譯者 | 晶顏

審校 | 重樓

什么是云原生應(yīng)用？

云原生應(yīng)用標(biāo)志著軟件創(chuàng)建和推出方式的改變。它利用了云計(jì)算環(huán)境的功能，將應(yīng)用程序構(gòu)建為一組被稱為“微服務(wù)”的服務(wù)，通過(guò)API進(jìn)行交互。

像Docker這樣的容器化工具通常用于打包每個(gè)微服務(wù)及其依賴項(xiàng)，以確保跨設(shè)置的一致性并支持部署。Kubernetes等平臺(tái)可以自動(dòng)管理應(yīng)用程序，處理擴(kuò)展負(fù)載平衡和服務(wù)發(fā)現(xiàn)等任務(wù)。DevOps方法則強(qiáng)調(diào)開(kāi)發(fā)和運(yùn)維團(tuán)隊(duì)之間的協(xié)作，通過(guò)支持持續(xù)集成、持續(xù)交付和快速迭代，在原生方法中發(fā)揮作用。

憑借其核心的靈活性和可擴(kuò)展性，原生應(yīng)用可以動(dòng)態(tài)地調(diào)整資源，以滿足不斷變化的工作負(fù)載，從而提高性能和成本效益。此外，它們優(yōu)先考慮彈性，采用容錯(cuò)措施來(lái)優(yōu)雅地處理故障并維護(hù)可用性。采用原生原則使組織能夠加速創(chuàng)新，提高敏捷性，并簡(jiǎn)化他們的軟件開(kāi)發(fā)過(guò)程。

運(yùn)行時(shí)安全模型

運(yùn)行時(shí)安全模型的概念與應(yīng)用程序積極運(yùn)行時(shí)實(shí)現(xiàn)的安全措施和協(xié)議有關(guān)。它涉及一系列旨在保護(hù)應(yīng)用程序及其基礎(chǔ)設(shè)施在運(yùn)行期間免受安全風(fēng)險(xiǎn)的策略和技術(shù)。運(yùn)行時(shí)安全模型的一些關(guān)鍵元素如下所示：

• 訪問(wèn)控制：實(shí)時(shí)實(shí)施訪問(wèn)控制，確保只有經(jīng)過(guò)授權(quán)的用戶或進(jìn)程才能與應(yīng)用程序及其數(shù)據(jù)交互。這包括設(shè)置諸如多因素身份驗(yàn)證（MFA）或OAuth之類的身份驗(yàn)證機(jī)制，以驗(yàn)證用戶身份并強(qiáng)制執(zhí)行適當(dāng)?shù)氖跈?quán)規(guī)則。
• 加密：在應(yīng)用程序運(yùn)行時(shí)對(duì)數(shù)據(jù)進(jìn)行加密有助于防止非法訪問(wèn)或攔截。這包括在傳輸過(guò)程中使用HTTPS或TLS等協(xié)議加密數(shù)據(jù)，就像使用加密算法和安全存儲(chǔ)方法加密靜態(tài)數(shù)據(jù)一樣。
• 運(yùn)行時(shí)監(jiān)控：持續(xù)監(jiān)控應(yīng)用程序的運(yùn)行時(shí)環(huán)境對(duì)于檢測(cè)和響應(yīng)安全威脅或異常是至關(guān)重要的。這包括跟蹤活動(dòng)、審計(jì)事件以及監(jiān)視系統(tǒng)和網(wǎng)絡(luò)流量。
• 漏洞管理：持續(xù)評(píng)估應(yīng)用程序及其組件對(duì)于發(fā)現(xiàn)任何弱點(diǎn)和維護(hù)設(shè)置非常重要。使用自動(dòng)化的漏洞檢查工具可以幫助發(fā)現(xiàn)漏洞，并根據(jù)漏洞的嚴(yán)重性對(duì)其進(jìn)行優(yōu)先級(jí)排序，從而更輕松地解決問(wèn)題。
• 容器安全性：在利用容器化技術(shù)部署應(yīng)用程序時(shí)，關(guān)注容器安全性至關(guān)重要。這包括掃描容器映像以查找漏洞、在運(yùn)行時(shí)監(jiān)視容器行為以及在容器的編排層實(shí)現(xiàn)安全措施等舉措。
• 安全配置管理：確保應(yīng)用程序及其運(yùn)行環(huán)境的配置管理，可以減少潛在的攻擊點(diǎn)，最大限度地減少安全威脅。這包括加固操作系統(tǒng)、保護(hù)網(wǎng)絡(luò)設(shè)置以及停用可能產(chǎn)生漏洞的服務(wù)或功能等步驟。
• 運(yùn)行時(shí)威脅檢測(cè)和響應(yīng)：在操作過(guò)程中，擁有用于識(shí)別和響應(yīng)實(shí)時(shí)威脅的機(jī)制對(duì)于處理安全事件至關(guān)重要。分析機(jī)器學(xué)習(xí)算法或利用威脅情報(bào)饋送等技術(shù)可以幫助識(shí)別可疑活動(dòng)或潛在漏洞，以增強(qiáng)安全態(tài)勢(shì)。

