云原生安全2.X 进化论系列|云原生安全2.X未来展望(4)
随着云计算技术的蓬勃发展,传统上云实践中的应用升级缓慢、架构臃肿、无法快速迭代等“痛点”日益明显。能够有效解决这些“痛点”的云原生技术正蓬勃发展,成为赋能业务创新的重要推动力,并已经应用到企业核心业务。然而,云原生技术在创造效益的同时,却也面临着严峻的安全问题。当下常见的云原生安全产品在发挥效能的同时也引入新问题。作为数字经济时代下的特殊产物,云原生安全解决方案的未来与演进又该何去何从?
安全狗推出云原生安全2.X专题,用翔实的系列文章为读者揭晓云原生安全的演进之路以及未来趋势。
在前面多篇文章中,安全狗云原生安全专家从云原生安全的演变之路(点此查看)、云原生安全2.X的五大特征(点此查看)、云原生安全2.X落地实操(点此查看)等多个方面详细地介绍了云原生安全的“过去”与“当下”。本篇将提炼前面几篇中提到的重点,并对于云原生安全的“未来”进行延展与“预测”。
一
云原生安全的“过去式”
01
云原生安全1.X
从安全视角来看,云原生技术落地应用也催生了新的云原生安全基础设施,典型产品包括镜像安全、容器安全、网络微隔离、CSPM等等。这些产品主要延续了以往单体应用时代IT安全模型分层的理念,每个产品专注于解决某个层面的风险与威胁。这样基于分层理念的单点安全能力定义为云原生安全1.X。
图1
02
云原生安全1.X的局限性
云原生安全1.X在实际安全运营过程中,带来一系列局限性,主要包括:单点能力堆叠的防护方式导致更加繁杂的管理工作,阻碍了可见性和安全防护的发展;数十种安全工具无法得到统一控制,漏洞和错误配置繁复;缺乏统一的工具平台支持,方案之间衔接安全盲点百出。
造成这些问题的深层原因,是基于分层理念的单点能力组合式产品方案,与云原生在架构上各层之间模糊化并产生了结构性矛盾。
二
云原生安全的“进行时”
01
云原生安全发展趋势
通过总结可以发现,Gartner近几年先后提出多个单点安全能力的云原生安全模型,包括:CWPP、CSPM)CIEM) 等模型。而Gartner最后提出云原生应用保护平台(CNAPP),是统领上述单点模型方案的单一整体平台,云原生安全的发展趋势逐渐呈现一体化。
图2
02
云原生安全2.X
云原生安全的未来,即,“一体化”全栈云原生安全模型方案,可定义为云原生安全2.X。覆盖从代码到云的全栈整体安全的,满足软件资产管理和安全一体化、环境安全一体化、网络层安全一体化、工作负载安全一体化、应用安全一体化等五大安全一体化特征的云原生安全平台,则可称为云原生安全2.X产品方案。
03
云原生安全2.X落地模型
云原生安全2.X是安全狗在业界首次提出的概念。在具体落地方面,安全狗也提出了5+X一体化落地架构模型,其中5个安全一体化是基础,是必须要实现的内容,X代表扩展
图3
三
安全狗云原生安全2.X云甲
01
云甲介绍
安全狗云原生安全解决方案(CNAPP)采用主机安全Agent和安全容器相结合的技术,既落地了“安全左移”的概念,又能对云原生容器做全面保护,同时能灵活地跟容器编排体系相结合,是云原生应用安全最佳实践。
安全狗云原生安全2.X通过将容器云平台通用安全能力下沉到“N合1”安全基座上,有效避免单品堆叠部署的局限性。一个Agent同时覆盖主机安全、容器安全、网络微隔离、多租户、安全策略联邦、云原生安全合规、资产精细化采集等云原生全栈安全需求,并且安全组件具有稳定、资源占用少、不影响业务等特点。同时可依托外联WAF、API安全网关和内联RASP虚拟补丁引擎形成“里应外合”一体化方案,有效赋能应用安全。可与容器云平台、数字化安全运营平台无缝衔接,数据共享和联防联抗,满足了安全集成协同需求。
02
云甲架构
安全狗云甲以安全大基座的方式支撑了资产管理与安全一体化、环境安全一体化、工作负载安全一体化、网络安全一体化的落地实现。
图4
四
云原生安全的“将来时”
结合对云原生安全过去与当下的剖析,笔者也对云原生安全的未来扩展应用方向进行了展望。
