首页 云计算 服务器 大数据 存储 IT 安全 物联网 软件 商品

云计算

云安全频道旗下栏目: 云资讯 云安全 云开发 云趋势

2019可信云大会丨杨海涛:云原生安全,让创新的能量尽情释放

7月2日上午, 2019可信云大会在北京国际会议中心隆重开幕。2019可信云大会以“智能云网边,可信创未来”为主题,由中国信息通信研究院主办。在下午举行的云安全及风险管理论坛上,Pivotal大中华区云计算资深架构师杨海涛出席并发表了“云原生安全,让创新的能量尽情释放”为主题的演讲。

Pivotal大中华区云计算资深架构师杨海涛

今天给大家分享的主题是云原生安全,题目是让创新的能量尽情释放,为什么这么说,这个和现在企业面临的困境是直接相关的,从传统的IT角度来看,科技大大提升了创新的速度,给我们带来很多创新方法。但是同时我们所看到的网络攻击,刚才嘉宾的分享,现在云平台已经成为网络攻击最主要的目标,现在整个网络攻击越来越复杂,危害性也越来越大。

其实对于企业来讲经常面临攻击,新的科技对于企业来讲更像一个油门,一踩就尽情的往前发展,安全更像刹车,出现安全问题的时候没有办法那么快的往前推进,这给企业留下一个问题,速度和安全往往不可兼得

尤其当云计算发生到云原生的时候这个问题更凸显。云原生是什么,像微服务、容器技术、持续交付、DevOps,通过这样的技术、平台、方法论,能够让企业享受到云平台带来的各种好处,包括标准性、弹性分割的能力,在这个里面最重要的,企业最重视的就是速度,云原生带来的快速迭代创新的能力。

我们看一下现在,传统的企业安全工具,在云原生的时代面临这样一个困境,原来最传统的安全工具往往都是基于传统的IT环境设计的,有可能适用的场景和现在谈到的云原生的环境完全不一样。先从应用数据来讲,原来的应用一家企业里面几十个、上百个,有几百个应用算是比较多的,数量已经大。当我们的应用微服务用容器进行分装之后,很多企业在云平台运行几千个几万个容器已经是普遍的事情。应用的数量已经完全不是一个量级。

另外,运用部署的频率,云原生的好处是应用迭代的速度越来越快,现在很多成功实现云原生的企业应用迭代的速度可以达到几周就可以发布一个新的产品,原来发布的频率一年可能几个版本,这个环境完全不一样,对于应用部署的需求要求也不一样。

还有,平台的构架,原来传统IT环境,不管是真正传统的IT,基于服务器上面的IT,在操作上面运行一个应用,这是最传统IT的架构。但是当我们发现到了云原生时代之后,在物理机之上加上容器层,整体复杂性大大的增加,这也是一个问题。

平台的状态,现在很多把IT划分为敏态和稳态,原来的IT变化比较小,相对来讲平台比较稳定,我们把原来的IT叫做稳态,到了云原生时代之后,要求我们的应用快速迭代,创新快速迭代,这个时候需要敏态的环境,这样的环境里面整个平台在变化,应用也在变化。所以整个平台是动态变化的环境。

可以看到在原来的时候,所有传统的安全工具都是基于传统应用的环境和场景进行设计,到云原生时代的时候我们想要保证这个环境的安全,这个就是很明显的问题,不仅仅对业界从业者来讲,真正要去考虑这个问题,很认真思考这个问题更是一些企业的安全关,他们会很忧虑,最新的技术是好,但是用还是不用,如果用的话如何改造环境。

现在安全的目标也是跟原来也一样,本身安全水平的要求也在提高,除了减少业务风险之外。另外可能由于快速变化的外部环境需要安全能够快速落地,一旦企业网络被攻破,云平台被攻破,对于恶意的行为快速的检测并且快速的反映。随着各种各样的安全规范和行业内部的规范越来越多,还有各种各样合规性的需求,这些都逐渐在把安全整个水平越来越高。

说到这里就感觉现在似乎走到一个困境,在云原生时代到来之后,云平台的安全如何去保证,有什么样的方案解决这个问题。不知道大家有没有听说过一个叫做“第一性原理”,是由希腊科协家提出的,我们解决一个问题的时候,我们要回归到最原始、最本质的特点当中去。当我们解决一个问题,如果说现有的一些工具、思维框架、方法论已经解决不了,就要回归到最本源的需求,我们从需求上找到有没有一些新的解决方案。

回归刚才所说的面临的困境,就是速度和安全必须二选一,没有办法两者兼得,有没有办法解决这个问题,下面讲的就是新的思路,是不是可以采用云原生的思路解决安全的问题。

说明这个问题首先先看一下,真正的云原生的平台,能够对安全有什么样的帮助,我们可以看一下区别。

云原生的平台上面除了包装了操作系统之外,在这个上面还有操作系统的镜像,还包含了应用的运行环境,甚至还包含很多第三方的中间件,其实只剩下应用自己本身在他这个之上需要开发人员自己开发,其他的东西都包含在这个平台上。

这样我们说相比传统的环境,这样的架构有什么好处,原来很多安全手段,像加密、对于身份认证的服务、日志、操作系统的隔离等等服务,都是在下面这几层里面实现的。如果一个Paas平台把这几层都包含在我的平台上,这些东西都可以内置,不需要安全人员或者开发人员、运维人员在后期自己再手工解决这些问题。

内置之后还有另外一个好处,既然都已经放到这个平台里面,可以采用软件的方法,用自动化的方法进行管理,自动化除了加快效率,更重要的是减少人工操作带来的风险。运维里面70%的错误来自人工的错误,自动化也可以减少人工错误带来的风险。

而且用于内置安全加上自动化的手段,可以做以前传统环境里做不到,定期自动化的更换密码,更换运行环境,这是原来传统IT环境下很难做到的事情,当云原生平台上可以做到。从平台层手段我们看到可以做出很好的基础。

当我们把所有的能力结合在一起的时候,我们也可以真正在平台之上内置满足很多合规性的要求,比如等保2.0的要求,比如容器层面相关的安全规范,必须操作系统里面的安全规范,都可以内置到平台里面实现,不需要后天在上面做任何修补的工作,或者叠加的工作。

基于刚才这几点,实际上在云原生安全这个领域可以把它的能力抽象成四要素:第一修补,只要有新的版本,不管有软件或者平台也好,马上升级有漏洞的软件系统,立即修补。第二重新部署,可以经常性的重新部署我的服务器和应用,这个是最主要用于抵御最具的威胁,APP长期驻留的威胁。第三是轮换,经常自动轮换用户的密钥,通过平台自动实现,让密码只是短期有效。这三个有一个新的概念,叫做“3R”。