，主机网络微隔离等

– 宿主机安全：云工作负载安全（CWPP）

云原生安全1.0扩展（1X）：

– 应用安全

• CI/CD安全（DevSecOps）

• API安全

• Serverless

– 云安全态势（CSPM）

– 云基础设施权利管理 (CIEM)

– ... ...

笔者针对演进了近3年以上的云原生安全1.X方案和产品进行复盘总结，发现用户为出现的每个问题采用了独立的解决方案或工具，最终采用了一种引入更多问题的拼凑方法，例如：

单点解决方案导致更多的工作

管理越来越多的工具最终成为它自己的工作流程。而且由于大多数解决方案在没有更多工作的情况下无法相互通信，因此团队获得的可见性和保护有限。

无法应用一致的保护

数十种安全工具可以在应用程序生命周期的单个时间点执行检查。但是，如果没有跨开发、部署和运行时的一致控制，安全和风险团队就会陷入比较不同的漏洞和错误配置的结果。

分散造成盲点

大多数云安全团队需要跨云服务、工作负载或应用程序、网络、数据和权限分析威胁。如果没有统一的工具平台支持，解决方案之间衔接缝隙就会出现盲点。

因此云原生安全1.X势必要成为过去时。由于云原生架构和基础架构即代码 (IaC)等技术，以及应用程序安全性和基础架构安全性之间的界限变得越来越模糊，单点产品堆叠式解决方案推动安全团队考虑分层的安全风险和工具，并且如果只理解其中一层的风险，可能会加剧另一层中的风险，这样既增加安全负担，也无法形成联合发现与联合抵御的安全合力。

综合来讲，基于分层理念的单点能力组合式产品方案，与云原生在架构上各层之间的模糊化产生了结构性矛盾。

“云原生安全未来的演进路线是什么”的新问题也迎面而来，向我们发问。安全狗给出的答案是“一体化覆盖全栈安全”

由于应用程序安全性和基础设施安全性已经成为一体，云原生安全方案的实施应该识别和减轻整个堆栈风险的保护措施，云原生安全架构需要“一体化”，覆盖全栈安全需求的体系化思路重构。也就是将安全功能整合到一个单一、无缝的解决方案中，以保护整个云原生应用程序生命周期。这些集成功能使 DevOps、云基础设施和安全团队能够在复杂多变的云环境中有效且高效地实现成功的云原生安全。

“一体化”趋势：

从Gartner CWPP、CSPM到CNAPP模型

笔者进一步调研发现，朝“一体化”的演进路线发展想法其实也与Gartner的观点不谋而合的。Gartner近几年先后提出多个单点安全能力的云原生安全模型，包括：CWPP、CSPM、CIEM等模型。而最后提出的云原生应用保护平台(CNAPP)，是统领上述单点模型方案的单一整体平台。本质上，从安全架构的角度来看，Gartner CNAPP模型可以归纳为，覆盖全生命周期的五个安全一体化。

图3

图4

云原生安全2.X：

企业级“一体化”全栈安全架构

安全狗将云原生安全的未来，即，“一体化”全栈云原生安全模型方案，定义为云原生安全2.X。只要覆盖从代码到云的全栈整体安全，且满足五大安全一体化特征的云原生安全平台，则可称为云原生安全2.X产品方案。

图5

云原生安全2.X：

5+X一体化落地架构模型

作为安全狗在业界首次提出来的云原生安全2.X 概念，具体如何落地也吸引了很多用户的关注。

对此，安全狗提出了一个5+X一体化落地架构模型。其中5个安全一体化是基础，是必须要实现的内容，X代表扩展。

图6

本文主要分析并复盘了云原生安全1.0产品的不足之处以及局限性。通过对Gartner等咨询机构提出的前沿技术做出分析，并结合安全狗的云原生安全2.X落地经验总结出云原生安全的未来，即，云原生安全2.X及其落地模型。在下篇文章笔者将重点介绍云原生安全2.X的五大一体化特征内涵，敬请期待。

安全狗云原生安全从1.X到2.X的演变之路（1）相关推荐

安全狗云原生安全能力守护中国联通安全发展
10月14日,中国联通数字科技有限公司(以下简称"联通数科")发布了联通智慧安全终端卫士二期-主机容器终端安全组件招募结果公示. 作为国内云原生安全领导厂商,安全狗经过层层审核与筛 ...
护航“东数西算”工程 | 安全狗云原生安全能力亮相2022南京软博会
11月23日,2022中国(南京)国际软件产品和信息服务交易博览会(简称"2022南京软博会")下的"东数西算"助力数字经济协同发展论坛在南京国际博览中心顺利举 ...
安全狗云原生安全能力全面亮相全球数字经济大会暨ISC互联网安全大会
7月28日,由北京市人民政府.国家发展和改革委员会.工业和信息化部商务部.国家互联网信息办公室.中国科学技术协会主办的以"启航数字文明--新要素.新规则.新格局"为主题的2022全 ...
云原生与大数据、AIoT、开源的碰撞之路——专访小米崔宝秋
谈及当下技术领域的热词,必定有云原生.大数据.AIoT,不仅因为这些新兴技术拥有前所未有的创造力,更是因其中每一项技术都代表诸多未知的可能.而当这些技术相互碰撞时,将为软件发展.技术进步.城市升级带 ...
专访小米崔宝秋：云原生与大数据、AIoT、开源的碰撞之路
谈及当下技术领域的热词,必定有云原生.大数据.AIoT,不仅因为这些新兴技术拥有前所未有的创造力,更是因其中每一项技术都代表诸多未知的可能.而当这些技术相互碰撞时,将为软件发展.技术进步.城市升级带来 ...
安全狗核心产品入选《云原生产品目录》云原生安全实力备受认可！
6月17日,由中国信息通信研究院.中国通信标准化协会主办,中国通信标准化协会云计算标准和开源推进委员会承办,云计算开源产业联盟.云原生产业联盟.云原生计算基金会(CNCF)支持的第四届云原生产业大会 ...
安全狗陈荣有：打造“即开即用”的云原生安全能力
9月16日,以"数智赋能共创未来"为主题的中国信息通信业发展高层论坛在北京成功举办. 作为国内云安全CWPP领导厂商,安全狗此次也受邀作为演讲嘉宾出席此次活动. 此次活动上,安全 ...
聚焦云原生安全|安全狗云甲荣膺CSA 2022安全金盾奖
4月13日,第六届云安全联盟大中华区大会"年度颁奖典礼"表彰仪式顺利开展.作为国内云原生安全领导厂商,安全狗也收到邀请出席此次活动. 此次活动上,"年度颁奖典礼&quo ...
高校云原生安全该如何构建？
7月22日,由江苏京启承信息科技有限公司主办的南京高校数据安全和云原生安全主题沙龙圆满落幕. 作为国内云安全CWPP领导厂商,安全狗也作为特邀嘉宾出席活动现场,与现场多方网络安全专家.高校领导一同围绕 ...

安全狗云原生安全从1.X到2.X的演变之路（1）

安全狗云原生安全从1.X到2.X的演变之路（1）相关推荐

最新文章

热门文章