云原生環(huán)境的類型

云原生環(huán)境可以根據(jù)它們使用的技術(shù)和部署模型分為以下幾種：

1. 虛擬機(jī)：在基于虛擬機(jī)的環(huán)境中，應(yīng)用程序部署在虛擬服務(wù)器中。每個(gè)虛擬機(jī)運(yùn)行自己的操作系統(tǒng)，以確保應(yīng)用程序之間的隔離。虛擬化環(huán)境負(fù)責(zé)將資源（CPU、內(nèi)存、存儲(chǔ)等）分配給虛擬機(jī)。云服務(wù)提供商提供虛擬機(jī)實(shí)例的大小和配置，供用戶根據(jù)需要部署和擴(kuò)展應(yīng)用程序。
2. 存儲(chǔ)單元：容器充當(dāng)包含應(yīng)用程序及其必要組件的包，便于在設(shè)置中部署。依賴容器的云原生環(huán)境使用Docker等技術(shù)將應(yīng)用程序捆綁到容器中。這些容器利用主機(jī)操作系統(tǒng)內(nèi)核，導(dǎo)致與機(jī)器（VM）相比成本增加。Kubernetes是一個(gè)用于大規(guī)模管理容器化應(yīng)用程序的平臺(tái)。
3. 容器服務(wù)：容器服務(wù)平臺(tái)為部署、編排和擴(kuò)展應(yīng)用程序提供了一個(gè)托管環(huán)境，用戶無(wú)需處理底層基礎(chǔ)設(shè)施的復(fù)雜性。這些平臺(tái)簡(jiǎn)化了容器編排任務(wù)，并允許開(kāi)發(fā)人員專注于有效地構(gòu)建和部署應(yīng)用程序。
4. 無(wú)服務(wù)器函數(shù)（Serverless Function）：在無(wú)服務(wù)器函數(shù)中，開(kāi)發(fā)人員可以運(yùn)行函數(shù)或代碼段，而無(wú)需管理服務(wù)器或基礎(chǔ)設(shè)施。云提供商根據(jù)事件或觸發(fā)器動(dòng)態(tài)分配資源以執(zhí)行這些函數(shù)。這些無(wú)服務(wù)器函數(shù)通常是無(wú)狀態(tài)的、事件觸發(fā)的、壽命短的，因此非常適合事件驅(qū)動(dòng)的架構(gòu)、時(shí)間數(shù)據(jù)處理和微服務(wù)應(yīng)用程序。一些無(wú)服務(wù)器平臺(tái)的例子包括AWS Lambda、Google Cloud Functions和Azure Functions。

