日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

云安全一直有兩個基本支柱：一是發(fā)現(xiàn)問題的可見性，另一個是有效修復(fù)威脅的能力。在理想情況下是以主動的方式進(jìn)行保護(hù)，這意味著在風(fēng)險被攻擊者利用之前降低風(fēng)險。自從十多年前一些企業(yè)開始將工作負(fù)載轉(zhuǎn)移到云平臺中以來，這兩個支柱都沒有改變。

創(chuàng)新互聯(lián)企業(yè)建站,10年網(wǎng)站建設(shè)經(jīng)驗，專注于網(wǎng)站建設(shè)技術(shù)，精于網(wǎng)頁設(shè)計，有多年建站和網(wǎng)站代運營經(jīng)驗，設(shè)計師為客戶打造網(wǎng)絡(luò)企業(yè)風(fēng)格，提供周到的建站售前咨詢和貼心的售后服務(wù)。對于網(wǎng)站制作、成都網(wǎng)站建設(shè)中不同領(lǐng)域進(jìn)行深入了解和探索，創(chuàng)新互聯(lián)在網(wǎng)站建設(shè)中充分了解客戶行業(yè)的需求，以靈動的思維在網(wǎng)頁中充分展現(xiàn)，通過對客戶行業(yè)精準(zhǔn)市場調(diào)研，為客戶提供的解決方案。

然而，企業(yè)實施云安全所需的工具和流程近年來發(fā)生了巨大的變化。隨著企業(yè)從由虛擬機(jī)驅(qū)動的基本云環(huán)境轉(zhuǎn)變?yōu)榉植际?、基于微服?wù)的云原生環(huán)境，在五到十年前采取的云安全策略如今已不能有效應(yīng)對威脅行為者。

如今，隨著云計算戰(zhàn)略和架構(gòu)的發(fā)展，確保云安全顯然至關(guān)重要。以下對云安全意味著什么以及企業(yè)應(yīng)遵循哪些最佳實踐來滿足云原生安全要求進(jìn)行了解釋。

從云安全到云原生安全

傳統(tǒng)云計算環(huán)境和云原生計算環(huán)境之間有著很大的區(qū)別。從廣義上講，傳統(tǒng)的云計算安全和云原生安全有很大的不同。

在傳統(tǒng)的云計算環(huán)境中，企業(yè)可以通過設(shè)置云計算防火墻和定義安全組來保護(hù)工作負(fù)載。企業(yè)通過將代理加載到收集日志和指標(biāo)的虛擬機(jī)上來實現(xiàn)安全可見性?？赡芤呀?jīng)使用云計算提供商的云原生安全工具(如Amazon GuardDuty或Microsoft Defender)來解釋該數(shù)據(jù)并檢測威脅。企業(yè)可能還定期審核其云計算IAM設(shè)置以檢測潛在的錯誤配置，甚至將一些安全操作工作交給托管安全服務(wù)提供商(MSSP)。

這些類型的工具和流程在云原生環(huán)境中仍然很重要。但是，僅靠它們還不足以應(yīng)對云原生工作負(fù)載環(huán)境中出現(xiàn)的獨特的安全挑戰(zhàn)。傳統(tǒng)的云計算安全無法滿足以下需求：

• 識別IaaS之外的風(fēng)險：云原生攻擊面超出了傳統(tǒng)的基礎(chǔ)設(shè)施和應(yīng)用程序。例如，Kubernetes RBAC配置錯誤可能會造成安全風(fēng)險，僅監(jiān)控虛擬機(jī)或應(yīng)用程序不會提醒用戶注意它們。
• 管理不斷變化的配置：現(xiàn)代的云原生環(huán)境可能包括數(shù)十個用戶和工作負(fù)載，有數(shù)千個訪問控制規(guī)則定義了誰可以做什么，并且其設(shè)置在不斷變化。在這種快速變化的動態(tài)環(huán)境中，定期審計不足以主動檢測威脅。
• 多云安全需求：當(dāng)企業(yè)需要保護(hù)跨多個云平臺運行的工作負(fù)載時，云計算供應(yīng)商提供的云原生安全工具在功能方面是不夠的。
• 糾正根本原因：知道存在風(fēng)險并不總是足以在復(fù)雜的云原生架構(gòu)中快速修復(fù)它。例如，檢測應(yīng)用程序中的代碼注入漏洞并不一定意味著企業(yè)可以快速將問題追溯到觸發(fā)它的特定微服務(wù)或代碼提交。

因此，雖然傳統(tǒng)的云安全仍然是云原生安全基礎(chǔ)的一部分，但它本身并不是一個完整的基礎(chǔ)。要全面保護(hù)云原生工作負(fù)載，企業(yè)需要擴(kuò)展現(xiàn)有的安全工具和流程來保護(hù)傳統(tǒng)云工作負(fù)載。

云原生安全最佳實踐

要實現(xiàn)云原生工作負(fù)載的完全安全性， 需要努力遵循以下實踐。

(1)將安全性融入開發(fā)管道

在云原生世界中，不要等到部署應(yīng)用程序后才考慮風(fēng)險。與其相反，通過將安全測試融入到持續(xù)集成(CI)/持續(xù)交付(CD)管道中，最大限度地提高在部署前發(fā)現(xiàn)和修復(fù)問題的機(jī)會。在理想情況下，企業(yè)將執(zhí)行一系列測試——從測試源代碼開始，然后在預(yù)生產(chǎn)環(huán)境中針對二進(jìn)制文件運行測試。

(2)超越代理

雖然基于代理的安全性可能足以保護(hù)虛擬機(jī)等簡單的云計算工作負(fù)載，但在某些情況下(例如，當(dāng)企業(yè)使用無服務(wù)器功能時)無法部署代理來實現(xiàn)安全可見性。

與其相反，企業(yè)需要通過確保其應(yīng)用程序公開檢測威脅所需的數(shù)據(jù)，而不依賴代理作為中介，從而在代碼本身中增加安全可見性。

(3)實施分層安全

云原生環(huán)境包括許多層，例如基礎(chǔ)設(shè)施、應(yīng)用程序、編排、物理和虛擬網(wǎng)絡(luò)等，因此需要確保每一層的安全。這意味著除了捕獲傳統(tǒng)的云安全風(fēng)險(如IAM錯誤配置)之外，還需要部署能夠檢測風(fēng)險的工具和安全分析流程，例如，通過配置Kubernetes部署的方式或從容器映像內(nèi)部檢測風(fēng)險。

(4)持續(xù)和實時審計

同樣，定期審核或驗證云計算配置不足以確保企業(yè)可以實時檢測和修復(fù)威脅。與其相反，應(yīng)該部署可以持續(xù)監(jiān)控所有配置并立即提醒注意風(fēng)險的工具。

(5)自動修復(fù)

在可能的情況下，還應(yīng)該部署可以立即隔離或緩解威脅的自動修復(fù)工具，而無需人工參與。這種方法不僅可以減輕企業(yè)對IT和安全團(tuán)隊的負(fù)擔(dān)，而且還允許盡可能快速和主動地修復(fù)漏洞。

文章名稱：針對不斷發(fā)展的云計算環(huán)境的云原生安全優(yōu)秀實踐
轉(zhuǎn)載來于：http://m.5511xx.com/article/codpijj.html