《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 實現(xiàn)云原生安全的具體技術措施對比

實現(xiàn)云原生安全的具體技術措施對比

2021-05-26
來源: 互聯(lián)網安全內參
關鍵詞: 云原生安全

  云服務提供商提供了日志、API、原生代理等多種技術,幫助安全團隊在整個應用堆棧中實現(xiàn)合規(guī)、可見和可控。

  在云環(huán)境中,安全責任由云服務提供商(CSP)和企業(yè)安全團隊共同承擔。為了幫助安全團隊在整個應用堆棧中實現(xiàn)合規(guī)、可見和可控,云服務提供商和安全供應商在不同層中增加了各種創(chuàng)新措施。在本文中,我們將比較這些措施,并為企業(yè)提供了思考這些措施的框架。

  1、概述

  云服務提供商正在以驚人的速度推出新服務,使企業(yè)應用程序開發(fā)人員能夠更快地為市場帶來新的商業(yè)價值。對于每一項新服務,云服務提供商在承擔越來越多的安全責任的同時,也使企業(yè)安全團隊更多地專注于應用程序。為了能夠在這種多樣且快速變化的環(huán)境中提供可見性和安全性并增強現(xiàn)有的工具,云服務提供商提供了日志、API、原生代理以及一些其他技術,供企業(yè)安全團隊使用。

  2、具體技術措施

  有許多不同的措施來實現(xiàn)安全性,每種措施都有不同的權衡考量,包括可見性和深入程度、部署難易度、所需權限、成本以及適應規(guī)模等方面。

 微信圖片_20210526114147.jpg

 ?。?)API和日志

  API和日志是探測云端賬戶并發(fā)現(xiàn)這些賬戶內安全團隊感興趣的異?;顒拥淖罴汛胧?。使用這些機制可以輕易獲得各種賬戶數(shù)據(jù),且安全團隊無需做更多的工作就可以對組織中眾多賬戶進行跨賬戶訪問。該措施提供了極大的可見性,但需要輔以保護措施。

 ?。?)鏡像和快照分析

  鏡像和快照分析是一種很好的措施,可以在應用啟動前和運行中獲得更深度的工作負載數(shù)據(jù)。該措施可以對運行中的系統(tǒng)的磁盤鏡像/快照進行分析,以檢測所有異常、漏洞、配置事件等??煺仗峁┝斯ぷ髫撦d的深度數(shù)據(jù),但可能無法檢測到內存常駐問題(memory resident issues),如無文件惡意軟件(fileless malware)。此外,隨著我們轉向使用臨時工作負載,定期分析快照可能作用有限。此外,這個機制可能不適用于無法獲得磁盤快照的云服務。該措施提供了快照的深度數(shù)據(jù),但需要輔以一些保護措施才能發(fā)揮作用。

 ?。?)原生Agent和腳本

  原生Agent和腳本是一個很好的措施,通過提供一個簡單的方法來加強云原生Agent(如SSM)來實現(xiàn)更深層次的可見性和可控性。根據(jù)功能原理,這些Agent可以有很高的資源使用率。原生Agent的支持受限于云服務提供商提供的能力,如操作系統(tǒng)支持/提供的功能。在很多情況下,原生Agent運行的命令會記錄所需的信息,這意味著我們需要與日志記錄措施并行工作。

 ?。?)DaemonSet和Sidecar容器

  DaemonSet和Sidecar容器是一種在容器和無服務(serverless)環(huán)境中輕松部署代理的方法。Sidecar允許每個pod運行一個容器,該容器可提供深度數(shù)據(jù),但資源使用量和成本很高,因為多個sidecar會在一臺服務器上運行。Sidecar可以在容器無服務(Container Serverless)模型中工作,而在這種模型下DaemonSet容器無法使用。由于Sidecar和DaemonSet的功能就像Agent一樣,所以本文所提到的許多Agent限制也適用。

 ?。?)Agent

  Agent通過與應用程序一起運行代碼,提供了對應用程序運行環(huán)境的最深可見性和最佳可控性。然而這種措施難以實現(xiàn),因為安全團隊需要事先具備深入的主機發(fā)現(xiàn)能力,才能部署這些Agent。安裝Agent也存在阻力,因為它必須在每臺機器上運行,而安全團隊沒有權限在每臺機器上運行軟件,尤其是在云環(huán)境中。根據(jù)所支持的用例,該解決方案的資源使用和成本可能很高。較新的技術(如擴展伯克利包過濾器eBPF)可以減少Agent的資源占用,使其更容易被廣泛接受。

 ?。?)內置入鏡像/代碼

  內置入鏡像/內置入代碼的措施允許安全內置到被部署的應用程序鏡像中。這使得無需在每個工作負載上部署Agent即可完成安全功能的部署。這種措施提供了應用程序的深度可見性,甚至適用于無服務(serverless)的工作負載。但由于必須在構建過程中添加代碼,因此代碼編譯時會增加巨大的阻力,并且需要提供各種應用語言的代碼庫。

  3、總結

  每種安全措施都有其獨特的權衡,由于不同團隊使用的平臺各不相同,沒有一種措施可以滿足各種團隊的所有需求。

  隨著時間變化,不同的云服務將會處于不同的成熟度水平。安全團隊需要采取循序漸進的方法,在服務采用周期的開始階段選用易于集成的解決方案,來提供安全性和可見性的基本防護。隨著服務上的應用程序日漸成熟并且更多高價值的應用程序逐漸上線,則需要提供更深入的發(fā)現(xiàn)和控制安全措施來對現(xiàn)有措施進行補充。

  沒有任何單一措施能夠滿足所有客戶用例,任意時刻都會有不同的安全解決方案在發(fā)揮作用。我們正在走向一個安全措施更加多元化的世界,必須結合使用這些措施來幫助保護企業(yè)安全。



微信圖片_20210517164139.jpg

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。