云原生應(yīng)用安全最佳實(shí)踐

保護(hù)基于云的應(yīng)用程序涉及一種策略，該策略涵蓋了從底層基礎(chǔ)設(shè)施到實(shí)際應(yīng)用程序代碼的應(yīng)用程序堆棧級(jí)別。下面，讓我們探討一些確保基于云的應(yīng)用程序安全的指導(dǎo)原則：

• 安全開(kāi)發(fā)實(shí)踐：確保使用編碼技術(shù)和指南（如OWASP Top 10），以防止諸如注入攻擊、XSS、CSRF等安全風(fēng)險(xiǎn)。在開(kāi)發(fā)期間合并代碼評(píng)估、靜態(tài)代碼檢查和自動(dòng)安全評(píng)估（如SAST和DAST），以查明并修復(fù)某個(gè)階段的安全弱點(diǎn)。
• 容器安全：通過(guò)使用Claire、Trivy或Anchore等工具頻繁掃描容器映像以查找漏洞。確保來(lái)自源的容器映像選擇基本映像，并單獨(dú)包含基本依賴項(xiàng)。在運(yùn)行時(shí)期間實(shí)現(xiàn)安全措施，以限制容器特權(quán)并將攻擊風(fēng)險(xiǎn)降至最低。
• 網(wǎng)絡(luò)安全：利用網(wǎng)絡(luò)分段和防火墻來(lái)控制應(yīng)用程序各部分之間的數(shù)據(jù)移動(dòng)。結(jié)合加密方法（如TLS/SSL），以保護(hù)數(shù)據(jù)在傳輸過(guò)程中避免被竊聽(tīng)或攔截。使用Web應(yīng)用防火墻（WAF）對(duì)HTTP流量進(jìn)行內(nèi)容和安全威脅篩選。
• API安全性：通過(guò)使用API密鑰、OAuth令牌或JWT令牌來(lái)允許API請(qǐng)求。設(shè)置使用限制、控制流量、實(shí)施訪問(wèn)規(guī)則來(lái)防止誤用并抵御DDoS攻擊。清理輸入數(shù)據(jù)，防止注入攻擊，維護(hù)數(shù)據(jù)的完整性。
• 記錄和監(jiān)控：建立一個(gè)記錄和監(jiān)控系統(tǒng)，以密切關(guān)注安全事件和異常事件。利用安全信息和事件管理（SIEM）工具收集和連接來(lái)自各個(gè)來(lái)源的安全日志，以檢測(cè)威脅和響應(yīng)事件。為安全方面的任何活動(dòng)或違規(guī)創(chuàng)建警報(bào)和自動(dòng)化操作。
• 事件響應(yīng)和災(zāi)難恢復(fù)：制定響應(yīng)事件的計(jì)劃，詳細(xì)說(shuō)明識(shí)別、控制和從安全問(wèn)題中恢復(fù)的步驟。確認(rèn)備份和災(zāi)難恢復(fù)協(xié)議的有效性，以保障數(shù)據(jù)的準(zhǔn)確性，并在入侵或故障的情況下減少中斷。

云原生安全工具和平臺(tái)

市面上有各種安全工具和平臺(tái)可用于解決云原生應(yīng)用和環(huán)境面臨的安全挑戰(zhàn)。以下是一些按功能分類的杰出例子：

1. 容器安全

Docker安全掃描

Docker安全掃描是Docker Hub提供的用于存儲(chǔ)Docker容器映像的功能。它使用戶能夠檢查Docker容器鏡像是否存在安全問(wèn)題，并接收有關(guān)發(fā)現(xiàn)的任何漏洞的警報(bào)。以下是Docker安全掃描的工作原理：

