很明显,许多组织都在积极采用云。但问题是,他们是否完全了解云?他们知道如何保护云中构建的应用程序吗?与任何新兴技术一样,神话和神话自然而然地出现。在安全方面,即使是一个小失误也可能导致违规或网络攻击,从而使您的组织付出沉重代价。为了尽量减少发生这种情况的可能性,了解最常见的云原生安全误区和对策以确保您的组织避免不必要的风险是值得的。不要让云原生神话破坏安全性构建更强大的安全态势的第一步是教育:知道在云原生环境中不该做什么与??知道该做什么同样重要。本文旨在揭穿有关云原生安全性的最常见误解,并提供实用建议。误区1:云提供商负责所有安全措施许多组织认为,因为他们将应用程序托管在云服务提供商(CSP)上,所以CSP会提供所有安全措施,但事实并非如此。实际上,云服务提供商和组织共同承担安全责任。简而言之,CSP保护运行应用程序的基础设施,组织负责保护应用程序中的活动和数据。CSP确保他们运行的计算、存储和数据库服务是安全的。由于CSP是多租户的,许多应用程序共享同一台服务器,因此它们还在公司之间提供硬隔离。云提供商无法在组织的应用程序中实施安全措施。这是由于每个组织构建应用程序、使用存储空间和配置系统的独特方式——这意味着CSP不可能采用一种通用的解决方案来实现应用程序内安全。虽然一些提供商提供开箱即用的安全功能,例如AWSControlTower,但组织必须支付额外费用,并且仍然需要进行大量定制。所有使用云的组织都对其应用程序和部件(包括操作系统、源代码和数据)的安全负责。组织可以采取的最强大的安全措施之一是通过授权进行访问控制。授权确保用户和其他技术只能在需要时访问他们需要的系统和数据。让我们探讨一下授权是如何实现的。误区2:您可以在云原生环境中使用相同的本地安全措施组织常犯的另一个错误是试图将相同的安全措施从本地环境带到云端。基于边界的安全措施(例如防火墙和浏览器隔离系统)在云中不起作用,因为网络不再是可以通过在其周围设置障碍来保护的静态环境。相反,如果黑客闯入您的网络,您必须专注于保护您的数据安全。同样,这是访问控制和授权发挥作用的地方。然而,与基于边界的安全性一样,传统的本地访问控制措施不适用于云。由于微服务架构、容器化应用程序和应用程序编程接口(API),需要自己的授权策略和安全配置的单个组件激增。单点登录、SAML、OIDC和OAuth2等传统技术可以帮助您对应用程序进行身份验证,但不能进行授权,这仍然取决于您的开发人员。您应该在云原生环境中使用策略即代码。策略即代码意味着您应用标准软件工程实践来管理系统的规则和条件(版本控制、代码审查、自动化测试、持续交付等)。通过Policyascode,策略与应用云平台解耦,即可以在不改变应用代码的情况下改变策略。策略作为代码的解耦使团队更容易编写、扩展、监控、审计和协作策略。误区3:策略实施需要自定义解决方案最后一个误区源于这样一个事实,即创建自定义个人策略曾经是控制访问的唯一方法,但现在已不再如此。现有技术使组织能够跨许多云原生应用程序、服务和平台应用统一的授权策略。可以理解为什么组织仍然持有这种信念。软件开发通常依赖于创建一次性定制解决方案来解决问题,因为每个组织对系统和基础设施的配置都不同。多年来的授权政策也是如此。但在云原生环境中,由于独立组件的数量更多,以这种方式处理策略执行更加耗时、乏味且容易出错。与其为每组新的策略要求实施自定义解决方案,不如考虑将策略作为代码将策略决策与其余业务逻辑分开,并依靠其他技术来帮助您有效地利用和扩展跨云原生的统一授权堆。OpenPolicyAgent(OPA)是一种开源策略引擎,可让您将策略编写和验证为代码。Styra于2018年将其捐赠给云原生计算基金会,并于2021年达到毕业状态。OPA简化了政策制定和日常治理,因为组织可以在整个云原生技术堆栈中使用相同的语言和政策框架。策略是用Rego编写的,它专为在复杂的分层数据结构中表达策略而构建。因为它是开源的,所以有一个丰富的生态系统,组织可以在其中获得对开发人员友好的工具和集成,以及一个提供建议的从业者社区。原标题:揭穿三大云原生安全神话,作者:TorinSandall
