隨著對(duì)微服務(wù)以及與云計(jì)算無關(guān)的應(yīng)用程序和數(shù)據(jù)的依賴性越來越高，保證數(shù)據(jù)的安全性需要一種新方法。

讓很多人都感到驚奇的是，只需點(diǎn)擊幾下鼠標(biāo)，就可以啟動(dòng)一個(gè)服務(wù)器集群，隨時(shí)處理任何規(guī)模的數(shù)據(jù)。

在以往，企業(yè)需要購買CPU、內(nèi)存、網(wǎng)絡(luò)、存儲(chǔ)等硬件設(shè)備，并花費(fèi)大量資金和精力構(gòu)建自己的數(shù)據(jù)中心，并將設(shè)備連接到全球互聯(lián)網(wǎng)。

現(xiàn)在，即使已經(jīng)擁有大規(guī)模數(shù)據(jù)中心的傳統(tǒng)大型組織，也正在利用云計(jì)算技術(shù)的簡單性和可擴(kuò)展性。

但是，云原生環(huán)境中的安全性如何？基礎(chǔ)設(shè)施和應(yīng)用是否安全？這些問題仍需引起重視。

企業(yè)對(duì)構(gòu)建基礎(chǔ)設(shè)施的看法

沒有人一開始就通過訂購服務(wù)器來建立業(yè)務(wù)。企業(yè)首先確定想做的事情，開發(fā)一個(gè)系統(tǒng)并進(jìn)行了部署。并不真正在乎刀片服務(wù)器的品牌，但I(xiàn)T系統(tǒng)必須不斷運(yùn)行，它們必須可靠、可用、及時(shí)和安全。

每個(gè)IaaS供應(yīng)商（無論是AWS、谷歌、微軟還是其他公司）都提供基礎(chǔ)設(shè)施安全性。通過使用其基礎(chǔ)設(shè)施，用戶將大量的安全職責(zé)委托給了云計(jì)算供應(yīng)商。目前，很多企業(yè)認(rèn)為AWS、谷歌和微軟等公司所做的工作比他們自己可以完成的工作更安全。

基礎(chǔ)設(shè)施的安全性

從以下方面了解一下現(xiàn)代計(jì)算的分層模型。云計(jì)算基礎(chǔ)設(shè)施服務(wù)（IaaS）提供虛擬機(jī)——內(nèi)存、存儲(chǔ)、處理器和網(wǎng)絡(luò)。更高級(jí)別的服務(wù)提供操作系統(tǒng)、編排和對(duì)象存儲(chǔ)。

基礎(chǔ)設(shè)施的安全功能只能阻止來自其下一層的攻擊。例如，如果用戶選擇Amazon Elastic Block Storage（EBS）加密，則將在操作系統(tǒng)（OS）級(jí)別和硬件之間的虛擬化級(jí)別對(duì)實(shí)際數(shù)據(jù)存儲(chǔ)上的數(shù)據(jù)進(jìn)行加密。如果攻擊者闖入亞馬遜的數(shù)據(jù)中心并竊取了硬盤，將其帶回家，并將其連接到自己的計(jì)算機(jī)，那么他看到的卻是加密的數(shù)據(jù)。

如果網(wǎng)絡(luò)攻擊者遠(yuǎn)程破壞了同一虛擬機(jī)，則他可以像合法應(yīng)用程序一樣打開同一個(gè)EBS卷上的文件并透明地讀取數(shù)據(jù)，因?yàn)樘摂M化層無法告訴誰正在嘗試讀取信息。

這同樣適用于其他基礎(chǔ)設(shè)施級(jí)別的安全功能，如防火墻。如果企業(yè)擁有服務(wù)器A和B，其中B是A的客戶端，可以定義防火墻規(guī)則來限制對(duì)運(yùn)行服務(wù)器A的訪問，因此只有服務(wù)器B可以訪問它。那么，侵入服務(wù)器B的攻擊者可以很容易地訪問服務(wù)器A。

一般來說，如果攻擊源位于保護(hù)層之上，則其安全保護(hù)無效。鑒于攻擊主要來自應(yīng)用層的方向，基礎(chǔ)設(shè)施級(jí)別的保護(hù)只提供一部分安全性。

雖然基礎(chǔ)設(shè)施可以限制應(yīng)用程序級(jí)別的活動(dòng)以防止發(fā)生不必要的行為，但其結(jié)果將非常緊湊，并且維護(hù)成本非常高。這意味著其周界太寬而無法提供足夠的安全性，或者太窄而無法維護(hù)云原生世界的安全性。

真實(shí)應(yīng)用程序安全性的誤區(qū)

如果應(yīng)用程序可以自我保護(hù)，那將是朝著全面云原生安全性邁出的一大步。當(dāng)然，業(yè)界人士并沒有將應(yīng)用程序視為需要保護(hù)的事物，而是開發(fā)了許多基礎(chǔ)設(shè)施安全功能來解決這一問題。

此外，自我保護(hù)應(yīng)用程序很難配置和維護(hù)。他們的安全級(jí)別無處不在。實(shí)際上，在這種類型的環(huán)境中，要實(shí)現(xiàn)真正的應(yīng)用程序安全性非常困難，因?yàn)樗鼈兊陌姹究赡軙?huì)有所不同，并且它們的來源也各不相同。

