解析云原生应用安全,看移动云如何为企业“深度云化”提供全方位保障
云原生作为一种在云环境下构建应用程序的方法,其能以分布式系统、容器、微服务等技术为用户构建出可弹性扩展的应用,以此将云计算的服务能力逐渐从“资源式”升级到“任务式”。但新技术体系的应用也让原有的安全防御体系难以保障用户的用云安全。此前,IDC发布的《中国容器安全市场洞察,2023》报告就对国内容器市场安全提出了相关行动建议。其中,移动云云原生应用安全获得了IDC报告的高度认可,成为目前国内容器安全方面的代表性技术方案。那么,云原生环境下的安全服务与传统安全服务有哪些不同?移动云云原生应用安全又有哪些具体的安全保障能力呢?
云原生时代需要多维度、全方位的安全保障能力
传统的云安全、网络安全服务针对的攻击主要有DDoS攻击、漏洞攻击、病毒攻击、僵尸网络等,因此传统安全服务侧重于对网络、云基础设施、云平台等边界的防护。而在云原生环境中,容器、服务网格、微服务等技术的应用使用户应用的暴露面增加,业务开发运行模式也发生了改变,镜像安全风险、容器环安全风险、集群安全风险等新型风险也由此产生。因此,云原生安全需要与云计算基础架构和应用程序的全生命周期进行紧密结合,以弹性、可编排和轻量化等特点,打造出内在的、可持续性的安全保障能力,从而与传统安全服务一起,构建出多维度、立体式的防护体系。
以“算网原生”实现算力“任务式”取用
作为一朵央企云,移动云为推动算力“普惠化”,不断以“4+N+31+X”集约化梯次布局,加速构建算力网络,并创新地提出了“算网原生”概念,以期让应用生于算网、长于算网,并能够基于业务监控进行算力、网络的快速弹性智能伸缩,从而为用户实现算力、网络资源的“任务式”取用。基于“算网原生”理念,移动云推出了涵盖八大云原生产品体系的云原生技术平台——移动云CNP。目前,该平台已通过中国信通院组织的云原生技术架构成熟度评估。评估结果表明,移动云CNP在资源管理、运维保障、研发测试、应用服务4大能力域均处于业界领先水平,具备较为成熟的跨云跨地域算力统一管理、分布式数据服务、分布式应用开发、应用治理以及全链路统一运维等云原生核心能力。
以平台化级安全服务,全面保障云原生应用生态安全
作为新兴领域,云原生安全行业中很多企业为创业型技术企业,因此一些云原生安全类产品往往只针对代码安全、DevSecOps等单项安全服务,难以对用户实现全面保障。而移动云CNP成熟的平台级能力能够轻松实现应用架构的云原生化。基于此,移动云以容器技术为基础,推出了移动云云原生应用安全。移动云云原生应用安全具有资产中心、报警中心、镜像安全、容器运行时安全、集群安全、应用及服务安全、网络微隔离、管理中心等多项功能。该安全服务不仅可以提供跨地域资产集中管理服务,让用户能够统一查看防护信息和风险信息,还能够为运行容器提供学习容器行为的能力,并为目标容器构建安全行为模型。正因如此,基于移动云云原生应用安全服务的目标容器具有自动化的、智能化的容器运行风险监测能力,能够自如应对同一节点上业务的弹性变化,从而为用户节省大量的策略配置和维护时间。
移动云云原生应用安全还支持对镜像、容器、服务等各类资产进行漏洞、木马病毒、入侵行为、安全配置等多维度的安全检测,提供全面的安全检查能力,并能够针对云原生环境在生命周期各个阶段的安全风险,提供对应的检测和防护能力,从而保障从容器镜像生成、存储编排到运行的全生命周期安全。此外,云原生应用安全服务基于容器部署,能够利用容器和服务进行细粒度的双向网络访问控制,帮助用户减小被攻击面,防止入侵行为的横向扩张;同时用户可一键安装防护,且防护服务资源占用低,不会影响用户业务的正常运行。
基于移动云成熟的云原生技术架构,移动云云原生应用安全能够与云原生应用“相伴相生”,以弹性、可编排、轻量化的特点,为云原生应用提供从开发、编译、构建到运行时的全生命周期安全防护。因此云原生应用安全目前可应用于容器集群安全防护、容器镜像安全防护、满足等保合规等多个使用场景之中。
云原生时代,传统安全问题将依旧存在,云原生安全只是云安全工作中的一部分。为此,移动云也将以自身平台级能力为核心,不断构建并完善云安全服务生态,从而以多层级、立体式的安全防护体系,为各个行业、领域的“深度云化”保驾护航。