关于云原生:从积木式到装配式云原生安全-京东云技术团队

48次阅读

共计 2023 个字符,预计需要花费 6 分钟才能阅读完成。

云原生平安危险

随着云原生架构的疾速倒退,外围能力逐步稳固,平安问题日趋紧急。在云原生平安畛域岂但有新技术带来的新危险,传统 IT 基础设施下的平安威逼也仍然存在。要想做好云原生平安,就要从这两个方面别离进行剖析和解决。

新技术带来新的平安危险

云原生的概念定义自身就比拟形象,从诞生到当初也经验了屡次变动。2018 年 CNCF 对云原生的概念进行了重定义:云原生技术有利于各组织在私有云、公有云和混合云等新型动静环境中,构建和运行可弹性扩大的利用。云原生的代表技术包含容器、服务网格、微服务、不可变基础设施和申明式 API。尽管这是云原生概念最新的定义,然而不同的人对云原生的抽象概念了解相差很大,始终在一直地争执。广义的了解间接套用定义,认为定义之外的技术不属于云原生。狭义的了解则认为定义不够贴切,应该从字面含意进行了解,认为只有是能利用云的个性,在软件工程各阶段提高效率,降低成本的行为、技术,都能够认为是云原生。

从广泛认知来看,云原生次要包含 kubernetes 和容器、微服务、云基础设施,其中 kubernetes 和容器在某种程度上曾经是云原生的代名词。其中 kubernetes 和容器作为云原生时代的典型技术,也是带来危险最多的技术,包含:kubernetes 组件破绽、认证鉴权不标准、公开镜像存在破绽、镜像被植入恶意程序、容器隔离被冲破造成逃逸等。微服务在云原生时代疾速倒退,在外部危险无奈防备的时候会扩充平安危险,造成横向攻打扩散。

传统 IT 基础设施的威逼仍然存在

云原生不能脱离底层 IT 基础设施:计算、存储、网络而存在,因而这些 IT 基础设施面临的问题在云原生场景下仍然存在。DDoS 攻打防护、cc 攻打防护、破绽、木马、病毒、数据泄露等等平安危险,并没有因为云原生的倒退而升高。

云原生平安构建

在云原生平安晚期,人们的惯性思维就是利用传统的平安防护伎俩去进行云原生平安防护。通过这么多年的攻防反抗,传统产品在各自的畛域都曾经南征北战,解决对应的平安问题也都不在话下,这些平安产品通过简略地革新,就能够与云原生架构配合运行。

积木式云原生平安

这个阶段云原生平安并不存在一个残缺的架构,各平安产品就像搭积木一样跟云原生架构进行配合。随着这个平安体系的构建,工程师门很快就发现,平安并没有因为云原生的到来产生什么扭转,这种搭积木式的云原生平安计划,从远处看各方面的平安都能有,计划也很残缺。然而从近处看就能看到平安产品之间根本没有分割,应用起来并没有什么扭转,仿佛平安和云原生就是两个独立的畛域,无奈撑持云原生疾速倒退的平安防护需要。

装配式云原生平安

随着在云原生平安方向上的深入研究,人们发现平安 + 云原生并不是简略组合一下就能变成云原生平安。要想做好云原生平安,就必须依照云原生的思维去思考平安问题怎么解决,云原生平安应该是一个整体,而不是各个割裂的平安产品。Gartner 认为,全面爱护云原生利用须要应用来自多个供应商的多种工具,这些工具很少失去很好的集成,而且通常只为平安业余人员设计,而不是与开发人员单干。对于组织而言,这种孤立的平安工具在面对理论平安危险的并不太无效,而且会导致过多的警报、节约开发人员的工夫。在这种趋势下,Gartner 提出了 CNAPP 云原生利用爱护平台,将多种平安工具严密地联合在一起,以爱护日益简单的攻击面。

云原生的一个底层核心理念就是拆解、组合和标准化,这其实也是软件开发畛域一个软件工程师长期谋求的指标,行将业务逻辑和通用逻辑一直拆分,通用逻辑逐步独立标准化,开发人员只须要关注本身业务逻辑。kubernetes 从业务利用的角度将通用逻辑拆解,解决业务场景灵便多变的问题。不可变基础设施作为云原生定义的四大因素,是最容易被疏忽的,然而这个理念却是云原生可能继续倒退的外围,极大地升高了云原生的复杂度,将标准化施展到极致。这两个核心技术都是底层理念的体现。这个理念跟装配式修建非常相似,把传统建造形式中的大量工作转移到工厂进行,在工厂加工制作好修建配件(如楼板、墙板、楼梯、阳台等),运输到修建施工现场,通过牢靠的连贯形式在现场拆卸装置而成的修建。这种形式不仅修建速度快,工业化品质也有保障。

装配式云原生平安,就是依照云原生的核心理念,将各平安能力进行拆分、标准化革新、再组合。各平安能力不只是简略的重叠,通过云原生技术牢靠地连贯在一起,让每个业务利用从诞生开始,就具备适合的平安能力,实现公布即平安。相比积木式能力组合,这种形式能够让平安和业务实现深刻且自在地组合,造成灵便又牢靠的云原生平安。

利用依照工夫维度可分为开发、测试、部署、运行、响应,空间维度可分为主机、操作系统、kubernetes、容器、服务、网络,从这两个维度登程,将各种平安能力进行拆解和组合,通过对立的云原生平安平台进行治理,真正将平安和业务的各个阶段都能严密地连贯在一起,能力造成真正的云原生平安。

作者:京东科技 李卓嘉

起源:京东云开发者社区 转载请注明起源

正文完
 0