作者| Drishti Shastri
Tradutor | Ele Zebian | Xu Veyron
Foto da capa | CSDN baixar o China visuais
Na era moderna, a rede da empresa e os riscos de segurança de dados nunca foi um marco como este. No entanto, o método convencional (método compreendendo a utilização operador nuvem público) são substancialmente idênticos.
O aumento das ameaças à segurança em nuvem e seu aplicativo nativo
Na era moderna, a rede da empresa e os riscos de segurança de dados nunca foi um marco como este. No entanto, o método convencional (método compreendendo a utilização operador nuvem público) são substancialmente idênticos.
medidas de resposta para prevenir a ameaça de ataque ao invés vez de lidar com a ameaça. Nuvem aplicações nativas têm recebido atenção crescente em todas as formas possíveis para questionar a sabedoria convencional.
A partir do desenvolvimento de infra-estrutura para os métodos tradicionais Application Stack e métodos mais modernos entre contraste gritante com base na nuvem, a maioria dos padrões e práticas foram alcançados com sucesso uma visão dominante: cultura DevOps, entrega contínua e arquitetura micro-service. segurança da nuvem nativa, por que não podemos re-imaginado? Onde estamos novas idéias ousadas nele?
É seguro dizer que, no decorrer da entrega de aplicações, a segurança dos nativa nuvem tem sido no acompanhamento a longo prazo. equipe de segurança de TI tradicional vai ser tratado como um próprio intermediário. Eles devem preencher corretamente o trabalho, ou enfrentar maiores riscos enfrentados pela agência.
Todos eles têm altas exigências de segurança em todos os processos, mas para atender a esses níveis leva tempo, testando e revisão. Porque iria retardar o desenvolvimento de aplicativos e muitas vezes não pode garantir a proteção integral, para que as equipes de desenvolvimento queixam-se frequentemente.
Quando as organizações querem melhorar e acelerar o ciclo de vida do aplicativo para melhorar aplicações de programação e de nuvem nativa, a segurança se tornará teste mais proeminente. A maioria dos aplicativos de nuvem executar nativo no novo modelo, estes modelos podem proporcionar não convencionais produtividade, flexibilidade e vantagens de custo.
Dev-ops usando desenvolvimento cloud DevSecOps nativas como mais um componente de segurança. DevSecOps tentar incorporar velocidade de segurança, agilidade e processo de entrega contínua. No entanto, se DevSecOps ignorando integração, processos de negócios e função de controle e a segurança dos utentes é baixo, pode ser difícil para proporcionar segurança em um sistema de entrega contínua.
Nuvem brechas nativas
Nuvem nativa certamente vulnerabilidades ocorrem. Nós somos seres humanos, e vai certamente cometer erros, especialmente no período dura e após a entrega do produto. Apesar de todos os avisos, sinais e notas, vamos fazer alguns erros de julgamento .
No processo de emissão de avisos, as pessoas continuam a cegamente copiando e colando a partir da troca de pilha, para encobrir o aplicativo encontrado no GitHub, ou mesmo aleatoriamente puxado de uma pasta sem noção código aleatório e pode única maravilha os autores acreditam que nunca conheceu ou mesmo falei com nenhum terceiro.
A natureza distribuída dos meios aplicações micro-serviço que, mesmo no caso de gravação interna todo o código, eliminando o risco de participantes de terceiros, diferentes componentes podem ser detidas por diferentes equipes.
barreiras de comunicação entre equipa pode causar uma série de questões, incluindo testes, garantia de qualidade, a falta de coordenação e de vulnerabilidades de aplicativos mesmo assentamento.
Uma única nuvem aplicativos nativos podem incluir muitos milhares de restante tarefas com base na dispersão. No centro de dados local, muitos nuvem pública, e data center borda pode ter uma estranha micro-serviços e, finalmente, no campo da organização, não podemos atualmente parecem desenvolvimento.
Cada colaborador e cada equipe sabe disso e aprender a resolver problemas diferentes. O que eles fazem é, portanto, desenvolver os seus conhecimentos e atenção. No ambiente de código interno, mesmo que todos os setores estão se proteger parte de um programa mais amplo, de alguma forma, micro-serviços também deve estar em contato com outros departamentos e comunicação de risco aqui ou vulnerabilidade.
