色婷婷综合久久久久久中文,日韩av在线不卡网站

零信任安全是解決容器安全的一把利器

2021-11-03 10:08:47 來(lái)源：大京網(wǎng)

Gartner預(yù)測(cè)，到2022年，全球超過(guò)75%的組織將在生產(chǎn)中運(yùn)行容器化的應(yīng)用程序，相對(duì)于以往的30%呈現(xiàn)大幅增加。盡管采用容器可以更快的開發(fā)、部署和擴(kuò)展應(yīng)用程序，但是也面臨著安全挑戰(zhàn)，比如在數(shù)據(jù)保護(hù)、容器鏡像漏洞、網(wǎng)絡(luò)攻擊、未經(jīng)授權(quán)的訪問(wèn)和其它一系列的安全風(fēng)險(xiǎn)問(wèn)題。根據(jù)Forrester的一項(xiàng)調(diào)查顯示，43%的受訪者表示容器安全是面臨的一個(gè)主要挑戰(zhàn)。云深互聯(lián)CEO陳本峰表示，對(duì)于開發(fā)人員來(lái)說(shuō)，容器可能是一個(gè)強(qiáng)大的工具，但隨著網(wǎng)絡(luò)攻擊者越來(lái)越多地將其作為目標(biāo)，它們正成為一個(gè)安全噩夢(mèng)。通過(guò)獲得對(duì)容器的未授權(quán)訪問(wèn)權(quán)，黑客可以潛在地跨越大型虛擬環(huán)境，造成各種各樣的危害。

在遠(yuǎn)程訪問(wèn)從偶爾轉(zhuǎn)變?yōu)樾鲁B(tài)的時(shí)代，用戶需要從企業(yè)網(wǎng)絡(luò)的傳統(tǒng)邊界之外訪問(wèn)企業(yè)應(yīng)用程序和服務(wù)。微服務(wù)和容器化應(yīng)用程序的日益普及使事情變得更加復(fù)雜。容器及其底層基礎(chǔ)設(shè)施在傳統(tǒng)網(wǎng)絡(luò)安全實(shí)踐的邊界內(nèi)不能很好地發(fā)揮作用，傳統(tǒng)網(wǎng)絡(luò)安全實(shí)踐通常強(qiáng)調(diào)邊界的安全性。隨著組織尋求解決這些挑戰(zhàn)的方法，零信任模型等策略在保護(hù)容器化工作負(fù)載方面獲得了更多關(guān)注。

傳統(tǒng)安全策略的“短板”

攻擊者經(jīng)常對(duì)容器進(jìn)行訪問(wèn)控制或利用應(yīng)用程序代碼進(jìn)行攻擊滲透，這可能會(huì)導(dǎo)致內(nèi)核崩潰、執(zhí)行權(quán)限提升或其他對(duì)系統(tǒng)的威脅。

傳統(tǒng)上，內(nèi)部網(wǎng)絡(luò)的應(yīng)用程序、服務(wù)器、網(wǎng)絡(luò)軟件或硬件默認(rèn)是被信任的，不需要對(duì)客戶端連接進(jìn)行身份驗(yàn)證，僅僅依賴于靜態(tài)的共享憑證便可以進(jìn)行訪問(wèn)或執(zhí)行。通常，內(nèi)部網(wǎng)絡(luò)連接，即使是敏感服務(wù)的連接，也不使用任何加密。

然而，惡意攻擊者使用特洛伊木馬、安全訪問(wèn)漏洞或者通過(guò)利用這種隱含的信任網(wǎng)絡(luò)都可以造成嚴(yán)重破壞。從嗅探明文網(wǎng)絡(luò)數(shù)據(jù)包到發(fā)現(xiàn)數(shù)據(jù)庫(kù)或其他關(guān)鍵系統(tǒng)的應(yīng)用程序密碼，一直到獲得對(duì)網(wǎng)絡(luò)設(shè)備的控制，這種情況為不可接受的風(fēng)險(xiǎn)打開了大門，包括數(shù)據(jù)外流或丟失。

零信任安全是解決容器安全的“一把利器”

剛剛我們講到了傳統(tǒng)安全模型的失效性，特別是由于網(wǎng)絡(luò)、動(dòng)態(tài)IP的復(fù)雜性，以及傳統(tǒng)防火墻的局限性，容器的動(dòng)態(tài)性會(huì)給傳統(tǒng)安全環(huán)境帶來(lái)更多安全問(wèn)題。

零信任基于設(shè)備的網(wǎng)絡(luò)位置或用戶在受信任網(wǎng)絡(luò)上進(jìn)行身份驗(yàn)證，以驗(yàn)證任何服務(wù)、設(shè)備、應(yīng)用程序或數(shù)據(jù)存儲(chǔ)庫(kù)，將“信任，但要驗(yàn)證”的舊原則改寫為“從不信任，始終驗(yàn)證”。它用身份驗(yàn)證訪問(wèn)和集中網(wǎng)絡(luò)控制取代了隱式的相互信任，這有助于解決去中心化IT環(huán)境的安全挑戰(zhàn)，并使零信任成為云中容器安全的理想模型。