• 上傳鏡像：當(dāng)用戶上傳一個(gè)Docker鏡像到Docker Hub時(shí)，它會(huì)進(jìn)入安全掃描隊(duì)列；
• 漏洞檢測(cè)：Docker Hub利用已知漏洞數(shù)據(jù)庫(kù)掃描容器映像的各個(gè)層，尋找集成到映像中的操作系統(tǒng)包、庫(kù)和依賴項(xiàng)中的安全漏洞；
• 安全警報(bào)：在完成掃描過(guò)程后，Docker Hub會(huì)生成安全警報(bào)，突出顯示在映像中發(fā)現(xiàn)的任何漏洞。這些警報(bào)詳細(xì)說(shuō)明了有關(guān)每個(gè)漏洞的信息，例如其嚴(yán)重級(jí)別、受影響的組件以及修復(fù)這些漏洞的建議步驟。

Clair

Clair是一種用于掃描容器映像源中漏洞的工具。它是由CoreOS創(chuàng)建的，現(xiàn)在是紅帽的一部分。它通常用于容器的安全流程，以識(shí)別和解決Docker和開(kāi)放容器倡議（OCI）映像中的安全缺陷。以下是Clair的主要功能：

• 檢測(cè)漏洞：Clair分析容器映像及其層，以檢測(cè)映像中包含的操作系統(tǒng)包、庫(kù)和依賴項(xiàng)中存在的已知安全漏洞。它將映像中的組件與從安全建議中獲得的已知漏洞的更新數(shù)據(jù)庫(kù)進(jìn)行比較。
• 架構(gòu)設(shè)計(jì)：Clair的架構(gòu)允許可擴(kuò)展的漏洞掃描。它由數(shù)據(jù)庫(kù)（通常是PostgreSQL）、REST API服務(wù)器和負(fù)責(zé)獲取漏洞數(shù)據(jù)和執(zhí)行掃描操作的工作進(jìn)程等組件組成。
• 分析靜態(tài)數(shù)據(jù)：Clair能夠在不運(yùn)行容器映像的情況下分析它們，從而支持快速和輕量級(jí)的漏洞檢查。它從映像清單中提取元數(shù)據(jù)，并仔細(xì)檢查各層，以收集有關(guān)已安裝包、庫(kù)及其各自版本的詳細(xì)信息。
• CVE匹配：Clair將容器映像中的元素與CVE 數(shù)據(jù)庫(kù)進(jìn)行比較，以識(shí)別任何漏洞。它提供了每個(gè)漏洞的信息，例如CVE ID、嚴(yán)重等級(jí)、受影響的版本，以及參考和建議。
• 與容器編排平臺(tái)集成：Clair可以與Kubernetes等容器編排平臺(tái)連接，在部署期間自動(dòng)進(jìn)行漏洞掃描。有一些插件和擴(kuò)展還可以與流行的容器運(yùn)行時(shí)環(huán)境和編排器集成。
• 自定義和可擴(kuò)展性：Clair具有高度可定制性和靈活性，允許用戶個(gè)性化漏洞掃描策略，設(shè)置掃描閾值，并與外部系統(tǒng)和工具連接。用戶可以創(chuàng)建自定義插件和擴(kuò)展來(lái)擴(kuò)展Clair的功能，并將它們整合到現(xiàn)有的安全流程和工具集中。

Anchore Engine

Anchore Engine是一個(gè)容器安全平臺(tái)，專注于分析、評(píng)估和驗(yàn)證容器映像的安全漏洞、策略遵從性以及行業(yè)標(biāo)準(zhǔn)合規(guī)性。它允許組織維護(hù)安全協(xié)議，并保證容器中的應(yīng)用程序在設(shè)置中安全構(gòu)建和啟動(dòng)。以下是Anchore Engine的功能概述：