Estas alegações todos os sons assustadores e assustadoras, mas o nativo nuvem não resolve alguma realidade muito complexa, não podemos mais ignorar a sua existência. À medida que continuamos a melhorar a sua segurança, cloud vulnerabilidades nativas são constantemente desenvolvidos e sempre existiu.
A principal ameaça para aplicações em nuvem nativas
Embora a empresa começou a experimentar as vantagens de aplicações cloud-natal, mas eles sabem pouco sobre os aspectos práticos da manipulação e manutenção de tais sistemas. Em comparação, em um ambiente em nuvem, a proteção das conseqüências se comparado com sistemas convencionais são muito diferentes? Como medidas e garantias de proteção afetá-lo?
A seguir são ambiente alguns dos maiores problemas de segurança baseado em nuvem:
1. Erro de configuração Nuvem
erro de configuração IaaS e armazenamento de dados em nuvem é a principal razão para algumas das violações nuvem de hoje mais devastadora e vazamento de dados. Se você deseja remover as configurações de segurança em nuvem estruturados, marcas genéricas, acesso ilimitado a determinados recursos ou por qualquer outra razão, erros de configuração pode levar a muitas ameaças desconhecidas que muitas vezes só vistos no jornal depois de um encontro constrangedor . O mais recente "2019 relatório de segurança na nuvem", disse que cerca de 40% das organizações acreditam plataforma de nuvem é o mal configurado o seu principal foco em segurança cibernética.
2. Gestão de Negócios de TI
Não se preocupe com o "shadow IT" ou "rogue TI". Não é exagero dizer que várias empresas irá adquirir infraestrutura marcada tendência, receberá operações dos clientes e serviço de nuvem ponte negócio chamado "gestão comercial de TI", criatividade e desenvolvimento, bem como o motor. "Harvey Nash / KPMG CIO 2019 pesquisa", disse o relatório, há mais de dois terços da empresa para as empresas para promover ou permitir o gerenciamento de TI. Isso ocorre porque a capacidade de fazê-lo indústria de concorrentes batida empresa aumentou em 52%, para prestar melhores serviços para melhorar a probabilidade de funcionários em 38% .
A preocupação é que, se não houver cooperação em profissionais de informação e de segurança de rede, estes ilha barreira de segurança em nuvem poderia se tornar uma grande organização. Essas empresas estão se desenvolvendo muito rápido, mas a pesquisa mostra que a probabilidade de riscos de segurança redundantes comprimento de onda é o dobro do último.
3. Compra nublados produtos
"Relatório Nuvem IUCN" mostra que a maioria das empresas dependem de uma variedade de nuvem fornecedores para compra de produtos nublados. Cerca de 66% da empresa providenciou nebuloso, em que cerca de 36%, dependendo mistura turva e sistemas híbridos.
Atualmente, devido à nuvem realmente queremos reduzir a ferramenta de escolha para todas as suas outras operações de processamento de negócios custos, proporcionando assim uma gama de cloud serviços de computação (SaaS, PaaS, IaaS) em nuvem para seus clientes. Nuvem fornece garantir seu contexto todo, resposta rápida e qualidade de serviço. No entanto, cada vez que o usuário não pode migrar de uma nuvem para outra nuvem quando ela vai custar para manter a QoS e escalabilidade. Para superar esta estrutura de computação nublado, é introduzido entre os recursos baseados em nuvem que compartilham a dinâmica do sistema. Em dispositivos nublados, a segurança é ainda uma questão mais complexa.
4. A arquitectura híbrido
De acordo com o famoso "Alliance Relatório de Segurança Cloud", cerca de 55% das organizações têm complexos, operações ambiente de cloud computing híbrido. O sistema fornece um excelente método para a transição gradual para a nuvem para grandes organizações, mas quando eles são difíceis de rastrear ativos e monitorar toda a arquitetura das muitas actividades ligadas nuvem híbrida, dá desafios de segurança. Na verdade, Firemon lançado previamente um relatório mostrou que 80 por cento das organizações estão desafiando limitações e complexidade da mistura de ferramentas de gestão de monitoramento de segurança e.
5. escuro Dados
Como a indústria de telecomunicações de fibra escura como dados escuras também se aplicam aos negócios e comércio. Há uma grande quantidade de dados inexplorado é principalmente regulamentada, eles são apenas não há nada, não fez nada.