01
云原生“零信任”拓展
第1个扩展方向是云原生“零信任”扩展方案。一个个散落在云平台上的服务实例可类比为一个个散落在不同网络里远程接入的办公终端。基于这种类比,Google在2019年12月发表了BeyondProd白皮书,描述了一种基于零信任的应用于云原生的安全架构。这个图是Istio 实现云原生零信任的架构参考方案。云原生架构结合零信任安全架构可为研发团队和安全团队提供巨大的便利,使应用能够更安全地运行在生产环境中。
图5
02
云原生5G边缘计算拓展方案
第2个扩展方向是云原生5G边缘计算扩展方案。5G边缘计算节点分布在多个机房,涉及多个运营方和责任方,因而对安全提出了更高的要求,而当前主流的基于云资源池模式的边缘计算安全方案存在很大的局限性:
-
不能有效检测和防护新型无文件/无恶意软件云攻击,且安全组件自身资源缺乏管控
-
面向5G MEC的安全服务能力管理难以统一,MEC的分布式边缘节点众多,且资源有限
-
在5G MEC全栈安全能力和建设成本方面存局限性,边缘能力分散导致建设成本增加,难以在安全投入成本和安全能力提供之间平衡
-
客户对5G MEC数据不出园区的安全需求日益凸显,这就要求面向5G MEC的安全产品必须在复杂、多元的客户私有化环境中具备“灵活按需、能力全面、稳定成熟、成本可控”等诸多苛刻部署要求
笔者认为具备“威胁检测、访问控制和态势感知”能力的一体化“N合1”5G MEC云原生安全保护平台将成为新的发展方向。
图6
03
云原生蜜罐拓展方案
第3个扩展方向是云原生安全蜜罐。参考实现架构如下图所示。它克服了传统蜜罐因为成本、真实度等问题不能实现高覆盖的问题:
图7
-
一是蜜罐模拟环境统一部署在专用网络,与用户业务资产天然隔离,而且不同租户间的蜜网相互隔离,即使逃逸到主机也不影响真实业务资产;
-
二是将VPC网络中的黑洞流量导流至蜜罐,再通过策略配置,选择性响应。不占用用户主机、网络资源,以极低的成本大幅提覆盖率。
-
三是与运行在主机安全Agent共享资源,也就是主机安全Agent扩展一下,实现一种轻量级的非正常业务流量识别出来,引流到蜜罐集中,进一步提升蜜罐部署密度。
五
总结
只有对云原生安全全面了解了,才可以“数往知来”。只有明晰云原生安全的局限与优点,才能推陈出新。希望云原生安全2.X主题系列文章能为读者们“抛砖引玉”,集“星星之火”,推动我国云原生安全未来发展更上一层楼。
相关文章:
云原生安全2.X 进化论系列|云原生安全2.X未来展望(4)
随着云计算技术的蓬勃发展,传统上云实践中的应用升级缓慢、架构臃肿、无法快速迭代等“痛点”日益明显。能够有效解决这些“痛点”的云原生技术正蓬勃发展,成为赋能业务创新的重要推动力,并已经应用到企业核心业务。然而,云原生技…...
认识进程 -了解进程调度
前言 本篇通过介绍操作系统OS的重要功能,了解并发并行, 了解操作系统的一项重要功能 “进程管理” , 通过了解进程管理认识进程是操作系统资源分配的基本单位 ,如有错误,请在评论区指正,让我们一起交流,共同进步! 文章…...
第十届省赛——7外卖店优先级
题目:“饱了么”外卖系统中维护着N 家外卖店,编号1~N。每家外卖店都有一个优先级,初始时(0 时刻) 优先级都为0。每经过1 个时间单位,如果外卖店没有订单,则优先级会减少1,最低减到0;而如果外卖店…...
做自动化测试选择Python还是Java?
今天,我们来聊一聊测试人员想要进阶,想要做自动化测试,甚至测试开发,如何选择编程语言 前言 自动化测试,这几年行业内的热词,也是测试人员进阶的必备技能,更是软件测试未来发展的趋势。特别是…...
C#基础之基础语法(一)
总目录 文章目录总目录前言一、C#简述1 C#是什么?2 .Net平台3. C# 和.Net的关系4. 集成开发环境(IDE)二、控制台应用程序1. 常用代码2.注意事项三、基础语法1.编写C#代码注意事项2.C#注释2. 变量&标识符&关键字4. 变量,字…...