• 漏洞評(píng)估：Anchore Engine對(duì)容器映像進(jìn)行漏洞評(píng)估，精確定位操作系統(tǒng)包、庫(kù)和依賴項(xiàng)中存在的已知安全漏洞。它使用CVE等數(shù)據(jù)庫(kù)，將容器映像中的組件與已知漏洞進(jìn)行比較。
• 策略評(píng)估：Anchore Engine為容器映像定義配置、包版本和漏洞閾值，并根據(jù)這些策略評(píng)估容器映像，以確保與安全實(shí)踐和組織指導(dǎo)方針保持一致。
• 映像摘要分析和元數(shù)據(jù)評(píng)估：Anchore Engine仔細(xì)檢查來(lái)自容器映像的元數(shù)據(jù)，如映像摘要、層數(shù)據(jù)和包清單，以提供對(duì)其內(nèi)容和互連性的見(jiàn)解。這有助于用戶掌握容器映像的組成，同時(shí)確定安全威脅或合規(guī)性問(wèn)題。
• 可定制策略和白名單：用戶可以根據(jù)自己的不同需求和場(chǎng)景定制安全策略和白名單。Anchore Engine提供了策略定制選項(xiàng)，允許組織調(diào)整漏洞嚴(yán)重級(jí)別黑名單包，并根據(jù)他們的風(fēng)險(xiǎn)承受能力和監(jiān)管要求進(jìn)行合規(guī)性檢查。
• 與CI/CD管道無(wú)縫集成：Anchor Engine與CI/CD管道無(wú)縫集成，以自動(dòng)進(jìn)行安全評(píng)估，并確保在整個(gè)容器生命周期中遵守策略。它提供了與CI/CD工具集成的插件和API，支持在構(gòu)建和部署階段自動(dòng)掃描漏洞并執(zhí)行策略。
• 通知系統(tǒng)和警報(bào)：Anchor Engine通過(guò)電子郵件通知、webhook警報(bào)和連接到外部通知系統(tǒng)，提醒用戶在容器映像中發(fā)現(xiàn)的安全漏洞、策略違規(guī)和合規(guī)性問(wèn)題。此特性使響應(yīng)能夠解決安全問(wèn)題并滿足安全標(biāo)準(zhǔn)合規(guī)性要求。
• 可擴(kuò)展性和性能優(yōu)化：Anchor Engine是為支持跨分布式環(huán)境的容器映像分析和掃描的可擴(kuò)展性而構(gòu)建的。通過(guò)利用處理和緩存機(jī)制，它提高了性能效率，同時(shí)減少了掃描持續(xù)時(shí)間。這確保了大規(guī)模容器映像的快速安全評(píng)估。

容器編排安全

保護(hù)容器編排涉及保護(hù)平臺(tái)本身及其監(jiān)督的容器化任務(wù)。隨著Kubernetes、Kube、Sysdig、Docker Swarm和Apache Mesos等平臺(tái)在編排和擴(kuò)展容器化應(yīng)用程序方面越來(lái)越受歡迎，優(yōu)先考慮安全措施變得至關(guān)重要。

• Kubernetes安全策略：Kubernetes的一個(gè)函數(shù)，通過(guò)控制訪問(wèn)和管理volume mount，在pod級(jí)別設(shè)置安全規(guī)則。
• Kubernetes Bench：根據(jù)CIS Kubernetes基準(zhǔn)中定義的行業(yè)實(shí)踐來(lái)評(píng)估Kubernetes集群的工具。
• Docker Swarm：Docker Swarm是Docker的原生集群和編排工具。它通過(guò)提供負(fù)載平衡和服務(wù)發(fā)現(xiàn)等特性，簡(jiǎn)化了容器的編排。
• Sysdig Secure：用于保護(hù)容器的平臺(tái)，包括在運(yùn)行時(shí)進(jìn)行威脅檢測(cè)、管理漏洞和確保Kubernetes設(shè)置中的合規(guī)性。

2. 無(wú)服務(wù)器安全

AWS Lambda安全最佳實(shí)踐：AWS提供了專門針對(duì)AWS Lambda保護(hù)無(wú)服務(wù)器應(yīng)用程序的指導(dǎo)方針。OWASP無(wú)服務(wù)器十大項(xiàng)目強(qiáng)調(diào)了無(wú)服務(wù)器設(shè)置中的安全風(fēng)險(xiǎn)，并提供了有效的緩解策略。Snyk是一個(gè)致力于識(shí)別和修復(fù)開(kāi)源依賴中漏洞的平臺(tái)。

