面向云原生環(huán)境的安全體系

根據(jù)云原生環(huán)境的構(gòu)成，面向云原生環(huán)境的安全體系可包含三個層面的安全體制，它們分別是容器安全、編排系統(tǒng)安全和云原生應(yīng)用安全，下面，我們逐步來講解這三點：

容器安全

容器環(huán)境，又或者是叫容器云，其本質(zhì)是云計算的一種實現(xiàn)方式，我們可以將其稱之為PaaS或者CaaS。容器技術(shù)是云原生體系的底層，因而容器安全也是云原生安全的基礎(chǔ)。近幾年來，隨著容器技術(shù)越來越多地被大家所青睞，容器安全也逐漸得到了廣泛的關(guān)注和重視，從事實的角度來講容器逃逸比虛擬機(jī)逃逸容易許多容器環(huán)境的安全是云原生安全的重中之重，容器層面的安全可以分為以下的幾個部分：

• 容器環(huán)境基礎(chǔ)設(shè)施的安全性，比如主機(jī)上的安全配置是否會影響到其上運(yùn)行的容器，主機(jī)上的安全漏洞和惡意進(jìn)程是否會影響到容器，容器上的進(jìn)程是否可以利用主機(jī)上的安全漏洞等
• 容器的鏡像安全，包括鏡像中的軟件是否存在安全漏洞，鏡像在構(gòu)建過程中是否存在安全風(fēng)險，鏡像在傳輸過程中是否被惡意篡改等
• 容器在運(yùn)行時的安全，比如運(yùn)行的容器之間是否存在隔離，隔離是否充分，容器與容器之間的通信是否安全，容器內(nèi)的惡意程序運(yùn)行時是否會影響到其他容器或者是宿主機(jī)的安全，容器使用資源的情況是否安全等等
• 整個容器的生態(tài)的安全性，比如Docker自身的安全性，Service Mesh/Serverless 對容器安全的影響，容器中安全密鑰的管理，容器化后的數(shù)據(jù)隱私保護(hù)等

除了物理安全，容器云環(huán)境的安全可以粗略分為兩個主要方面：一方面是容器云內(nèi)部的安全，包括宿主機(jī)安全、虛擬化安全、容器網(wǎng)絡(luò)的安全、管理平臺的安全以及數(shù)據(jù)安全等；另一個方面就是容器云內(nèi)外之間的網(wǎng)絡(luò)安全，也就是通常講的南北向網(wǎng)絡(luò)安全。

這樣，對于容器云的安全方案，可以分別從兩個方面進(jìn)行設(shè)計，對于南北向的網(wǎng)絡(luò)安全，可以通過安全資源池引流的方式，實現(xiàn)相應(yīng)的安全檢測與防護(hù)，這也是業(yè)界多數(shù)云安全解決方案的實現(xiàn)方式。對于容器云內(nèi)部的安全，可以通過相應(yīng)的容器安全機(jī)制實現(xiàn)。最后將這兩部分統(tǒng)一接入云安全集中管理系統(tǒng)，進(jìn)行統(tǒng)一的安全管理和運(yùn)營

編排系統(tǒng)的安全

容器技術(shù)和編排系統(tǒng)管理系統(tǒng)是云原生生態(tài)的兩大核心部分,容器技術(shù)負(fù)責(zé)執(zhí)行，編排系統(tǒng)負(fù)責(zé)控制和管理，共同構(gòu)成云原生技術(shù)有機(jī)體。Kubernetes 已經(jīng)成為事實上的云原生編排系統(tǒng)，那么Kubernetes 的安全就成為非常重要的編排安全部分。作為最流行的云原生管理和編排系統(tǒng)，Kubernetes具有強(qiáng)大的功能，但同時也具有較高的程序復(fù)雜性，也存在著一定的風(fēng)險性，列如容器基礎(chǔ)設(shè)施存在的風(fēng)險、Kubernetes組件接口存在的風(fēng)險、集群網(wǎng)絡(luò)存在的風(fēng)險、訪問控制機(jī)制存在的風(fēng)險、軟件自身存在的漏洞等

云原生的應(yīng)用安全

編排系統(tǒng)支撐著諸多微服務(wù)框架和云原生應(yīng)用，如無服務(wù)、服務(wù)網(wǎng)格等，這些新型的微服務(wù)體系也同樣存在各種安全風(fēng)險。例如，攻擊者通過編寫一段無服務(wù)的代碼獲得處在運(yùn)行無服務(wù)程序容器的Shell權(quán)限，進(jìn)而對容器進(jìn)行網(wǎng)絡(luò)滲透。云原生的應(yīng)用安全包括以下幾個方面，面向云原生應(yīng)用的零信任體系、云原生應(yīng)用的傳統(tǒng)安全機(jī)制、業(yè)務(wù)安全和API安全，雖然業(yè)務(wù)安全和API安全在Web時代就已經(jīng)存在，但在云原生的時代出現(xiàn)了新的特點文章來源地址http://www.zghlxwxcb.cn/news/detail-615029.html

到了這里，關(guān)于云安全攻防（三）之 面向云原生環(huán)境的安全體系的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！