云原生安全技術(shù)和原理
隨著云計(jì)算技術(shù)的成熟和云計(jì)算系統(tǒng)的廣泛部署,上云成為了企業(yè)部署新業(yè)務(wù)的首選。同時(shí),各大云計(jì)算服務(wù)商的廝殺日益激烈,新的概念也層出不窮。近年來(lái),云原生計(jì)算(Cloud Native Computing)越來(lái)越多地出現(xiàn)在人們的視野中,那么云原生計(jì)算與傳統(tǒng)云計(jì)算相比有什么不同,能利用云原生計(jì)算解決什么問(wèn)題,本章我們將介紹云原生計(jì)算的概念和應(yīng)用場(chǎng)景。
來(lái)源:云原生安全技術(shù)報(bào)告(附下載)
……
近年來(lái),云計(jì)算的模式逐漸被業(yè)界認(rèn)可和接受。在國(guó)內(nèi),大多數(shù)利用開源或商業(yè)的 IaaS 系統(tǒng)構(gòu)建云計(jì)算平臺(tái),這種方式所帶來(lái)的好處是整體資源利用更加合理,集約式的運(yùn)營(yíng)降低成本,提升整體水平。但總體而言,這樣的上云實(shí)踐只是“形”上的改變,還遠(yuǎn)沒有到“神”上的變化。在上云實(shí)踐中,傳統(tǒng)應(yīng)用有升級(jí)緩慢、架構(gòu)臃腫、無(wú)法快速迭代等問(wèn)題,于是云原生的概念應(yīng)運(yùn)而生。云原生充分利用云計(jì)算彈性、敏捷、資源池和服務(wù)化等特性,解決業(yè)務(wù)在開發(fā)、集成、分發(fā)和運(yùn)行等整個(gè)生命周期中遇到的問(wèn)題。真實(shí)業(yè)務(wù)中出現(xiàn)的問(wèn)題,才是真正的“問(wèn)題”。
所以,我們認(rèn)為云計(jì)算下半場(chǎng)的開場(chǎng)哨已經(jīng)吹響,誰(shuí)贏得云原生的賽道,誰(shuí)才真正贏得了云計(jì)算。更為正式地,云原生計(jì)算基金會(huì)(Cloud Native Computing Foundation,CNCF)對(duì)云原生的見解 是“云原生技術(shù)有利于各組織在公有云、私有云和混合云等新型動(dòng)態(tài)環(huán)境中,構(gòu)建和運(yùn)行可彈性擴(kuò)展的應(yīng)用。云原生的代表技術(shù)包括容器、服務(wù)網(wǎng)格、微服務(wù)、不可變基礎(chǔ)設(shè)施和聲明式 API。這些技術(shù)能夠構(gòu)建容錯(cuò)性好、易于管理和便于觀察的松耦合系統(tǒng)。結(jié)合可靠的自動(dòng)化手段,云原生技術(shù)使工程師能夠輕松地對(duì)系統(tǒng)作出頻繁和可預(yù)測(cè)的重大變更。”在云原生應(yīng)用和服務(wù)平臺(tái)構(gòu)建過(guò)程中,容器技術(shù)憑借其輕隔離、易分發(fā)等特性和活躍強(qiáng)大的社區(qū)支持,成為了云原生等應(yīng)用場(chǎng)景下的重要支撐技術(shù)。無(wú)服務(wù)、服務(wù)網(wǎng)格等服務(wù)新型部署形態(tài)也在改變?cè)贫藨?yīng)用的設(shè)計(jì)、開發(fā)、部署和運(yùn)行,從而重構(gòu)云上業(yè)務(wù)模式。
云原生與云計(jì)算安全相似,云原生安全也包含兩層含義:面向云原生環(huán)境的安全和具有云原生特征的安全。
面向云原生環(huán)境的安全,其目標(biāo)是防護(hù)云原生環(huán)境中的基礎(chǔ)設(shè)施、編排系統(tǒng)和微服務(wù)的安全。這類安全機(jī)制,不一定具備云原生的特性(比如容器化、可編排),它們可以是傳統(tǒng)模式部署的,甚至是硬件設(shè)備,但其作用是保護(hù)日益普及的云原生環(huán)境。
一個(gè)例子是容器云(CaaS)的抗拒絕服務(wù),可用分布式拒絕服務(wù)緩解機(jī)制(DDoS Mitigation),而考慮到性能限制,一般此類緩解機(jī)制都是硬件形態(tài),但這種傳統(tǒng)安全機(jī)制正是保障了是面向云原生系統(tǒng)的可用性。此外,主機(jī)安全配置、倉(cāng)庫(kù)和鏡像安全、行為檢測(cè)和邊界安全等都是面向云原生環(huán)境的安全機(jī)制。
