×

【每日一记8】+第9天+云原生和云安全是什么
  

一个无趣的人 985

{{ttag.title}}
“云原生(Cloud Native)”这个词,在云计算模式中,经常被冠在不同子领域前来作为形容词定语,这也引来了很多使用者的困扰。本文从最终使用者的视角,来阐述笔者的一种理解。
云使用者最为关注的,其实是他们要运行的云应用,因为这涉及到运行的业务是啥,以及要付多少钱。因此,如果以云原生应用(Cloud Native Application)作为讨论的基础,那么宽泛的说,“云原生”描述的是充分利用原生云能力(自动scale-out、无中断部署、自动化管理、弹性,等等)来进行应用设计和部署的方法。在这个形而上的框架下,微服务、容器技术、云数据库技术、K8S、弹性搜索、遥测Telemetry等技术,都是形而下的技术。那么在这个框架下,可以想象,简单的把原有企业网的环境和虚机迁移到IaaS云里,或者把原有应用直接打包到虚机里来跑,乃至做些API对外提供接口,这些做法离云原生都还远。一句话,云原生应用为了这个“云原生”属性,需要在发布、服务方式、随需弹性、数据和工作负载(workload)管理等多方面都重新构建。
在IT发展历史上,安全产品一直是跟随IT基础设施和业务来为其服务的。云安全也不例外——云安全处理的就是面向访问和使用云系统云应用的流程机制。
云安全与传统企业网络安全机制的最大不同在于,云安全的管理责任是在云运营商和用户之间分享的,从IaaS到PaaS再到SaaS这三个云业务层级上,云运营商的责任越来越大。最“轻量”的情况下,使用SaaS的用户只需管理自己的数据和用户接入权限,其余的都交给运营商。有关云计算下安全责任分配方面的资料描述已经非常详实,本文也就不赘述,直接引用加拿大政府《云安全与风险管理流程指南》中的相关责任范围描述,如图 1所示。

图 1 云安全的责任范围(来源:www.canada.ca
从责任共享这一点出发,云安全产品就可以非常直观的分成两个大类:一方面是云运营商配套云服务而直接提供的安全产品,也可称为“云运营商原生提供的安全(Native Cloud Security)”;另一方面则是第三方安全厂商提供的安全产品。无论哪一类云安全,为了更好的支持云服务,都要做到支持和适配“云原生”这个属性。
对于以上基于责任共享而定义的云安全产品分类,一个很自然的问题是,目前已经存在的网络安全产品,有哪些未必需重新大改架构,可以直接服务于云安全或被云运营商直接采用?这也是对于安全厂商和很多云租户的CISO们来说非常关心的现实问题。Gartner对于云安全机制,基于现实情况增加统计了这个维度,下图是2019年的分类。

图 2 云安全的服务和组件,2019(来源:Gartner)
云安全的需求是由云业务发展驱动的,具体体现在逻辑安全架构和技术组件上。从上图左侧可以看出,防火墙、防入侵、端点安全、服务器监控、终端检测响应和SIEM等,对云原生的要求没那么高,因此很多安全产品会由运营商直接从第三方安全厂商拿来部署上云。而威胁检测、工作负载安全、用户行为监控、合规与风险管理,云运营商往往需要自行提供这些工具来满足“云原生”的要求。第三方安全厂商提供的和云具有较好亲和力的产品,Gartner这里在图右侧提到了云工作负载保护平台CWPP(Cloud Workload Protection Platform)、云安全态势管理CSPM(Cloud Security Posture Management)、云访问安全代理CASB(Cloud Access Security Broker)、微隔离Micro-segmentation和CDN。
以上的分类法,只是诸多对云安全机制试图归类的一种。安全一直是一个非常零散的市场,据统计,美国2019年存在5000多家安全厂商,而中国同期这个数字是3000余家。这也导致安全产品给自己的定位可以相当灵活,乃至模糊。因此,云安全产品分类还有很多种,比如基于IaaS、PaaS和SaaS的云安全,基于上云(of the cloud)和云上(in the cloud)的安全,基于防御深度模型的云安全机制分类,等等。这些不同的分类法,并非严格的科学定义问题,因此本文不再赘述。本文后面章节将继续从“云原生”要求的角度来展开,介绍云原生环境对安全在业务、管理和部署上的新要求,及相应所催生的云安全厂商的机会。

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

sxfusr 发表于 2020-7-10 14:56
  
打赏学习,感谢分享
平凡的小网工 发表于 2020-7-12 11:28
  
云原生这个词学习了,多谢你的分享。
蟲爺 发表于 2021-4-10 14:58
  
感谢分享
蟲爺 发表于 2021-4-11 23:43
  
感谢分享
发表新帖
热门标签
全部标签>
安全效果
每日一问
西北区每日一问
技术笔记
技术盲盒
【 社区to talk】
干货满满
新版本体验
标准化排查
产品连连看
信服课堂视频
技术咨询
每周精选
功能体验
自助服务平台操作指引
排障那些事
GIF动图学习
技术晨报
安装部署配置
运维工具
解决方案
2023技术争霸赛专题
秒懂零信任
故障笔记
技术圆桌
云计算知识
用户认证
技术顾问
资源访问
存储
技术争霸赛
「智能机器人」
以战代练
社区新周刊
畅聊IT
答题自测
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
地址转换
虚拟机
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
高手请过招
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

12
185
6

发帖

粉丝

关注

121
313
351

发帖

粉丝

关注

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人