零信任安全模型在解決容器安全時(shí)，遵循如下幾個(gè)原則：

容器之間不存在隱式的相互信任，而是通過(guò)身份驗(yàn)證訪問(wèn)服務(wù)。這種強(qiáng)制身份驗(yàn)證阻礙了黑客從一個(gè)被攻擊的容器或系統(tǒng)輕松遷移到同一集群中的另一個(gè)容器或系統(tǒng)的能力，從而限制了被攻擊范圍。

容器中的所有服務(wù)器通過(guò)安裝在服務(wù)器的硬件受信任平臺(tái)模塊(TPM)中的本地證書建立信任根。這些證書驗(yàn)證和驗(yàn)證管理員訪問(wèn)以及任何代碼或配置更改。任何不是由授權(quán)管理員發(fā)起的系統(tǒng)更新或應(yīng)用程序，并且不是來(lái)自授權(quán)和可信的代碼存儲(chǔ)庫(kù)，都將被拒絕。

所有基礎(chǔ)設(shè)施和代碼更改都使用服務(wù)器的本地證書進(jìn)行加密散列，并記錄日志，以提供一個(gè)不可變的記錄，用于故障排除和遵從性審計(jì)。

共享操作系統(tǒng)上的容器在虛擬機(jī)和虛擬網(wǎng)絡(luò)中被沙箱化。

容器間或服務(wù)到服務(wù)的通信通過(guò)本地證書和TPM進(jìn)行身份驗(yàn)證和加密。容器之間不存在基于本地IP地址的隱式信任。

IAM (identity and access management)、PKI (public key infrastructure)等服務(wù)集中管理安全策略和安全對(duì)象，包括用戶、用戶證書、雙因素認(rèn)證集成、RBAC (role-based access control)、機(jī)器和代碼證書等。

總的來(lái)說(shuō)，這些原則和相關(guān)控制使組織能夠加強(qiáng)云中的容器安全性。它們確保容器和微服務(wù)只能與顯式授權(quán)的其他服務(wù)通信。此外，這些保護(hù)措施使容器能夠在多個(gè)云環(huán)境中運(yùn)行，包括跨云區(qū)域或在混合云上運(yùn)行，具有與單云部署相同的保護(hù)。容器可以依賴底層基礎(chǔ)設(shè)施來(lái)實(shí)施安全控制。

為什么零信任是解決容器安全的“最優(yōu)解”

零信任自興起以來(lái)，已經(jīng)十余年時(shí)間，尤其是近兩年在國(guó)內(nèi)備受關(guān)注，這代表著技術(shù)未來(lái)的趨勢(shì)和方向，也代表著零信任技術(shù)帶來(lái)的更好的解決方案。零信任架構(gòu)一般遵循以下原則：

安全控制應(yīng)平等地適用于所有實(shí)體，無(wú)論是軟件還是硬件，無(wú)論其網(wǎng)絡(luò)位置如何。

網(wǎng)絡(luò)連接應(yīng)由服務(wù)器和客戶端在兩端進(jìn)行身份驗(yàn)證?，F(xiàn)在通常需要服務(wù)器進(jìn)行客戶端身份驗(yàn)證，但客戶端還應(yīng)驗(yàn)證它們是否已連接到有效服務(wù)器。當(dāng)連接跨越多個(gè)事務(wù)時(shí)，應(yīng)重新驗(yàn)證連接，并根據(jù)需要重新授權(quán)請(qǐng)求。

授權(quán)授予應(yīng)遵循最小特權(quán)原則，僅允許客戶端工作負(fù)載所需的最低限度的權(quán)限。

所有網(wǎng)絡(luò)連接和交易都應(yīng)受到持續(xù)監(jiān)控以進(jìn)行分析。

正是由于零信任具體如上的幾個(gè)特性，才能更好的基于“無(wú)邊界”的安全模型解決云原生技術(shù)下容器化帶來(lái)的諸多安全問(wèn)題，幫助企業(yè)解決威脅問(wèn)題。

深云SDP實(shí)現(xiàn)無(wú)邊界全局視角的安全

陳本峰表示，云深互聯(lián)基于零信任的理念架構(gòu)，采用SDP技術(shù)為企業(yè)提供無(wú)邊界、一站式安全接入服務(wù)，覆蓋云管端實(shí)現(xiàn)全流程的安全體驗(yàn)。自主研發(fā)設(shè)計(jì)的深云SDP客戶端基于終端環(huán)境檢測(cè)&應(yīng)用可信檢查，保證業(yè)務(wù)入口的合規(guī)、安全。

基于SDP技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)隱身，避免探測(cè)、監(jiān)聽(tīng)，極大縮小網(wǎng)絡(luò)攻擊面；

SDP安全云、SDP連接器缺省拒絕一切訪問(wèn)流量（deny all），僅允許合法、合規(guī)終端訪問(wèn)（only you）。

深云SDP允許只能訪問(wèn)授權(quán)應(yīng)用，其他資源都“隱身”,避免內(nèi)部橫向攻擊。

隨著云遷移、容器化應(yīng)用程序的不斷增多，面臨的安全問(wèn)題也會(huì)越來(lái)越明顯。零信任的理念特性可以很好的解決此類安全問(wèn)題，也希望更多的企業(yè)采用零信任技術(shù)，解決自身遇到的安全問(wèn)題，保證業(yè)務(wù)的正常運(yùn)行。

標(biāo)簽：零信任安全容器安全網(wǎng)絡(luò)軟件應(yīng)用程序