【JVM篇1】认识JVM,内存区域划分,类加载机制
目录 一、JVM内存区域划分 ①程序计数器(每个线程都有一个) ②栈:保存了局部变量和方法调用的信息(每一个线程都有一个栈) 如果不停地调用方法却没有返回值,会产生什么结果 ③堆(每一个进程都有一个堆,线程共享一个堆) 如何区分一个变量是…...
CHAPTER 5 文件共享 - FTP
文件共享 - FTP1 FTP1.1 传输方式1. ASCII传输方式2. 二进制传输模式3. 两种传输方式的区别1.2 支持的模式1. 主动模式(PORT)2. 被动模式(PASV)3. 如何选择4. 为什么绝大部分互联网应用都是被动模式?1.3 搭建FTP服务器(使用vsftpd)1. 安装软件…...
【MySQL】将 CSV文件快速导入 MySQL 中
【MySQL】将 CSV文件快速导入 MySQL 中方法一:使用navicat等软件的导入向导如果出现中文乱码方法二:命令行导入(LOAD DATA INFILE SQL)一般来说,将csv文件导入mysql数据库有两种办法: 使用 navicat、workbe…...
Ngnix安装教程(2023.3.8)
Nginx安装教程(2023.3.8)引言1、Nginx简介2、Nginx安装2.1 下载Nginx安装包2.2 免安装启动Nginx(切记解压后将nginx-1.23.3文件夹需要放在英文路径下,实测中文路径不识别且启动不成功)2.3 熟悉Nginx文件夹目录结构2.4 …...
【C语言】每日刷题 —— 牛客(2)
前言 大家好,继续更新专栏c_牛客,不出意外的话每天更新十道题,难度也是从易到难,自己复习的同时也希望能帮助到大家,题目答案会根据我所学到的知识提供最优解。 🏡个人主页:悲伤的猪大肠9的博客…...
关于算法的一些简单了解
文章目录ALGORITHMBASIC INFORMATIONBasic algorithm design technology穷举法分治法减治法动态规划法贪心法Algorithm design technology based on search回溯法分支限界法PRACTICECONCEPTCALATION*CODEprim&dijkstra&kruskal分治法Q&AT(n)T(n)T(n) 是渐进时间复杂…...
mysql无法启动服务及其他问题总结
文章目录1.安装后关于配置的问题显示【发生系统错误,拒绝访问】命令行Command Line Client闪退2.显示【MySQL服务无法启动】问题检查端口被占用删除data文件并初始化配置my.ini/.conf文件重新安装MySQL1.安装后关于配置的问题 显示【发生系统错误,拒绝访…...
数据库表字段命名规范
因为近期笔者在数据库命名规范上产生了一些疑问,故特此记录下来了一些开发规范,望做参考。 摘要: 当前研发工作中经常出现因数据库表、数据库表字段格式不规则而影响开发进度的问题,在后续开发使用原来数据库表时,也会…...
)
23种设计模式-命令模式(android应用场景介绍)
命令模式是一种行为设计模式,它允许将请求封装成一个独立的对象,并将请求的不同参数化。通过这种方式,命令模式可以在不同的请求间切换,或者将请求放入队列中等待执行。 在Java中,命令模式通常由一个抽象命令类和具体…...
vector你得知道的知识
vector的基本使用和模拟实现 一、std::vector基本介绍 1.1 常用接口说明 std::vector是STL中的一个动态数组容器,它可以自动调整大小,支持在数组末尾快速添加和删除元素,还支持随机访问元素。 以下是std::vector常用的接口及其说明…...
【C++进阶】四、AVL树(二)
目录 前言 一、AVL树的概念 二、AVL树节点的定义 三、AVL树的插入 四、AVL树的旋转 4.1 左单旋 4.2 右单旋 4.3 左右双旋 4.4 右左双旋 五、AVL树的验证 六、AVL树的性能 七、完整代码 前言 前面对 map/multimap/set/multiset 进行了简单的介绍,在其文…...
React 服务端渲染
React 服务器端渲染概念回顾什么是客户端渲染CSR(Client Side Rendering)服务器端只返回json数据,Data和Html的拼接在客户端进行(渲染)。什么是服务器端渲染SSR(Server Side Rendering)服务器端返回数据拼接过后的HTML,Data和Html…...
)
【算法设计-搜索】回溯法应用举例(1)
文章目录0. 回溯模板1. 走楼梯2. 机器走格子,但限定方向3. 中国象棋,马走日字4. 走迷宫5. 积木覆盖0. 回溯模板 搜索算法中的回溯策略,也是深度优先搜索的一种策略,比较接近早期的人工智能。毕竟,搜索是人工智能技术中…...