SSL/TLS無效的情況

這個(gè)安全協(xié)議，實(shí)際上是保護(hù)TCP連接的行業(yè)標(biāo)準(zhǔn)，它是在上世紀(jì)90年代開發(fā)的。盡管它的設(shè)計(jì)堪稱典范，但對(duì)于討論的主題而言，重要的是傳輸層安全協(xié)議（TLS）連接旨在在瀏覽器應(yīng)用程序和Web服務(wù)器軟件之間創(chuàng)建。它不是基礎(chǔ)設(shè)施功能，甚至不是網(wǎng)絡(luò)驅(qū)動(dòng)程序的功能。它是純粹應(yīng)用程序級(jí)別的功能，這意味著在理想情況下只有應(yīng)用程序才能訪問通過網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)。

隨著時(shí)間的推移，服務(wù)器端安全傳輸層協(xié)議（TLS）產(chǎn)品不斷發(fā)展，如RSA的傳輸層安全協(xié)議（TLS）服務(wù)器終端硬件。傳輸層安全協(xié)議（TLS）終止已經(jīng)成為一種常見的做法，這意味著傳輸層安全協(xié)議（TLS）連接到達(dá)一個(gè)反向代理軟件或硬件，其唯一的目標(biāo)是解除連接的保護(hù)，并將其轉(zhuǎn)發(fā)到不受保護(hù)的正確Web服務(wù)器。

為什么這么做

一方面，它不那么安全，但是很難在整個(gè)服務(wù)器園區(qū)中維護(hù)傳輸層安全協(xié)議（TLS）證書和密鑰。當(dāng)明確內(nèi)部服務(wù)之間的通信也必須受到保護(hù)時(shí)，不同的云計(jì)算供應(yīng)商會(huì)有不同的答案。Istio等獨(dú)立于云計(jì)算的解決方案以及其他附帶解決方案的解決方案在受保護(hù)的應(yīng)用程序旁邊放置了一個(gè)額外的容器，可以像使用Web服務(wù)器一樣執(zhí)行傳輸層安全協(xié)議（TLS）終止，但是這種方法無效。

傳輸層安全協(xié)議（TLS）的使用差強(qiáng)人意，因?yàn)楹茈y使用它來配置和維護(hù)應(yīng)用程序。傳輸層安全協(xié)議（TLS）需要持續(xù)的重新配置（證書續(xù)訂）和密鑰保護(hù)（其密鑰丟失將會(huì)危及整個(gè)TLS系統(tǒng)）。所有應(yīng)用程序的配置都有些不同，這使維護(hù)變得很困難。當(dāng)然，某些應(yīng)用程序根本不支持傳輸層安全協(xié)議（TLS）。

當(dāng)然，這個(gè)簡單的傳輸層安全協(xié)議（TLS）示例通過在應(yīng)用程序中添加廣泛的安全功能突出了操作問題。此外，業(yè)務(wù)和應(yīng)用程序開發(fā)都集中在功能上。安全是次要的，如果有的話。

真正的解決方案是什么

業(yè)務(wù)驅(qū)動(dòng)的思維推動(dòng)了基礎(chǔ)設(shè)施內(nèi)的安全性，它應(yīng)該是開箱即用的。在很多情況下是這樣的——但是基礎(chǔ)設(shè)施的安全性是有限的。以基礎(chǔ)設(shè)施為中心的應(yīng)用程序安全性方法也不起作用。

其答案是，其安全必須在應(yīng)用程序級(jí)別，而不是應(yīng)用程序的一部分。

相關(guān)鏈接

云安全市場(chǎng)將進(jìn)一步擴(kuò)大

近年來，我國積極布局網(wǎng)絡(luò)安全，加快網(wǎng)絡(luò)安全市場(chǎng)布局，十分重視網(wǎng)絡(luò)和信息安全問題，并采取了一系列重大舉措以應(yīng)對(duì)日益突出的網(wǎng)絡(luò)和信息安全問題，網(wǎng)絡(luò)安全市場(chǎng)在國內(nèi)得到快速發(fā)展。據(jù)數(shù)據(jù)預(yù)測(cè)，2019年我國網(wǎng)絡(luò)安全市場(chǎng)規(guī)?；蜻_(dá)到680億元，同比增長25%。隨著對(duì)網(wǎng)絡(luò)安全的愈加重視及布局，市場(chǎng)規(guī)模將持續(xù)擴(kuò)大，預(yù)計(jì)到2021年中國網(wǎng)絡(luò)安全市場(chǎng)規(guī)模將達(dá)千億元。此外，云安全市場(chǎng)保持增長。

數(shù)據(jù)顯示，2018年中國云安全市場(chǎng)規(guī)模達(dá)37.76億元，增長45%。隨著信息安全越來越受到重視，云安全市場(chǎng)將進(jìn)一步擴(kuò)大。2019年，中國云安全市場(chǎng)規(guī)模約為57億元，增長超五成。預(yù)計(jì)2020年我國云安全市場(chǎng)規(guī)模將超80億元，到2021年有望達(dá)到115億元。

云安全技術(shù)的發(fā)展，不僅更好地解決了云內(nèi)安全問題，也讓以NFV（網(wǎng)絡(luò)功能虛擬化）的生態(tài)得到了良好的發(fā)展。目前，以安全能力虛擬化+安全能力調(diào)度為技術(shù)架構(gòu)的眾多一體機(jī)產(chǎn)品，例如等級(jí)保護(hù)一體機(jī)、網(wǎng)點(diǎn)出口一體機(jī)、數(shù)據(jù)中心安全防護(hù)一體機(jī)，已經(jīng)實(shí)現(xiàn)了對(duì)嵌入式網(wǎng)絡(luò)通信平臺(tái)的部分替代。未來，網(wǎng)絡(luò)安全技術(shù)的劃分會(huì)更加精細(xì)，安全能力將會(huì)越來越多，尤其是在私有云等環(huán)境下尤為明顯，虛擬化安全新架構(gòu)將會(huì)有更廣闊的應(yīng)用前景。