作者| Drishti 샤 스트리
번역기 | 그 Zebian | 쑤의 Veyron
표지 사진은 | CSDN는 시각적 인 중국을 다운로드
현대 시대에, 엔터프라이즈 네트워크 및 데이터 보안 위험이 같은 이정표가되지 않았어요. 그럼에도 불구하고, 종래의 방법 (공개 클라우드 연산자를 사용하는 단계를 더 포함하는 방법)은 실질적으로 동일하다.
클라우드 보안 위협의 증가 및 기본 응용 프로그램
현대 시대에, 엔터프라이즈 네트워크 및 데이터 보안 위험이 같은 이정표가되지 않았어요. 그럼에도 불구하고, 종래의 방법 (공개 클라우드 연산자를 사용하는 단계를 더 포함하는 방법)은 실질적으로 동일하다.
대응 조치는 위협과 거래에 대한 공격의 위협보다는 회전을 방지합니다. 클라우드 네이티브 응용 프로그램은 일반 통념에 의문을 제기 모든 가능한 방법으로 증가 주목을 받았다.
응용 프로그램 스택 전통적인 방법 및 클라우드 기반 대조적들보다 현대적인 방법과 인프라의 개발에서 패턴과 관행의 대부분은 성공적으로 주류보기를 도달 한 : 개발 운영 문화, 지속적인 납품 및 마이크로 서비스 아키텍처. 왜 우리는 그것의 보안 클라우드 네이티브를 상상 다시하지? 우리는 굵게 새로운 아이디어는 어디?
이 응용 프로그램에 전달하는 과정에서, 클라우드 고유의 보안 장기 추적에있다라고하는 것이 안전합니다. 전통적인 IT 보안 팀은 중개인 자신으로 처리됩니다. 그들은 제대로 작업을 완료해야하며, 얼굴 더는 기관들이 직면 될 위험.
그들은 모두 모든 프로세스의 안전에 대한 높은 요구를 가지고 있지만,이 수준을 충족하는 것은 테스트 및 수정, 시간이 걸립니다. 그것은 개발 팀은 종종에 대한 불평, 그래서 완전한 보호를 보장 할 수없는 종종 응용 프로그램의 개발을 지연시키고 것 때문입니다.
조직 개선 및 일정과 기본 클라우드 애플리케이션을 향상시킬 수있는 애플리케이션 라이프 사이클을 가속화하려는 경우, 보안이 더욱 두드러 시험이 될 것입니다. 대부분의 클라우드 애플리케이션이 새로운 모델에 기본 실행이 모델은 틀에 얽매이지 않는 생산성, 유연성 및 비용 이점을 제공 할 수 있습니다.
추가 보안 구성 요소로 클라우드 개발 기본 DevSecOps를 사용하여 데브 - 작전. DevSecOps 안전 속도, 민첩성과 연속 전달 과정을 통합하려고합니다. 통합, 비즈니스 프로세스 및 제어 기능과 사용자의 안전을 무시 DevSecOps 낮은 경우 그러나, 연속 전달 시스템의 보안을 제공하기 어려울 수 있습니다.
클라우드 네이티브 허점
클라우드 네이티브는 확실히 취약점이 발생합니다. 우리는 인간이고, 확실히 특히 가혹한 기간에 제품 납품 후, 실수를 할 것입니다. 경고, 표지판 및 메모 모든에도 불구하고, 우리는 심판의 몇 가지 오류를 만들 것입니다 .
경고를 발행하는 과정에서, 사람들은 맹목적으로 GitHub의에서 발견, 또는 무작위 임의의 코드 우둔 폴더에서 가져온 응용 프로그램을 은폐, 복사하고 스택 거래소에서 붙여 넣기를 계속, 단지 궁금해 할 수 저자는 만난 적이거나없는 타사과 이야기 적이 있다고 생각합니다.
심지어 내부의 모든 쓰기 타사 참가자의 위험을 제거하여 코드의 경우, 다른 구성 요소가 다른 팀에 의해 소유 될 수있는 마이크로 서비스 응용 프로그램 수단의 분산 특성.
팀 간의 통신 장벽 테스트를 포함하여 문제의 범위를 일으킬 수 있습니다, 품질 보증 조정, 심지어 애플리케이션 취약점 해결의 부족.