C++基础了解-23-C++ 多态
C 多态 一、C 多态 多态按字面的意思就是多种形态。当类之间存在层次结构,并且类之间是通过继承关联时,就会用到多态。 C 多态意味着调用成员函数时,会根据调用函数的对象的类型来执行不同的函数。 下面的实例中,基类 Shape 被…...
【GNN/深度学习】常用的图数据集(资源包)
【GNN/深度学习】常用的图数据集(图结构) 文章目录【GNN/深度学习】常用的图数据集(图结构)1. 介绍2. 图数据集2.1 Cora2.2 Citeseer2.3 Pubmed2.4 DBLP2.5 ACM2.6 AMAP & AMAC2.7 WIKI2.8 COCS2.9 BAT2.10 EAT2.11 UAT2.12 C…...
Vim 调用外部命令学习笔记
Vim 外部命令集成完全指南 文章目录 Vim 外部命令集成完全指南核心概念理解命令语法解析语法对比 常用外部命令详解文本排序与去重文本筛选与搜索高级 grep 搜索技巧文本替换与编辑字符处理高级文本处理编程语言处理其他实用命令 范围操作示例指定行范围处理复合命令示例 实用技…...
浅谈 React Hooks
React Hooks 是 React 16.8 引入的一组 API,用于在函数组件中使用 state 和其他 React 特性(例如生命周期方法、context 等)。Hooks 通过简洁的函数接口,解决了状态与 UI 的高度解耦,通过函数式编程范式实现更灵活 Rea…...
)
论文解读:交大港大上海AI Lab开源论文 | 宇树机器人多姿态起立控制强化学习框架(二)
HoST框架核心实现方法详解 - 论文深度解读(第二部分) 《Learning Humanoid Standing-up Control across Diverse Postures》 系列文章: 论文深度解读 + 算法与代码分析(二) 作者机构: 上海AI Lab, 上海交通大学, 香港大学, 浙江大学, 香港中文大学 论文主题: 人形机器人…...
大数据零基础学习day1之环境准备和大数据初步理解
学习大数据会使用到多台Linux服务器。 一、环境准备 1、VMware 基于VMware构建Linux虚拟机 是大数据从业者或者IT从业者的必备技能之一也是成本低廉的方案 所以VMware虚拟机方案是必须要学习的。 (1)设置网关 打开VMware虚拟机,点击编辑…...
汽车生产虚拟实训中的技能提升与生产优化
在制造业蓬勃发展的大背景下,虚拟教学实训宛如一颗璀璨的新星,正发挥着不可或缺且日益凸显的关键作用,源源不断地为企业的稳健前行与创新发展注入磅礴强大的动力。就以汽车制造企业这一极具代表性的行业主体为例,汽车生产线上各类…...
JDK 17 新特性
#JDK 17 新特性 /**************** 文本块 *****************/ python/scala中早就支持,不稀奇 String json “”" { “name”: “Java”, “version”: 17 } “”"; /**************** Switch 语句 -> 表达式 *****************/ 挺好的ÿ…...
浅谈不同二分算法的查找情况
二分算法原理比较简单,但是实际的算法模板却有很多,这一切都源于二分查找问题中的复杂情况和二分算法的边界处理,以下是博主对一些二分算法查找的情况分析。 需要说明的是,以下二分算法都是基于有序序列为升序有序的情况…...
【学习笔记】深入理解Java虚拟机学习笔记——第4章 虚拟机性能监控,故障处理工具
第2章 虚拟机性能监控,故障处理工具 4.1 概述 略 4.2 基础故障处理工具 4.2.1 jps:虚拟机进程状况工具 命令:jps [options] [hostid] 功能:本地虚拟机进程显示进程ID(与ps相同),可同时显示主类&#x…...
Python 包管理器 uv 介绍
Python 包管理器 uv 全面介绍 uv 是由 Astral(热门工具 Ruff 的开发者)推出的下一代高性能 Python 包管理器和构建工具,用 Rust 编写。它旨在解决传统工具(如 pip、virtualenv、pip-tools)的性能瓶颈,同时…...
Linux 内存管理实战精讲:核心原理与面试常考点全解析
Linux 内存管理实战精讲:核心原理与面试常考点全解析 Linux 内核内存管理是系统设计中最复杂但也最核心的模块之一。它不仅支撑着虚拟内存机制、物理内存分配、进程隔离与资源复用,还直接决定系统运行的性能与稳定性。无论你是嵌入式开发者、内核调试工…...