3. API安全性

API安全性涉及用于保護(hù)API免受入侵、數(shù)據(jù)泄露和有害攻擊的實(shí)踐、方法和技術(shù)。由于API在軟件開(kāi)發(fā)中促進(jìn)不同系統(tǒng)之間的通信和數(shù)據(jù)交換，因此確保API的安全性對(duì)于保護(hù)敏感數(shù)據(jù)和維護(hù)應(yīng)用程序及服務(wù)的可靠性至關(guān)重要。以下是API安全性的一些基本要素：

• 身份驗(yàn)證：采用健壯的身份驗(yàn)證技術(shù)來(lái)確認(rèn)API用戶的身份，并保證獲得批準(zhǔn)的個(gè)人和應(yīng)用程序可以到達(dá)受保護(hù)的資源。這可能涉及使用API密鑰、OAuth令牌、JWT（JSON Web令牌）或客戶端證書(shū)進(jìn)行身份驗(yàn)證。
• 授權(quán)：實(shí)施訪問(wèn)控制和授權(quán)策略，以根據(jù)用戶的角色、權(quán)限和特權(quán)限制對(duì)API端點(diǎn)和資源的訪問(wèn)。實(shí)現(xiàn)基于角色的訪問(wèn)控制（RBAC）或基于屬性的訪問(wèn)控制（ABAC），以建立和監(jiān)督授權(quán)規(guī)則。
• 加密：對(duì)通過(guò)API傳輸?shù)拿舾袛?shù)據(jù)進(jìn)行加密，防止被截取或監(jiān)控。利用傳輸層安全性（TLS/SSL）加密客戶端和服務(wù)器之間的通信，確保數(shù)據(jù)的機(jī)密性和完整性。
• 輸入驗(yàn)證：為了確保系統(tǒng)安全，需要仔細(xì)清理來(lái)自API用戶的任何數(shù)據(jù)。這有助于防止諸如代碼注入之類的攻擊。通過(guò)使用驗(yàn)證和數(shù)據(jù)銷毀技術(shù)，可以確保在將用戶輸入用于流程之前對(duì)其進(jìn)行過(guò)濾和清理。
• 速率限制和節(jié)流：設(shè)置控制API請(qǐng)求流的措施，可以防止濫用、拒絕服務(wù)（DoS）攻擊和暴力破解攻擊。通過(guò)根據(jù)用戶身份、IP地址或API密鑰等因素設(shè)置請(qǐng)求的數(shù)量限制，還可以減少系統(tǒng)超載和耗盡資源的風(fēng)險(xiǎn)。
• 審計(jì)日志記錄：跟蹤API中的所有活動(dòng)對(duì)于監(jiān)視訪問(wèn)嘗試和安全事件至關(guān)重要。通過(guò)記錄這些事件，可以密切關(guān)注用戶操作，檢測(cè)任何行為，并及時(shí)調(diào)查安全問(wèn)題。
• API網(wǎng)關(guān)：API網(wǎng)關(guān)是有效管理和保護(hù)所有API的核心。這些網(wǎng)關(guān)通過(guò)處理諸如身份驗(yàn)證檢查、授權(quán)驗(yàn)證、數(shù)據(jù)加密過(guò)程和控制請(qǐng)求速率等任務(wù)，幫助在API之間強(qiáng)制執(zhí)行安全策略。

4. 谷歌云安全指揮中心

谷歌云安全指揮中心（Cloud SCC）是谷歌云平臺(tái)（GCP）提供的安全管理和數(shù)據(jù)保護(hù)平臺(tái)。它提供了對(duì)跨GCP基礎(chǔ)設(shè)施、服務(wù)和應(yīng)用程序的安全性和遵從性風(fēng)險(xiǎn)的全面洞察和監(jiān)督。谷歌云安全指揮中心包含以下主要功能：