하나의 클라우드 네이티브 응용 프로그램은 분산의 기초 작업을 나머지의 수천을 포함 할 수있다. 로컬 데이터 센터, 많은 공공 클라우드 및 에지 데이터 센터는 이상한 마이크로 서비스가있을 수 있습니다, 그리고 마지막으로, 조직의 분야에서, 우리는 현재 개발에 보일 수 없다.
모든 개발자 및 모든 팀은 다른 문제를 해결하는 방법을 배울 것을 알고있다. 그들이하는 일은 자신의 지식과 관심을 개발 따라입니다. 내부 코드 환경에서 모든 섹터가있는 경우에도 자신에게 어떤 식 으로든 광범위한 프로그램의 일부를 보호하기 위해, 마이크로 서비스는 다른 부서들과 연락 및 위험 통신 여기 또는 취약점에 있어야합니다.
모든 소리를 발굴하고 무서운 있지만, 클라우드 네이티브는 매우 복잡한 현실을 해결 않습니다 이러한 주장은, 우리는 더 이상 존재를 무시할 수 없다. 우리는 보안 업그레이드를 지속적으로 네이티브 허점이 진화하고 지속적 구름.
기본 클라우드 애플리케이션의 주요 위협
이 회사는 클라우드 네이티브 애플리케이션의 장점을 경험하기 시작했다,하지만 그들은 처리 및 시스템의 유지 보수의 실용적인 측면에 대해 거의 알고 있지만. 클라우드 환경에 비해, 결과의 보호는 매우 다른 기존의 시스템과 비교하면? 어떻게 보호 조치 및 안전 장치가 영향을 미칩니 까?
다음은 가장 높은 보안 문제의 일부 기반의 클라우드 환경입니다 :
1. 클라우드 구성 오류
구성 오류의 IaaS 클라우드 데이터 스토리지는 오늘날 가장 파괴적인 클라우드 위반 및 데이터 유출의 일부 주요 이유입니다. 클라우드 보안 구성 설정, 일반적인 태그, 특정 자원 또는 기타 이유로 무제한 액세스를 제거 할 것인지, 구성 오류는 종종 당황 만남 후 신문에서 본 많은 알려지지 않은 위협으로 이어질 수 있습니다 . 조직의 40 %에 대한 최신 "2019 클라우드 보안 보고서는"클라우드 플랫폼은 네트워크 보안에 잘못 그들의 주요 초점이다 생각합니다.
IT의 2. 사업 관리
은 "그림자 IT"또는 "IT 불량"에 대해 걱정하지 마십시오. 여러 기업이 인프라 표시 경향을 습득합니다 고객의 운영 및 사업 브리지 클라우드 서비스 "IT의 상업 관리"라는뿐만 아니라 창의력과 엔진의 개발을 받게 될 것이라고해도 과언이 아니다. "하비 내쉬 / CIO 2019 KPMG 조사"보고서는 기업에 대한 기업의 3 분의 2 홍보 또는 IT 관리를 할 수 있도록보다 더가 말했다. 회사 비트 경쟁 산업 있도록 할 수있는 능력이 38 %가 직원의 가능성을 개선하기 위해 더 나은 서비스를 제공하기 위해, 52 % 증가하기 때문이다 .
정보 및 네트워크 보안 전문가에 어떤 협력이없는 경우 문제이다.이 클라우드 보안 장벽 섬은 거대한 조직이 될 수 있습니다. 이 회사는 매우 빠르게 발전하지만, 있다는 설문 조사 쇼 중복 안전 위험의 가능성이 두 배 후자 파장.
3. 구매 흐린 제품
대부분의 기업이 클라우드 흐린 제품을 구입하는 다양한 벤더에 의존하는 "클라우드 IUCN 보고서"을 보여줍니다. 회사의 약 66 %가 구름을 배치 한 것을 특징 믹스 흐린 하이브리드 시스템에 따라 약 36 %.
