云原生安全2.X 进化论系列|云原生安全2.X未来展望(4)
随着云计算技术的蓬勃发展,传统上云实践中的应用升级缓慢、架构臃肿、无法快速迭代等“痛点”日益明显。能够有效解决这些“痛点”的云原生技术正蓬勃发展,成为赋能业务创新的重要推动力,并已经应用到企业核心业务。然而,云原生技术在创造效益的同时,却也面临着严峻的安全问题。当下常见的云原生安全产品在发挥效能的同时也引入新问题。作为数字经济时代下的特殊产物,云原生安全解决方案的未来与演进又该何去何从?
安全狗推出云原生安全2.X专题,用翔实的系列文章为读者揭晓云原生安全的演进之路以及未来趋势。
在前面多篇文章中,安全狗云原生安全专家从云原生安全的演变之路(点此查看)、云原生安全2.X的五大特征(点此查看)、云原生安全2.X落地实操(点此查看)等多个方面详细地介绍了云原生安全的“过去”与“当下”。本篇将提炼前面几篇中提到的重点,并对于云原生安全的“未来”进行延展与“预测”。
一
云原生安全的“过去式”
01
云原生安全1.X
从安全视角来看,云原生技术落地应用也催生了新的云原生安全基础设施,典型产品包括镜像安全、容器安全、网络微隔离、CSPM等等。这些产品主要延续了以往单体应用时代IT安全模型分层的理念,每个产品专注于解决某个层面的风险与威胁。这样基于分层理念的单点安全能力定义为云原生安全1.X。
图1
02
云原生安全1.X的局限性
云原生安全1.X在实际安全运营过程中,带来一系列局限性,主要包括:单点能力堆叠的防护方式导致更加繁杂的管理工作,阻碍了可见性和安全防护的发展;数十种安全工具无法得到统一控制,漏洞和错误配置繁复;缺乏统一的工具平台支持,方案之间衔接安全盲点百出。
造成这些问题的深层原因,是基于分层理念的单点能力组合式产品方案,与云原生在架构上各层之间模糊化并产生了结构性矛盾。
二
云原生安全的“进行时”
01
云原生安全发展趋势
通过总结可以发现,Gartner近几年先后提出多个单点安全能力的云原生安全模型,包括:CWPP、CSPM)CIEM) 等模型。而Gartner最后提出云原生应用保护平台(CNAPP),是统领上述单点模型方案的单一整体平台,云原生安全的发展趋势逐渐呈现一体化。
图2
02
云原生安全2.X
云原生安全的未来,即,“一体化”全栈云原生安全模型方案,可定义为云原生安全2.X。覆盖从代码到云的全栈整体安全的,满足软件资产管理和安全一体化、环境安全一体化、网络层安全一体化、工作负载安全一体化、应用安全一体化等五大安全一体化特征的云原生安全平台,则可称为云原生安全2.X产品方案。
03
云原生安全2.X落地模型
云原生安全2.X是安全狗在业界首次提出的概念。在具体落地方面,安全狗也提出了5+X一体化落地架构模型,其中5个安全一体化是基础,是必须要实现的内容,X代表扩展
图3
三
安全狗云原生安全2.X云甲
01
云甲介绍
安全狗云原生安全解决方案(CNAPP)采用主机安全Agent和安全容器相结合的技术,既落地了“安全左移”的概念,又能对云原生容器做全面保护,同时能灵活地跟容器编排体系相结合,是云原生应用安全最佳实践。
安全狗云原生安全2.X通过将容器云平台通用安全能力下沉到“N合1”安全基座上,有效避免单品堆叠部署的局限性。一个Agent同时覆盖主机安全、容器安全、网络微隔离、多租户、安全策略联邦、云原生安全合规、资产精细化采集等云原生全栈安全需求,并且安全组件具有稳定、资源占用少、不影响业务等特点。同时可依托外联WAF、API安全网关和内联RASP虚拟补丁引擎形成“里应外合”一体化方案,有效赋能应用安全。可与容器云平台、数字化安全运营平台无缝衔接,数据共享和联防联抗,满足了安全集成协同需求。
02
云甲架构
安全狗云甲以安全大基座的方式支撑了资产管理与安全一体化、环境安全一体化、工作负载安全一体化、网络安全一体化的落地实现。
图4
四
云原生安全的“将来时”
结合对云原生安全过去与当下的剖析,笔者也对云原生安全的未来扩展应用方向进行了展望。
01
云原生“零信任”拓展
第1个扩展方向是云原生“零信任”扩展方案。一个个散落在云平台上的服务实例可类比为一个个散落在不同网络里远程接入的办公终端。基于这种类比,Google在2019年12月发表了BeyondProd白皮书,描述了一种基于零信任的应用于云原生的安全架构。这个图是Istio 实现云原生零信任的架构参考方案。云原生架构结合零信任安全架构可为研发团队和安全团队提供巨大的便利,使应用能够更安全地运行在生产环境中。
图5
02
云原生5G边缘计算拓展方案
第2个扩展方向是云原生5G边缘计算扩展方案。5G边缘计算节点分布在多个机房,涉及多个运营方和责任方,因而对安全提出了更高的要求,而当前主流的基于云资源池模式的边缘计算安全方案存在很大的局限性:
-
不能有效检测和防护新型无文件/无恶意软件云攻击,且安全组件自身资源缺乏管控
-
面向5G MEC的安全服务能力管理难以统一,MEC的分布式边缘节点众多,且资源有限
-
在5G MEC全栈安全能力和建设成本方面存局限性,边缘能力分散导致建设成本增加,难以在安全投入成本和安全能力提供之间平衡
-
客户对5G MEC数据不出园区的安全需求日益凸显,这就要求面向5G MEC的安全产品必须在复杂、多元的客户私有化环境中具备“灵活按需、能力全面、稳定成熟、成本可控”等诸多苛刻部署要求
笔者认为具备“威胁检测、访问控制和态势感知”能力的一体化“N合1”5G MEC云原生安全保护平台将成为新的发展方向。
图6
03
云原生蜜罐拓展方案
第3个扩展方向是云原生安全蜜罐。参考实现架构如下图所示。它克服了传统蜜罐因为成本、真实度等问题不能实现高覆盖的问题:
图7
-
一是蜜罐模拟环境统一部署在专用网络,与用户业务资产天然隔离,而且不同租户间的蜜网相互隔离,即使逃逸到主机也不影响真实业务资产;
-
二是将VPC网络中的黑洞流量导流至蜜罐,再通过策略配置,选择性响应。不占用用户主机、网络资源,以极低的成本大幅提覆盖率。
-
三是与运行在主机安全Agent共享资源,也就是主机安全Agent扩展一下,实现一种轻量级的非正常业务流量识别出来,引流到蜜罐集中,进一步提升蜜罐部署密度。
五
总结
只有对云原生安全全面了解了,才可以“数往知来”。只有明晰云原生安全的局限与优点,才能推陈出新。希望云原生安全2.X主题系列文章能为读者们“抛砖引玉”,集“星星之火”,推动我国云原生安全未来发展更上一层楼。
相关文章:

云原生安全2.X 进化论系列|云原生安全2.X未来展望(4)
随着云计算技术的蓬勃发展,传统上云实践中的应用升级缓慢、架构臃肿、无法快速迭代等“痛点”日益明显。能够有效解决这些“痛点”的云原生技术正蓬勃发展,成为赋能业务创新的重要推动力,并已经应用到企业核心业务。然而,云原生技…...

认识进程 -了解进程调度
前言 本篇通过介绍操作系统OS的重要功能,了解并发并行, 了解操作系统的一项重要功能 “进程管理” , 通过了解进程管理认识进程是操作系统资源分配的基本单位 ,如有错误,请在评论区指正,让我们一起交流,共同进步! 文章…...

第十届省赛——7外卖店优先级
题目:“饱了么”外卖系统中维护着N 家外卖店,编号1~N。每家外卖店都有一个优先级,初始时(0 时刻) 优先级都为0。每经过1 个时间单位,如果外卖店没有订单,则优先级会减少1,最低减到0;而如果外卖店…...

做自动化测试选择Python还是Java?
今天,我们来聊一聊测试人员想要进阶,想要做自动化测试,甚至测试开发,如何选择编程语言 前言 自动化测试,这几年行业内的热词,也是测试人员进阶的必备技能,更是软件测试未来发展的趋势。特别是…...

C#基础之基础语法(一)
总目录 文章目录总目录前言一、C#简述1 C#是什么?2 .Net平台3. C# 和.Net的关系4. 集成开发环境(IDE)二、控制台应用程序1. 常用代码2.注意事项三、基础语法1.编写C#代码注意事项2.C#注释2. 变量&标识符&关键字4. 变量,字…...