• 資產(chǎn)清單：云SCC提供了在組織的GCP環(huán)境中部署的所有云資產(chǎn)的透視圖，例如機(jī)器、容器、數(shù)據(jù)庫(kù)、存儲(chǔ)桶和網(wǎng)絡(luò)資源。它自動(dòng)對(duì)云資產(chǎn)進(jìn)行分類，同時(shí)提供每個(gè)資產(chǎn)的元數(shù)據(jù)和上下文信息。
• 安全發(fā)現(xiàn)：云SCC整合了來(lái)自GCP安全服務(wù)（如Google Cloud Monitoring、Google Cloud Logging以及第三方安全工具）的安全發(fā)現(xiàn)和見(jiàn)解。它對(duì)安全威脅（如漏洞、錯(cuò)誤配置或跨資源的可疑活動(dòng)）進(jìn)行優(yōu)先級(jí)排序。此外，它還提供了解決這些問(wèn)題的建議。
• 漏洞評(píng)估：通過(guò)與Google Cloud Security Scanner和第三方漏洞管理解決方案等工具集成，Cloud SCC進(jìn)行自動(dòng)化漏洞掃描，評(píng)估云資產(chǎn)的安全狀態(tài)。通過(guò)精確定位操作系統(tǒng)、軟件包和依賴項(xiàng)中的已知漏洞，它提供了關(guān)于漏洞的報(bào)告以及修復(fù)指導(dǎo)。
• 威脅檢測(cè)：云SCC利用谷歌云安全指揮中心進(jìn)行威脅檢測(cè)，及時(shí)識(shí)別和解決安全威脅和可疑活動(dòng)。它依靠機(jī)器學(xué)習(xí)算法、異常檢測(cè)方法和威脅情報(bào)來(lái)源來(lái)仔細(xì)檢查云日志和遙測(cè)數(shù)據(jù)，以尋找妥協(xié)指標(biāo)（IoC）和安全事件的跡象。
• 策略監(jiān)控和執(zhí)行：云SCC使組織能夠通過(guò)安全運(yùn)行狀況分析和策略情報(bào)建立來(lái)維護(hù)資源的安全策略和合規(guī)性需求。它會(huì)不斷地監(jiān)視資源是否存在違規(guī)風(fēng)險(xiǎn)、配置錯(cuò)誤或偏離安全策略，并發(fā)出警報(bào)和通知以解決問(wèn)題。
• 數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估：云SCC提供了評(píng)估數(shù)據(jù)風(fēng)險(xiǎn)的工具，以幫助組織精確定位數(shù)據(jù)，如可識(shí)別信息（PII）、知識(shí)產(chǎn)權(quán)和存儲(chǔ)在GCP服務(wù)中的機(jī)密數(shù)據(jù)。它評(píng)估數(shù)據(jù)使用趨勢(shì)、訪問(wèn)控制和加密配置，以評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)和合規(guī)性狀態(tài)。
• 合規(guī)性報(bào)告：云SCC包括預(yù)定義的合規(guī)性框架，例如CIS基準(zhǔn)、GDPR法規(guī)和HIPAA標(biāo)準(zhǔn)。它會(huì)生成合規(guī)性報(bào)告及幫助組織展示對(duì)命令和行業(yè)規(guī)范遵從性的指示板。

5. 安全信息和事件管理（SIEM）

安全信息和事件管理（SIEM）解決方案提供了安全事件、警報(bào)和事件的視圖，使組織能夠有效地發(fā)現(xiàn)、調(diào)查和處理安全風(fēng)險(xiǎn)。SIEM解決方案的關(guān)鍵要素和功能如下所示：