현재, 클라우드로 인해 실제로 우리는 따라서 자사의 고객에게 서비스를 클라우드 컴퓨팅의 범위 (SaaS는, PaaS를,의 IaaS) 클라우드를 제공하고, 비용을 처리하는 그들의 다른 사업 운영의 모든 선택의 도구를 줄이고 자. 클라우드는 전체 문맥, 빠른 응답 및 서비스의 품질을 확보합니다. 이 QoS 및 확장 성을 유지하기 위해 비용 그러나, 각 시간은 사용자가 다른 클라우드로 하나의 구름에서 마이그레이션 할 수 없습니다. 이 흐린 컴퓨팅 프레임 워크를 극복하기 위해서는 시스템 역학을 공유하는 클라우드 기반 자원 사이에 도입된다. 흐린 장치에서 보안은 심지어 더 복잡한 문제입니다.
4. 하이브리드 아키텍처
유명한 "클라우드 보안 연합 보고서 '에 따르면, 기업의 55에 대한 %는 복잡한 하이브리드 클라우드 컴퓨팅 환경에서 작업을해야합니다. 이 시스템은 대규모 조직을위한 클라우드로 점진적 전환을위한 훌륭한 방법을 제공하지만, 자산 추적 및 하이브리드 클라우드에 연결된 많은 활동의 전체 아키텍처를 모니터링하기 어려운 경우, 그것은 보안 문제를 제공합니다. 사실, Firemon가 발표 한 보고서는 이전 기업의 80 %가 보안 모니터링 및 관리 도구의 한계와 혼합의 복잡성에 도전하는 것으로 나타났다.
5. 데이터 어두운
어두운 섬유 통신 산업과 마찬가지로 어두운 데이터는 비즈니스 및 상거래에 적용한다. 개발되지 않은 많은 양의 데이터 대부분이 제재도받지 않고있다, 그들은 단지 거기에 아무것도하고, 아무것도하지 않았다.
불행하게도, 분명 어두운 섬유에도 불구하고 그들은 사용자의 사용자의 손이나 가을 범위에 나타나는 관계없이 오류, 보안 위험이있을 수가 확인 된 경우에도, 증가 된 전력 및 대역폭의 유일한 장점을 표현하기 위해 조명과 어두운 데이터를 무시 외부.
어둠의 데이터에 대한 대부분의 인수는 조직의 잠재적 가치와 유용성에 집중하는 경향이있다. 사실, 자본 (돈, 장비 및 시간) 조직의 지식과 어둠에 잠겨 데이터의 관심을 생성하고 활용하기 위해 지출 할, 이러한 전망은 의심 할 여지없이 유익 할 것입니다. 이것은 또한 많은 기업들이 대신 작업 있지만 계획이없는 이유를 설명하지만, 단기적으로 또는 계획 과정의 어두운 세부 사항에서 더 교환을 거부했다.
정보 자원의 매력적인 잠재력의 많은 마찬가지로, 회사는 또한 어둡거나 어두운 데이터와 고객 데이터와 자신의 어두운 구름 운영에 관한 데이터를 깨달아야한다, 그들은 위험에 자신의 지속적인 건강과 웰빙을 제공 할 수 있습니다, 직접적인 제어 및 관리 범위를 벗어나는. 최근의 연구에 따르면, 아직 계획 단계 또는 컨테이너 환경에 관련된 기본 보안 정책에서 조직의 40 %.
제 용기 및 용기의 구성
당신이 용기 또는 용기에 생태계의 기존의 단일 소스 (모 놀리 식) 응용 프로그램의 표면을 사용하여 응용 프로그램을 개발하는 경우, 컨테이너는 보안 위협을 가져올 것이다 이상한 환경을 이해해야합니다. 하루 하나에서, 당신은 이러한 위협에 대응할 준비가되어 있어야합니다. 자신의 용기를 구축 시작, 컨테이너 설치 및 제조 업계에서 실행됩니다.
다음은 가장 일반적인 컨테이너 보안 위험이 있습니다 :
권한 마크 : 심지어 용기의 좋은 이해를 가진 사람들도 용기의 특권의 의미를 알 수 있습니다. 선박의 권한 기호는 거의 모든 작업을 서버에서 실행 수행하고 클라이언트 자원에 액세스 할 수 있습니다 수행 할 수 있습니다. 침입자가 보호 그룹 로고에게 저를 입력하면이 방법은, 그들은이 손상 될 수있다.
