【51CTO.com快譯】云原生應用程序與基礎設施需要配合不同于以往的安全方法。而以下最佳實踐無疑值得您關注。

[[208431]]

如今，各類企業皆在積極探索云原生軟件技術的應用。“云原生”是指將軟件打包至容器這類標準化單元中的方法，將這些單元排列成彼此對接的微服務即可構成應用程序，從而確保所運行的應用程序實現高度自動化，并帶來速度、靈活性與可擴展性等優勢。

由于此類方案徹底顛覆了軟件的構建、部署與運行方式，因此從根本上改變了軟件的保護需求。云原生應用程序與基礎設施帶來了多種全新挑戰，因此需要配合新的安全程序以支持企業安心運用云原生技術。

首先，我們將著眼于具體挑戰，而后分兩大部分探討能夠將其解決的最佳實踐。下面來看具體挑戰：

1. 傳統安全基礎設施缺少容器可見能力。 大多數現有主機型與網絡安全工具無法監控或捕捉容器活動。這些工具的設計初衷在于保護單一操作系統或主機間的流量，而非運行在其上的應用程序。這意味著缺少對容器內事件、系統交互與容器間流量的可見能力。

2.  攻擊面可能快速變化。 云原生應用程序包含大量被稱為微服務的小型組件，這些組件高度分布且必須進行獨立審計及保護。由于此類應用程序需要專門由編排系統進行配置與規模調整，因此攻擊面將隨時變化——且速度遠高于傳統整體式應用程序。

3.  分布式數據流要求持續監控。 容器與微服務具備輕量化特性，且需要以編程化方式實現彼此或與外部云服務間的交互。這將帶來大量跨越環境的快速移動數據，我們需要對其進行持續監控以快速發現攻擊與入侵跡象，同時不斷掌握未授權數據訪問或滲透行為。

4.  檢測、預防與響應必須實現自動化。容器生成事件的規模與速度要遠超過現有安全運營工作流的承載能力。容器的短暫生命周期也使相關工具難以捕捉、分析并確定事件的根本原因。有效的威脅保護方案需要以自動化方式進行數據收集、過濾、關聯以及分析，從而對新事件作出充分反應。

面對上述全新挑戰，安全專業人士需要建立新的安全程序以支持企業對云原生技術方案的使用。當然，這類安全程序也應當有能力解決云原生應用程序完整生命周期內的各類問題，具體可分為兩大不同階段：構建與部署階段，以及運行時階段。兩大階段各自擁有不同的安全需求考量，且必須將二者結合起來方能構建起一套全面的安全規程。

到這里，我們已經對面對的實際挑戰擁有了充分的認識。在本篇文章的下半部分內，我們將詳細探討兩大階段中存在的具體問題，并考量如何將其解決。各位讀者朋友，咱們不見不散!

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】