• 數(shù)據(jù)收集：SIEM解決方案從網(wǎng)絡(luò)設(shè)備、服務(wù)器、端點(diǎn)、應(yīng)用程序、云服務(wù)和安全實(shí)用程序等來(lái)源收集與安全相關(guān)的數(shù)據(jù)。數(shù)據(jù)輸入可能包括日志、事件、告警、流記錄、配置文件和威脅情報(bào)提要。
• 標(biāo)準(zhǔn)化和整合：SIEM平臺(tái)將來(lái)自不同來(lái)源的安全數(shù)據(jù)整合為統(tǒng)一的格式，以便進(jìn)行檢查和鏈接。此過(guò)程包括在對(duì)安全事件進(jìn)行分類和對(duì)齊以簡(jiǎn)化分析和關(guān)聯(lián)的同時(shí)準(zhǔn)確地解釋信息。
• 分析和關(guān)聯(lián)：SIEM解決方案將來(lái)自源的安全事件鏈接起來(lái)，以查明趨勢(shì)、異常情況和可能的安全事件。它們利用相關(guān)規(guī)則、啟發(fā)式、統(tǒng)計(jì)分析和機(jī)器學(xué)習(xí)算法來(lái)檢測(cè)活動(dòng)、威脅和攻擊模式。
• 警報(bào)和通知：SIEM系統(tǒng)為滿足預(yù)定義標(biāo)準(zhǔn)的安全事件或滿足閾值的事件生成警報(bào)和通知。它們發(fā)送通知、顯示儀表板并生成報(bào)告，以提醒安全團(tuán)隊(duì)可能存在的安全漏洞、策略違規(guī)或異常活動(dòng)。
• 響應(yīng)事件：SIEM解決方案通過(guò)提供探測(cè)安全事件、檢查證據(jù)和執(zhí)行根本原因分析的工具，幫助檢測(cè)和響應(yīng)事件。它們使安全團(tuán)隊(duì)能夠有效地評(píng)估、確定優(yōu)先級(jí)并處理安全事件。
• 確保合規(guī)性和生成報(bào)告：SIEM平臺(tái)通過(guò)提供預(yù)定義的合規(guī)性模板、審計(jì)跟蹤和報(bào)告功能，幫助監(jiān)視合規(guī)性狀態(tài)并生成報(bào)告。它們通過(guò)自動(dòng)報(bào)告過(guò)程幫助組織展示對(duì)命令、行業(yè)規(guī)范和內(nèi)部政策的遵從情況。
• 集成系統(tǒng)和簡(jiǎn)化流程：SIEM解決方案與安全工具和技術(shù)無(wú)縫集成，以增強(qiáng)其功能，同時(shí)簡(jiǎn)化安全工作流程。它們支持與威脅情報(bào)平臺(tái)、端點(diǎn)檢測(cè)和響應(yīng)（EDR）解決方案、事件響應(yīng)工具和安全編排自動(dòng)化平臺(tái)的連接，以實(shí)現(xiàn)內(nèi)聚方法。
• 適應(yīng)性和效率：SIEM平臺(tái)專為適應(yīng)性和效率而設(shè)計(jì)，以安全管理數(shù)據(jù)集，同時(shí)滿足大規(guī)模實(shí)現(xiàn)的需求。它們利用分布式架構(gòu)以及數(shù)據(jù)分區(qū)技術(shù)和數(shù)據(jù)壓縮方法來(lái)有效地提高性能水平。

結(jié)論

擁抱云原生應(yīng)用將徹底改變軟件開(kāi)發(fā)，并通過(guò)微服務(wù)、Docker和Kubernetes來(lái)利用云計(jì)算的創(chuàng)新能力和敏捷性。然而，健壯的安全實(shí)踐對(duì)于有效地保護(hù)這些環(huán)境至關(guān)重要。通過(guò)全面的安全方法，組織可以釋放云原生優(yōu)勢(shì)，同時(shí)降低風(fēng)險(xiǎn)并確保現(xiàn)代軟件生態(tài)系統(tǒng)的彈性。

原文標(biāo)題：Guide to Cloud-Native Application Security，作者：Naga Santhosh Reddy Vootukuri