무제한 상호 작용 : 목표를 달성하기 위해, 컨테이너가 서로 상호 작용해야합니다. 그러나, 컨테이너와 컨테이너 서비스 마이크로 짧은 설계의 수는 보통 최소 권한의 개념에 부합 네트워크 방화벽 또는 규정을 수행하기 어려울 수 있음을 의미한다. 그러나, 당신의 목표에만 필요 상호 작용하는 용기의 공격 노출을 줄이기 위해 할 수있는 용기를 만들 수 있어야합니다.
분리의 부족 : 컨테이너 보안은 양날의 칼이다. 짧은 삶과 제한된 기능뿐만 아니라, 자신의 불변 속성은 안전 다양한 장점을 제공합니다. 그러나, 컨테이너는 호스트를 공격하는 데 사용할 수 있습니다. 우리는 이전에이 위험 특권의 표시가있는 용기에 존재하는, 논의했다. 기본 호스트는 잘못 다른 많은 위협에 의해 영향을받을 수 있습니다.
전체 보안을 보장합니다
가까운 보안 클라우드 네이티브 위해서는, 기존의 수동 안전 기술을 사용하지 않는 것이 좋습니다. 또한, 성공적인 DevSecOps을 구축하기 위해, IT 부서는 개발 운영 팀에 자동화 및 보안 인력에 초점을 맞추어야한다. 때문에 컨테이너 인프라의 마이크로 서비스 아키텍처 패키지, 그래서 당신은 클라우드 기반 애플리케이션의 기존 응용 프로그램을보다 빠르게 확장 할 수 있습니다. 수단보다도 수동 방법은 보안을 유지하기 위해 너무 느립니다 및 자동화는 필수입니다. 안전을 보장하기 위해 설정 한 보안 팀 분류 개발 운영 팀은 문제가 한 번 수정 될 것으로보다는 응용 프로그램 코드에 포함되어 있습니다. 또한 속도와 질문에 대한 응답을 명확히 할 수 있습니다.
오 개 DevSecOps 기둥에 대한하자의 이야기,이 기둥은 포괄적 인 네트워크 보안을 보장하기 위해 상당한 잠재력을 가지고있다 :
보안 규정 준수 배포 파이프 라인 : 분석 도구, 통합 파이프 라인을 어떻게 DevSecOps 및 클라우드 네이티브 개발 파이프 라인에 준수 및 감사.
보안 및 규정 준수 클라우드 플랫폼 : ID 및 액세스 관리 평가, 측정 및 제어, 인프라 보호, 데이터 보호 및 이벤트에 응답.
코드 일관성 : 소프트웨어 개발 과정에서 준수를 보장하기 위해 코드 프레임 워크로 간주되는 문제의 관리, 규정 준수 및 위험 완화.
기밀 정보 관리 : 하이브리드 클라우드 클라우드 기반의 비즈니스 모델에서 중요한 정보, 키와 인증서를 관리 할 수 있습니다.
컨테이너의 개인 정보 보호 : 컨테이너 보안 정책에 적응하는 방법, 링크 컨테이너 보안 위협에 어떻게 검토하고 선박 운영 모델을 검사합니다.
이러한 모든 기둥은 항상 완전히 따라서, 보안 비즈니스 응용 프로그램 및 추가 검토가 필요 초점 영역입니다. 각 기둥의 부문 간 비전의 구현, 모든 수평 지배 구조 기둥을 제공하기 위해. 거버넌스 모델은 상호 이익이되는 방식으로 작동을 보장하기 위해 각 기둥과 기둥에 적용 할 수있다.
보호 된 배달 : 응용 프로그램 및 클라우드 인프라 플랫폼의 안정성, 규정 준수 및 보안에 대한 지원을 보장합니다.
안전 모드 : 다양성의 지원 고객 수용에 안전한 위치 및 위협 모델링을 개발한다.
정보 보호 : 내부 및 외부 고객 데이터 보호에서 해당 직원을 확인합니다.
위험 평가 : 갭 분석은 현재의 아키텍처, 컨테이너 전략과 클라우드 인프라 및 응용 프로그램이 포함되어 있습니다.
기술 수술 변경 로그 : 3-6개월 로드맵과 전략 실행 계획을 촉진하기 위해 프로젝트 결과를 제공함으로써, 질서 전술 실행 백 로그를 작성합니다.