【JVM篇1】认识JVM,内存区域划分,类加载机制
目录 一、JVM内存区域划分 ①程序计数器(每个线程都有一个) ②栈:保存了局部变量和方法调用的信息(每一个线程都有一个栈) 如果不停地调用方法却没有返回值,会产生什么结果 ③堆(每一个进程都有一个堆,线程共享一个堆) 如何区分一个变量是…...

CHAPTER 5 文件共享 - FTP
文件共享 - FTP1 FTP1.1 传输方式1. ASCII传输方式2. 二进制传输模式3. 两种传输方式的区别1.2 支持的模式1. 主动模式(PORT)2. 被动模式(PASV)3. 如何选择4. 为什么绝大部分互联网应用都是被动模式?1.3 搭建FTP服务器(使用vsftpd)1. 安装软件…...

【MySQL】将 CSV文件快速导入 MySQL 中
【MySQL】将 CSV文件快速导入 MySQL 中方法一:使用navicat等软件的导入向导如果出现中文乱码方法二:命令行导入(LOAD DATA INFILE SQL)一般来说,将csv文件导入mysql数据库有两种办法: 使用 navicat、workbe…...

Ngnix安装教程(2023.3.8)
Nginx安装教程(2023.3.8)引言1、Nginx简介2、Nginx安装2.1 下载Nginx安装包2.2 免安装启动Nginx(切记解压后将nginx-1.23.3文件夹需要放在英文路径下,实测中文路径不识别且启动不成功)2.3 熟悉Nginx文件夹目录结构2.4 …...

【C语言】每日刷题 —— 牛客(2)
前言 大家好,继续更新专栏c_牛客,不出意外的话每天更新十道题,难度也是从易到难,自己复习的同时也希望能帮助到大家,题目答案会根据我所学到的知识提供最优解。 🏡个人主页:悲伤的猪大肠9的博客…...

关于算法的一些简单了解
文章目录ALGORITHMBASIC INFORMATIONBasic algorithm design technology穷举法分治法减治法动态规划法贪心法Algorithm design technology based on search回溯法分支限界法PRACTICECONCEPTCALATION*CODEprim&dijkstra&kruskal分治法Q&AT(n)T(n)T(n) 是渐进时间复杂…...

mysql无法启动服务及其他问题总结
文章目录1.安装后关于配置的问题显示【发生系统错误,拒绝访问】命令行Command Line Client闪退2.显示【MySQL服务无法启动】问题检查端口被占用删除data文件并初始化配置my.ini/.conf文件重新安装MySQL1.安装后关于配置的问题 显示【发生系统错误,拒绝访…...
数据库表字段命名规范
因为近期笔者在数据库命名规范上产生了一些疑问,故特此记录下来了一些开发规范,望做参考。 摘要: 当前研发工作中经常出现因数据库表、数据库表字段格式不规则而影响开发进度的问题,在后续开发使用原来数据库表时,也会…...
23种设计模式-命令模式(android应用场景介绍)
命令模式是一种行为设计模式,它允许将请求封装成一个独立的对象,并将请求的不同参数化。通过这种方式,命令模式可以在不同的请求间切换,或者将请求放入队列中等待执行。 在Java中,命令模式通常由一个抽象命令类和具体…...

vector你得知道的知识
vector的基本使用和模拟实现 一、std::vector基本介绍 1.1 常用接口说明 std::vector是STL中的一个动态数组容器,它可以自动调整大小,支持在数组末尾快速添加和删除元素,还支持随机访问元素。 以下是std::vector常用的接口及其说明…...

【C++进阶】四、AVL树(二)
目录 前言 一、AVL树的概念 二、AVL树节点的定义 三、AVL树的插入 四、AVL树的旋转 4.1 左单旋 4.2 右单旋 4.3 左右双旋 4.4 右左双旋 五、AVL树的验证 六、AVL树的性能 七、完整代码 前言 前面对 map/multimap/set/multiset 进行了简单的介绍,在其文…...

React 服务端渲染
React 服务器端渲染概念回顾什么是客户端渲染CSR(Client Side Rendering)服务器端只返回json数据,Data和Html的拼接在客户端进行(渲染)。什么是服务器端渲染SSR(Server Side Rendering)服务器端返回数据拼接过后的HTML,Data和Html…...
【算法设计-搜索】回溯法应用举例(1)
文章目录0. 回溯模板1. 走楼梯2. 机器走格子,但限定方向3. 中国象棋,马走日字4. 走迷宫5. 积木覆盖0. 回溯模板 搜索算法中的回溯策略,也是深度优先搜索的一种策略,比较接近早期的人工智能。毕竟,搜索是人工智能技术中…...
C++基础了解-23-C++ 多态
C 多态 一、C 多态 多态按字面的意思就是多种形态。当类之间存在层次结构,并且类之间是通过继承关联时,就会用到多态。 C 多态意味着调用成员函数时,会根据调用函数的对象的类型来执行不同的函数。 下面的实例中,基类 Shape 被…...

