安全狗推出云原生安全2.X专题,用翔实的系列文章为读者揭晓云原生安全的演进之路以及未来趋势。
在前面多篇文章中,安全狗云原生安全专家从云原生安全从1.X到2.X演变之路(点此查看)、云原生安全2.X的五大特征(点此查看)、云原生安全2.X落地实操(点此查看)等多个方面详细地介绍了云原生安全的“过去”与“当下”。本篇将提炼前面几篇中提到的重点,并对于云原生安全的“未来”进行延展与“预测”。
从安全视角来看,云原生技术落地应用也催生了新的云原生安全基础设施,典型产品包括镜像安全、容器安全、网络微隔离、CSPM等等。这些产品主要延续了以往单体应用时代IT安全模型分层的理念,每个产品专注于解决某个层面的风险与威胁。这样基于分层理念的单点安全能力定义为云原生安全1.X。
图1
云原生安全1.X在实际安全运营过程中,带来一系列局限性,主要包括:单点能力堆叠的防护方式导致更加繁杂的管理工作,阻碍了可见性和安全防护的发展;数十种安全工具无法得到统一控制,漏洞和错误配置繁复;缺乏统一的工具平台支持,方案之间衔接安全盲点百出。
造成这些问题的深层原因,是基于分层理念的单点能力组合式产品方案,与云原生在架构上各层之间模糊化并产生了结构性矛盾。
通过总结可以发现,Gartner近几年先后提出多个单点安全能力的云原生安全模型,包括:CWPP、CSPM)CIEM) 等模型。而Gartner最后提出云原生应用保护平台(CNAPP),是统领上述单点模型方案的单一整体平台,云原生安全的发展趋势逐渐呈现一体化。
图2
云原生安全的未来,即,“一体化”全栈云原生安全模型方案,可定义为云原生安全2.X。覆盖从代码到云的全栈整体安全的,满足软件资产管理和安全一体化、环境安全一体化、网络层安全一体化、工作负载安全一体化、应用安全一体化等五大安全一体化特征的云原生安全平台,则可称为云原生安全2.X产品方案。
云原生安全2.X是安全狗在业界首次提出的概念。在具体落地方面,安全狗也提出了5+X一体化落地架构模型,其中5个安全一体化是基础,是必须要实现的内容,X代表扩展。
图3
安全狗云原生安全解决方案(CNAPP)采用主机安全Agent和安全容器相结合的技术,既落地了“安全左移”的概念,又能对云原生容器做全面保护,同时能灵活地跟容器编排体系相结合,是云原生应用安全最佳实践。
安全狗云原生安全2.X通过将容器云平台通用安全能力下沉到“N合1”安全基座上,有效避免单品堆叠部署的局限性。一个Agent同时覆盖主机安全、容器安全、网络微隔离、多租户、安全策略联邦、云原生安全合规、资产精细化采集等云原生全栈安全需求,并且安全组件具有稳定、资源占用少、不影响业务等特点。同时可依托外联WAF、API安全网关和内联RASP虚拟补丁引擎形成“里应外合”一体化方案,有效赋能应用安全。可与容器云平台、数字化安全运营平台无缝衔接,数据共享和联防联抗,满足了安全集成协同需求。
安全狗云甲以安全大基座的方式支撑了资产管理与安全一体化、环境安全一体化、工作负载安全一体化、网络安全一体化的落地实现。
图4
结合对云原生安全过去与当下的剖析,笔者也对云原生安全的未来扩展应用方向进行了展望。
第1个扩展方向是云原生“零信任”扩展方案。一个个散落在云平台上的服务实例可类比为一个个散落在不同网络里远程接入的办公终端。基于这种类比,Google在2019年12月发表了BeyondProd白皮书,描述了一种基于零信任的应用于云原生的安全架构。这个图是Istio 实现云原生零信任的架构参考方案。云原生架构结合零信任安全架构可为研发团队和安全团队提供巨大的便利,使应用能够更安全地运行在生产环境中。
图5
第2个扩展方向是云原生5G边缘计算扩展方案。5G边缘计算节点分布在多个机房,涉及多个运营方和责任方,因而对安全提出了更高的要求,而当前主流的基于云资源池模式的边缘计算安全方案存在很大的局限性:
-
不能有效检测和防护新型无文件/无恶意软件云攻击,且安全组件自身资源缺乏管控
-
面向5G MEC的安全服务能力管理难以统一,MEC的分布式边缘节点众多,且资源有限
-
在5G MEC全栈安全能力和建设成本方面存局限性,边缘能力分散导致建设成本增加,难以在安全投入成本和安全能力提供之间平衡
-
客户对5G MEC数据不出园区的安全需求日益凸显,这就要求面向5G MEC的安全产品必须在复杂、多元的客户私有化环境中具备“灵活按需、能力全面、稳定成熟、成本可控”等诸多苛刻部署要求
笔者认为具备“威胁检测、访问控制和态势感知”能力的一体化“N合1”5G MEC云原生安全保护平台将成为新的发展方向。
图6
第3个扩展方向是云原生安全蜜罐。参考实现架构如下图所示。它克服了传统蜜罐因为成本、真实度等问题不能实现高覆盖的问题:
图7
-
一是蜜罐模拟环境统一部署在专用网络,与用户业务资产天然隔离,而且不同租户间的蜜网相互隔离,即使逃逸到主机也不影响真实业务资产;
-
二是将VPC网络中的黑洞流量导流至蜜罐,再通过策略配置,选择性响应。不占用用户主机、网络资源,以极低的成本大幅提覆盖率。
-
三是与运行在主机安全Agent共享资源,也就是主机安全Agent扩展一下,实现一种轻量级的非正常业务流量识别出来,引流到蜜罐集中,进一步提升蜜罐部署密度。
只有对云原生安全全面了解了,才可以“数往知来”。只有明晰云原生安全的局限与优点,才能推陈出新。希望云原生安全2.X主题系列文章能为读者们“抛砖引玉”,集“星星之火”,推动我国云原生安全未来发展更上一层楼。