새로운 보안 프로토 타입의 필요성
통계는 2021 기업의 92 %가 클라우드 네이티브 기업이 될 것이라고 보여줍니다.
일반적으로 조직이 $ 5,000 응용 프로그램과 그것을 위해 $ 5 보안 시스템을 구축하기 위해 고투하고, 그런 말을 가졌어요. 클라우드 보안에서 동일한의 보안 또는 더 중요한 요소. 따라서, DevSecOps 개념은 가능한 한 빨리 심각하게 구현 될 필요가있다.
응용 프로그램 개발 프로세스의 모든 단계에서 DevSecOps 준수를 제공하고, 설계 및 설치 응용 프로그램에 대한 책임이 있습니다. 첫 번째 팀은 성격이나 단체를 평가하고, 그룹이나 단체를 대신하여 절차를 수립 할 수 있습니다.
첫 번째 단계는 모든 사람들이 보호 할 책임이 있는지 확인하기 위해, 팀 사이에 섬을 할당하는 것입니다. 개발 팀은 보안상의 이유로 애플리케이션을 구축 할 수 있기 때문에, 그러므로 옵스 빠르게 소프트웨어를 제공하고 그들이 개발자들이 안정성을 알고 보호가 필수적 이해 때문에, 앉아서 휴식을 취하게됩니다.
사실, 프로세스는 즉시 보안 검사를 수행해야합니다.
서버 기록은 어떤 변화, 수정 된 때 모든 중요한 사실을 알 수있는 검토 과정에 변화를 만들기 위해 사람을 보여줍니다. 가장 쉬운 방법은 시스템이 항상 최신 소프트웨어 업데이트를 실행하기 위해 보호 유지합니다. 몇 달을 보내고 빠른 자동해야하지 않고 보안 수정. 마찬가지로, 새로운 기능과 API를 개발할 때하는 것은 잠재적 인 갱신해야 책임과 붕괴를 방지하기 위해 패치를 방지하기 위해 소프트웨어 프레임 워크를 방지하기 위해.
당신이 클라우드 네이티브 응용 프로그램을 만들 때, 여전히 보안 소프트웨어를 보호하는 단 하나의 방법이 없습니다. 클라우드 서버 자원을 보호하기 위해, 당신은 다각적 인 접근이 필요합니다. 컨테이너를 보호하기 위해, 당신은 몇 가지 전략을 취할 필요가있다. 궁극적으로, 당신은 장소에 보안 우선 순위 목록에 넣어하려면, 당신은 DevSecOps 전략이 필요합니다.
같은 이상적인 기본 클라우드 보안 프레임 워크의 모습?
클라우드 기반의 변환을 허용하기 위해, 기업들은 보안 정책을 설계하기 전에 다음 추가 요구 사항을 고려해야합니다
안전 자동화의 높은 기준 : 클라우드 기반 시스템을 만들 수 없습니다 예방 조치에 따라 일상적인 보안 작업은 사실상 무제한 동적 남아있다. 그것은 수동 워크 플로우의 선택이 아니다. 기본 클라우드 보안에 대한 수요는 자동으로 감지하고 대규모 감도입니다.
카오스 디자인 : 마이크로 서비스 아키텍처는, 함께 실행시 많은 소프트웨어 구성 요소는 어떤 기능을 사용할 수 있습니다. 보안 관점에서, 감지 및 제어 로직의 수단은 운영의 안전에 대한 사전 지식에 의존하지 않습니다. 기본 클라우드 보안이 포함되어야한다 CHAOS 공학 - 효과적이고 효율적으로 테스트를 실행합니다.
신속하게 로컬 및 쫓아 커버 식별 추적 : 프로그램은 기본적으로 할당 된 컴퓨팅 애플리케이션 기본 구름입니다. 이 생태계에서, 다음 글로벌 보안을 쉽게 선택할 수 없습니다 수행합니다. 그래서, 당신은 당신이 신속하게 악성 이력서의 시스템 전체에 확산되기 전에 동향을 파악하고 지역에 미치는 영향을 커버 할 수 그래서, 우선 순위 조치를 결정합니다. 보안 결정이 100 % 정확하지 않습니다,하지만,하지만 로컬 운영 및 신속한 복구 당신을 위해 기존 시스템은 호환성 제공 할 수 있습니다.