Infelizmente, apesar da fibra escura clara é iluminada para representar a única vantagem de maior potência e largura de banda, mesmo se eles são identificados e ignorou os dados escuras pode haver um risco de segurança, independentemente de erros como eles aparecem na faixa de mão ou queda do usuário de usuários fora.
A maioria dos argumentos sobre os dados escuras tendem a se concentrar em valor potencial da organização e utilidade. Na verdade, disposto a gastar para o capital (dinheiro, equipamentos e tempo) para criar e utilizar o conhecimento organizacional e interesse dos dados bloqueados no escuro, essas perspectivas, sem dúvida, ser rentável. Isso também explica por que muitas empresas não planejam embora o trabalho em seu nome, mas recusou-se a nova troca no curto prazo ou nos detalhes escuros do processo de planejamento.
Como muitos do potencial atrativo de recursos de informação, as empresas também devem perceber que escuras ou escuras dados e dados de clientes e dados relativos às suas operações de nuvem escura, eles podem dar a sua saúde continuada e bem-estar em risco, além de seu controle direto e âmbito de gestão. De acordo com estudos recentes, 40% das organizações ainda em fase de planejamento ou políticas básicas de segurança relacionadas com o ambiente recipiente.
6. A disposição do recipiente e o recipiente
Se você desenvolver aplicações utilizando a embalagem ou na superfície de um aplicativo existente de fonte única (monolítico) do ecossistema para o recipiente, o recipiente deve entender o ambiente estranho trará ameaça à segurança. Desde o primeiro dia, você deve estar pronto para responder a estas ameaças. Comece a construir o seu próprio recipiente, o recipiente vai ser instalado e executado na indústria de transformação.
A seguir estão os de segurança mais comum corre o risco de recipientes:
marca Privilege : Mesmo aqueles que têm uma boa compreensão do recipiente também pode saber o significado do privilégio do recipiente. sinal privilegiado do navio pode executar praticamente qualquer servidor ação pode executar, executar e obter acesso a recursos de clientes. Isto significa que se um intruso entra um protegidas logos do grupo mim, eles podem ser danificados.
interação ilimitada : Para atingir seus objetivos, o recipiente deve interagir uns com os outros. No entanto, o número de contentores e serviços de contêiner e design micro-short normalmente significa que ele pode ser difícil de executar regulamentos de rede ou firewall em linha com o conceito de privilégios mínimos. No entanto, seu objetivo deve ser fazer recipiente só pode interagir necessário reduzir a superfície de ataque do recipiente.
Falta de isolamento : Segurança Container é uma faca de dois gumes. Além da curta vida e funcionalidade limitada, suas propriedades invariantes também oferecem uma variedade de vantagens de segurança. No entanto, o recipiente também pode ser utilizado para atacar o hospedeiro. Nós discutido anteriormente, esse perigo está presente em um recipiente com uma marca de privilégio. O anfitrião subjacente pode ser afetada por muitas outras ameaças mal configurada.
Garantir a segurança completa
Para acessar a segurança nativa da nuvem, é melhor não usar a tecnologia tradicional de segurança manual. Além disso, a fim de construir um DevSecOps bem-sucedidas, os departamentos de TI deve focar o pessoal de automação e segurança para a equipe DevOps. Por causa de suas micro-serviços pacotes de arquitetura na infra-estrutura do recipiente, para que possa expandir mais rápido do que as aplicações tradicionais de aplicativos baseados em nuvem. Acima significa que o método manual é muito lento para manter a segurança e automação é obrigatória. Os DevOps classificados equipe de segurança estabelecidas para garantir a segurança está incluída no código do aplicativo, em vez do problema de uma vez achei que ser modificado. Ele também pode acelerar e clarificar a resposta às perguntas.
Vamos falar sobre cinco pilares DevSecOps, estes pilares têm um potencial significativo para garantir a segurança da rede abrangente:
gasoduto implantação Security Compliance : ferramentas de análise, pipeline integrado e como a conformidade e auditoria em DevSecOps e gasoduto Cloud-Native Development.