具有云原生特征的安全,是指具有云原生的彈性敏捷、輕量級(jí)、可編排等特性的各類安全機(jī)制。云原生是一種理念上的創(chuàng)新,通過(guò)容器化、資源編排和微服務(wù)重構(gòu)了傳統(tǒng)的開發(fā)運(yùn)營(yíng)體系,加速業(yè)務(wù)上線和變更的速度,因而,云原生系統(tǒng)的種種優(yōu)良特性同樣會(huì)給安全廠商帶來(lái)很大的啟發(fā),重構(gòu)他們的安全產(chǎn)品、平臺(tái),改變其交付、更新模式。
仍以 DDoS 為例,在數(shù)據(jù)中心的安全體系中,抗拒絕服務(wù)是一個(gè)典型的安全應(yīng)用,以硬件清洗設(shè)備為主。但其缺點(diǎn)是當(dāng) DDoS 的攻擊流量超過(guò)了清洗設(shè)備的清洗能力時(shí),無(wú)法快速部署額外的硬件清洗設(shè)備(傳統(tǒng)硬件安全設(shè)備的下單、生產(chǎn)、運(yùn)輸、交付和上線往往以周計(jì)),因而這種安全機(jī)制無(wú)法應(yīng)對(duì)突發(fā)的大規(guī)模拒絕服務(wù)攻擊。而如果采用云原生的機(jī)制,安全廠商就可以通過(guò)容器鏡像的方式交付容器化的虛擬清洗設(shè)備,而當(dāng)出現(xiàn)突發(fā)惡意流量時(shí),可通過(guò)編排系統(tǒng)在空閑的服務(wù)器中動(dòng)態(tài)橫向擴(kuò)展啟動(dòng)足夠多的清洗設(shè)備,從而可應(yīng)對(duì)處理能力不夠的場(chǎng)景。這時(shí),DDoS 清洗機(jī)制是云原生的,但其防護(hù)的業(yè)務(wù)系統(tǒng)有可能是傳統(tǒng)的。
雖然我們形式上將云原生安全分為了兩類安全技術(shù)路線,但事實(shí)上,如果要做好云原生安全,則必然需要使用“具有云原生特性的安全”技術(shù)去實(shí)現(xiàn)“面向云原生環(huán)境的安全”,因而兩者是互相融合的。
讓我們繼續(xù)以 DDoS 威脅為例,一方面可用性是整個(gè)云原生系統(tǒng)中重要的安全屬性,無(wú)論是宿主機(jī)、容器,還是微服務(wù)、無(wú)服務(wù)業(yè)務(wù)系統(tǒng),都需要保證其可用性;另一方面,在云原生系統(tǒng)中要實(shí)現(xiàn)可用性,在物理邊界側(cè)要構(gòu)建按需、彈性的 DDoS 緩解能力,在容器、微服務(wù)邊界側(cè)部署虛擬、彈性的 DDoS 機(jī)制,這就需要云原生的安全能力。兩者相輔相成,缺一不可。
要實(shí)現(xiàn)云原生安全,就需要首先評(píng)估云原生系統(tǒng)中的安全風(fēng)險(xiǎn)和相關(guān)威脅,設(shè)計(jì)具有針對(duì)性的安全機(jī)制;在此過(guò)程中,云原生系統(tǒng)的固有業(yè)務(wù)特點(diǎn),就要求安全廠商現(xiàn)有的安全能力云原生化。目前可預(yù)見的是,安全能力的云原生化,絕不是簡(jiǎn)單的將原有安全設(shè)備虛擬化或容器化,而是要按照部署要求進(jìn)行容器化,按照性能要求進(jìn)行輕量化,按照功能進(jìn)行拆分、微服務(wù)化,最后實(shí)現(xiàn)彈性、敏捷、輕量級(jí)等特性。
轉(zhuǎn)載申明:轉(zhuǎn)載本號(hào)文章請(qǐng)注明作者和來(lái)源,本號(hào)發(fā)布文章若存在版權(quán)等問(wèn)題,請(qǐng)留言聯(lián)系處理,謝謝。
推薦閱讀
更多架構(gòu)相關(guān)技術(shù)知識(shí)總結(jié)請(qǐng)參考“架構(gòu)師全店鋪技術(shù)資料打包”相關(guān)電子書(35本技術(shù)資料打包匯總詳情可通過(guò)“閱讀原文”獲取)。
全店內(nèi)容持續(xù)更新,現(xiàn)下單“全店鋪技術(shù)資料打包(全)”,后續(xù)可享全店內(nèi)容更新“免費(fèi)”贈(zèng)閱,價(jià)格僅收188元(原總價(jià)290元)。
溫馨提示:
掃描二維碼關(guān)注公眾號(hào),點(diǎn)擊閱讀原文鏈接獲取“架構(gòu)師技術(shù)全店資料打包匯總(全)”電子書資料詳情。