그런 다음 클라우드 솔루션은 기본 보안을해야한다? 즉, 컴파일러 기능에 중점을 할 수 있습니다. 저자는 다음과 같은 주요 기능이 믿고 :
혼합 스택의 가시성 및 의사 결정 지원
서버에서 VM, 데이터베이스, 소프트웨어 및 API 서비스, 응용 프로그램의 배포,하지만 단기적으로는 여전히 경우에도 동적 리소스와 용기는 아직 클라우드 가시성 및 의사 결정 지원 기본 데이터 센터가 필요합니다. 서로 다른 층에 데이터를 실시간으로 선택 프로세스 엔진으로 수득한다.
빠른 응답 및 경고 기능은 폭발 반경을 제한하는
사고 또는 공격 보안 솔루션의 경우 완화하고 영향을 제어 할 수 있습니다. 이 인수는 돌이킬 수없는 손상이 발생하기 전에 악의적 인 동작을 방지 할 수 있습니다, 빠른 의사 결정과 통찰력 통제 조치에 해당합니다. 클라우드 네이티브 환경에서 지능형 감지 시스템이 완벽하게 될 침입의 존재를 인식하고 로컬 제어에 영향을 줄 수 있습니다.
밀접하게 모니터링하고 조사
모든 분산 된 구성 요소 및 API 서비스, 기계 작업 안전 조사는 매우 복잡 할 수 클라우드 때문에, 감시 및 안전 조사는 성능에 미치는 영향 및 스토리지 요구 사항을 최소화해야합니다. 이 중앙 집중식 아키텍처를 모니터링하여, 네트워크 병목 현상이 아니며, 작업 부하가 확장 될 수 있습니다 포함되어 있습니다.
자동화 도구와 통합
컨테이너 워크로드가 클라우드 또는 Google GKE 네이티브 환경에서는 Kubernetes, Openshift, 아마존 ECS 관리를 할 수있다. 당신은 (선택적으로) 인형, Ansible 요리사를 사용하거나 자동으로 배치하여 수행. 보안 도구가 자동으로 워크로드의 보호를 배포 할 수 있습니다, 클라우드 환경은 이러한 구성 요소의 전제 조건과 통합해야합니다.
첫 번째 세대는 물리적 서버와 가상 머신, 이벤트 중심의 선박 및 응용 프로그램을 대체하기 위해 클라우드 전달의 복잡성의 창의성과 지속적인 적응을 허용하면서, 보안, 가시성을 극대화하고 위험을 감소 할 수있는 권리 진입 점을 찾아야합니다 .
결론
전체적인 환경은 소리가 매우 호소하지 클라우드 네이티브 환경에서 마이그레이션,하지만 우리는 그렇게하기로 결정하면, 확인 평가하기 위해 발생할 수있는 모든 안전 문제가 있는지 확인하기 위해 이 문제를 처리 할 수있는 충분한 자원과 팀이 있는지 여부를 평가합니다. 이 변화를 달성하려면 그리고 가장 중요한 것은, 당신의 사업은 정말 눈에 띄는 성장 할 수 있습니다.
희망이 당신에게 유용 기사, 우리는 논의 할 수있는 코멘트 섹션을 환영합니다.
추천 도서
☞ 마이크로 채널 QQ 작은 프로그램으로 인해 부정의 폐쇄 된, 세계에서 가장 큰 봇넷 마이크로 소프트의 큰 휴식, VS 코드 1.43 출시 | 괴짜 헤드 라인
☞ 공식 선전! 5G로 알리, 새로운 힘 XG 실험실 인프라의 구축
☞ 첨단 기술 퀘스트 : 기술지도 건축 프로세스 및 방법
☞ 영향을받는 지역에 독일 무한 프로그래머의 : 이른 아침 다운로드 데이터, 충격 속도 작업
☞ 취약점과 위협은 기본 무엇을 흐리게? 기본 방법 클라우드 보안? 여기에 당신이 알아야 할 모든입니다!
☞ 간단한 흰색 아날로그 비트 코인 시스템, 핸드의 물결을 프로그래밍 및 쓰기에 당신을 데려 갈! (코드) | 보웬 추천
당신은 내가 즐겨 찾기로 심각하게, 모든 점에서 보면