Segurança e plataforma de conformidade nuvem : gerenciamento de identidade e acesso avaliação, medição e controle, proteção de infra-estrutura, proteção de dados e responder a eventos.
consistência Código : No processo de desenvolvimento de software, o cumprimento é considerado como o framework de código para garantir que a gestão, conformidade e mitigação de risco de quaisquer problemas.
Confidencial gestão da informação : gerenciar informações sigilosas, a chave eo certificado no modelo de negócio híbrido de nuvem baseada em nuvem.
privacidade Container : como se adaptar às políticas de segurança do recipiente, como ameaças de segurança de contêineres link e como rever e inspeccionar os navios modelo operacional.
Todos estes pilares são as áreas de foco, portanto, sempre e completamente aplicações empresariais seguras, e a necessidade de uma análise mais aprofundada. A fim de fornecer a implementação da visão intersectorial de cada pilar, todos pilar da governação horizontal. O modelo de governança é aplicável a cada pilar e pilar para garantir uma operação de maneira mutuamente benéfica.
Entrega Protegida : garantir suporte para aplicações e infraestrutura de nuvem estabilidade da plataforma, compliance e segurança.
Modo de segurança : desenvolver um local seguro e modelagem de ameaças a aceitação do cliente apoio à diversidade.
Proteção de Informações : garantir que os funcionários de ambos proteção de dados do cliente interno e externo.
avaliação de risco : uma análise de lacunas inclui a infra-estrutura de arquitetura atual, a estratégia de recipiente e em nuvem e aplicações.
Técnico cirurgia Change Log: criar um backlog execução tática ordenada, através da apresentação de resultados do projeto para promover um plano de roteiro e estratégia de implementação 3-6 mês.
A necessidade de novos protótipos de segurança
As estatísticas mostram que até 2021, 92% das empresas vão se tornar empresas de nuvem-natal.
Dito isto, geralmente a organização está lutando para construir um aplicativo US $ 5.000 e um sistema de segurança $ 5 para ela. Em segurança na nuvem, a segurança do mesmo ou um fator mais importante. Portanto, DevSecOps conceitos precisam ser implementadas o mais rápido possível e com seriedade.
DevSecOps em todas as fases do processo de desenvolvimento de aplicação são fornecidos conformidade e responsável pelas aplicações de design e instalação. Primeira equipe para avaliar a natureza ou entidade, e estabelecer procedimentos ou entidade em nome da equipe.
O primeiro passo é alocar uma ilha entre as equipes, a fim de garantir que todos são responsáveis pela proteção. Porque a equipe de desenvolvimento para construir aplicações para razões de segurança, portanto, Ops vai entregar software mais rápido e faz você se sentar e relaxar, porque eles entendem os desenvolvedores sabem estabilidade e proteção é essencial.
Na verdade, o processo deve ser realizada imediatamente verificações de segurança.
registros de servidor de mostrar que foi modificado, o que muda e quando fazer mudanças, que estão no processo de revisão para saber todos os fatos importantes. A maneira mais fácil de manter protegidos para garantir que o sistema está funcionando sempre as últimas atualizações de software. correções de segurança sem ter que gastar vários meses e deve ser rápido e automático. Da mesma forma, ao desenvolver novos recursos e API deve ser uma atualização potencial para evitar a estrutura de software para assumir a responsabilidade e evitar patch para evitar o colapso.
Quando você cria uma nuvem aplicações nativas, ainda não há uma única maneira de proteger o seu software de segurança. A fim de proteger os recursos do servidor de nuvem, você precisa de uma abordagem multifacetada. Para proteger o seu recipiente, você precisa tomar várias estratégias. Em última análise, você quer colocar no lugar lista de prioridades de segurança, você precisa de estratégia DevSecOps.
Ideal olhar quadro nativa segurança na nuvem como?
A fim de permitir a conversão com base na nuvem, as empresas precisam considerar os seguintes requisitos adicionais antes de projetar uma política de segurança:
Elevados padrões de automação de segurança : as operações de segurança de rotina com base em medidas preventivas não poderia fazer o sistema baseado em nuvem permanece dinâmica virtualmente ilimitado. Não é uma escolha de fluxo de trabalho manual. A demanda por segurança em nuvem é nativo para detectar automaticamente e sensibilidade em massa.