【GNN/深度学习】常用的图数据集(资源包)
【GNN/深度学习】常用的图数据集(图结构) 文章目录【GNN/深度学习】常用的图数据集(图结构)1. 介绍2. 图数据集2.1 Cora2.2 Citeseer2.3 Pubmed2.4 DBLP2.5 ACM2.6 AMAP & AMAC2.7 WIKI2.8 COCS2.9 BAT2.10 EAT2.11 UAT2.12 C…...
React 第五十五节 Router 中 useAsyncError的使用详解
前言 useAsyncError 是 React Router v6.4 引入的一个钩子,用于处理异步操作(如数据加载)中的错误。下面我将详细解释其用途并提供代码示例。 一、useAsyncError 用途 处理异步错误:捕获在 loader 或 action 中发生的异步错误替…...

linux之kylin系统nginx的安装
一、nginx的作用 1.可做高性能的web服务器 直接处理静态资源(HTML/CSS/图片等),响应速度远超传统服务器类似apache支持高并发连接 2.反向代理服务器 隐藏后端服务器IP地址,提高安全性 3.负载均衡服务器 支持多种策略分发流量…...
PHP和Node.js哪个更爽?
先说结论,rust完胜。 php:laravel,swoole,webman,最开始在苏宁的时候写了几年php,当时觉得php真的是世界上最好的语言,因为当初活在舒适圈里,不愿意跳出来,就好比当初活在…...
STM32+rt-thread判断是否联网
一、根据NETDEV_FLAG_INTERNET_UP位判断 static bool is_conncected(void) {struct netdev *dev RT_NULL;dev netdev_get_first_by_flags(NETDEV_FLAG_INTERNET_UP);if (dev RT_NULL){printf("wait netdev internet up...");return false;}else{printf("loc…...

【机器视觉】单目测距——运动结构恢复
ps:图是随便找的,为了凑个封面 前言 在前面对光流法进行进一步改进,希望将2D光流推广至3D场景流时,发现2D转3D过程中存在尺度歧义问题,需要补全摄像头拍摄图像中缺失的深度信息,否则解空间不收敛…...

Cloudflare 从 Nginx 到 Pingora:性能、效率与安全的全面升级
在互联网的快速发展中,高性能、高效率和高安全性的网络服务成为了各大互联网基础设施提供商的核心追求。Cloudflare 作为全球领先的互联网安全和基础设施公司,近期做出了一个重大技术决策:弃用长期使用的 Nginx,转而采用其内部开发…...

ServerTrust 并非唯一
NSURLAuthenticationMethodServerTrust 只是 authenticationMethod 的冰山一角 要理解 NSURLAuthenticationMethodServerTrust, 首先要明白它只是 authenticationMethod 的选项之一, 并非唯一 1 先厘清概念 点说明authenticationMethodURLAuthenticationChallenge.protectionS…...

【开发技术】.Net使用FFmpeg视频特定帧上绘制内容
目录 一、目的 二、解决方案 2.1 什么是FFmpeg 2.2 FFmpeg主要功能 2.3 使用Xabe.FFmpeg调用FFmpeg功能 2.4 使用 FFmpeg 的 drawbox 滤镜来绘制 ROI 三、总结 一、目的 当前市场上有很多目标检测智能识别的相关算法,当前调用一个医疗行业的AI识别算法后返回…...
【JavaSE】多线程基础学习笔记
多线程基础 -线程相关概念 程序(Program) 是为完成特定任务、用某种语言编写的一组指令的集合简单的说:就是我们写的代码 进程 进程是指运行中的程序,比如我们使用QQ,就启动了一个进程,操作系统就会为该进程分配内存…...

Chromium 136 编译指南 Windows篇:depot_tools 配置与源码获取(二)
引言 工欲善其事,必先利其器。在完成了 Visual Studio 2022 和 Windows SDK 的安装后,我们即将接触到 Chromium 开发生态中最核心的工具——depot_tools。这个由 Google 精心打造的工具集,就像是连接开发者与 Chromium 庞大代码库的智能桥梁…...