Design Caos : a arquitetura micro-service, muitos componentes de software em conjunto em tempo de execução pode ser usado para qualquer função. Do ponto de vista da segurança, o que significa que a lógica de detecção e controle não pode contar com o conhecimento prévio da segurança operacional. engenharia CAOS segurança na nuvem nativa deve incluir - eficiente e eficazmente executar o teste.
identificar rapidamente, cobrindo local e perseguido de rastreamento: o programa nativo é essencialmente uma nuvem aplicação de computação é atribuído. Neste ecossistema, em seguida, executar uma segurança global não podem ser facilmente selecionados. Então, você quer para determinar as medidas prioritárias, para que você possa identificar rapidamente as tendências antes da difusão de todo o sistema de currículo malicioso e cobrir impacto local. Embora suas decisões de segurança não são 100% exato, mas a operação local e recuperação rápida pode fornecer sistemas existentes mais compatíveis para você.
Então, sua solução de nuvem que deve ter segurança nativa? Em suma, vamos nos concentrar em recursos do compilador. O autor acredita que as principais funções são as seguintes:
visibilidade pilha mista e de apoio à decisão
No servidor, VM, bases de dados, software e serviços de API, mesmo que a distribuição do aplicativo, mas a curto prazo ainda é um recurso dinâmico e recipientes ainda precisa de visibilidade em nuvem e de apoio à decisão de dados nativo centro. Os dados sobre essas camadas diferentes deve ser obtido para o motor, para o processo de seleção em tempo real.
funções de resposta e de alerta rápido para limitar o raio de explosão
No caso de soluções de acidentes ou de segurança ataque para mitigar e controlar o impacto. Esse argumento é equivalente a rápida tomada de decisões e medidas de controle perspicazes, pode impedir comportamento malicioso antes que ocorram danos irreversíveis. No ambiente nativo nuvem, sistema de detecção inteligente pode ser totalmente reconhecer a presença de invasores e afetar o controle local.
Acompanhar de perto e investigar
Uma vez que todos os componentes distribuídos e serviços API, Nuvem o levantamento de cargas de trabalho de máquina de segurança pode ser muito complexo, de vigilância e de segurança investigações devem minimizar o impacto sobre o desempenho e os requisitos de armazenamento. Isto inclui o monitoramento de uma arquitetura centralizada, a rede não é o gargalo, e a carga de trabalho pode ser estendido.
Integração com ferramentas de automação
Os recipientes de carga de trabalho pode ser feita Kubernetes, OpenShift, Amazon ECS ou gestão Google GKE no ambiente nativo nuvem. Pode (opcionalmente) usar Fantoche, Ansible Chef ou realizada automaticamente implementado. ferramentas de segurança pode automaticamente ser implantado com a proteção de uma carga de trabalho, ambiente de nuvem deve ser integrado com o pré-requisito de tais componentes.
Para a primeira geração para substituir servidores físicos e máquinas virtuais, navio e aplicações orientada a eventos, a segurança deve encontrar o ponto de entrada certo para maximizar a visibilidade e reduzir o risco, permitindo que a criatividade ea contínua adaptação da complexidade do fornecimento de nuvem .
conclusão
ambiente geral para migrar do ambiente nativo nuvem realmente soa interessante, mas quando decidir fazê-lo, certifique-se de que todas as questões de segurança que possam surgir para avaliar, avaliar se há recursos suficientes e equipes para lidar com estas questões. E o mais importante, se você quer alcançar esta mudança, seu negócio pode realmente se destacar e crescer.
Esperemos que este artigo útil para você, e congratulamo-nos com a seção de comentários para discutir.
Leitura recomendada
☞ programa pequeno QQ micro-canal foi fechado por causa de irregularidades; grande chance da Microsoft em maiores botnets do mundo; Código VS 1,43 libertação | Geeks manchetes
☞ propaganda oficial! Ali em 5G, o estabelecimento da nova infra-estrutura laboratorial vigor XG
☞ tecnologia de ponta quest: processos e métodos de construção mapa do conhecimento
☞ na Alemanha Wuhan programador nas áreas afetadas: dados de download de manhã cedo, a obra velocidade de impacto
☞ vulnerabilidades e ameaças nuvem que nativa? Como é seguro nuvem nativa? Aqui está tudo o que você precisa saber!
Você olha para cada ponto, eu seriamente como favorita
