什么是云原生安全？

什么是云原生安全？

云原生安全是指为云的独特安全挑战而设计的安全实践和技术。云资源具有短暂、可配置、可扩展的特点，并会以许多不同的方式相互集成。许多云服务还将安全责任从客户身上转到云提供商身上。虽然一般而言，云的使用会减少与本地基础设施相关的传统安全风险，但也有许多与云相关的新风险，需要使用云原生安全来进行管理。

云原生安全与为保护本地基础设施而构建的安全措施形成鲜明对比。它旨在保护基于云的应用程序基础设施，同时支持数据合规性和数据治理，即使云应用程序的功能、服务、API 和（可能的）底层硬件发生了变化也不例外。

云原生安全为什么很重要？

云应用程序不断变化。基于云的软件抽象了硬件，因此保护特定服务器、计算机、数据中心或本地网络与确保云应用程序的安全无关。

设想一个家庭安全系统：注重安全的屋主会在自家的门窗上安装传感器，以防止未经授权的进入。然而，倘若屋主重新装修房屋，突然增添了更多窗户并挪动了门的位置，那么安全系统便需重新配置以适应这些变化。

云应用程序就像不断重新装修的房屋：传统的安全系统采用静态不变的架构，效果不佳，并且需要不断手动重新配置。但云原生安全并非建立在一切始终处于同一位置的假设之上。相反，它专注于保护工作负载和身份，并持续监控云中的流量和事件。

什么是云原生应用程序？

云原生应用程序专为云设计并部署在云中。它们往往具有灵活且高度可扩展的架构，并且跨多个位置运行，因此基于边界的安全方法往往不是很有效；因此产生了对云原生安全的需求。

基于云的应用程序可以单独或组合使用多种不同的架构。它们可能由微服务、无服务器功能、基于容器的后端或上述所有功能的组合组成。

所有这些架构的共同点是频繁更改和扩展，以及按需计算。例如，组成无服务器后端的功能根据需要运行并扩展规模，而不是在一定的计算能力上持续运行。

不是为云设计的应用程序往往都是“单一的”。此类应用程序是一个独立的堆栈，更新适用于整个应用程序。相比之下，云原生应用程序由多个部分组成，这些部分通常通过 API 连接。这些部分可以彼此分开移动、更改、更新或扩展。

云原生应用程序是远离本地部署、本地化硬件和网络的几个抽象层，因此没有需要防御的网络边界。传统的安全措施侧重于将威胁挡在明确定义的网络之外。有时这些安全措施被借用于云防御，但往往显得格格不入，难以灵活扩展。云原生安全则是专为基于云的架构量身打造的。

云原生应用程序的主要安全风险有哪些？

快速扩展和变化的基础设施会扩大应用程序的攻击面。以下是一些主要威胁：

• API 安全风险：组成云原生应用的函数、容器和微服务通过 API 相互连接。API 安全漏洞可能会暴露数据，为攻击者提供访问权限，或以多种其他方式使云原生应用程序面临风险。
• 错误配置：云部署中的设置错误（称为错误配置）是数据在云中面临的主要风险。云部署可能会意外暴露于公共互联网或发生其他错误配置，导致重大数据泄露。
• 内部威胁：能够访问云数据的内部人员可能会意外或恶意地编辑、复制或删除数据。
• 数据泄露：由于大多数基于云的应用程序中嵌入了大量云服务，以及云基础设施的多租户性质，因此，云为未经授权的敏感数据传输提供了大量攻击手段。
• 缺乏可见性：基于云的应用程序是建立在外部拥有和运营的基础设施上的。这样做的优点是云原生开发的开销要少得多，但缺点是对数据所在位置、工作负载在何处运行以及数据去向缺乏可见性。此外，影子 IT 部署（使用未经授权的服务或应用程序）不受监控，也是一个主要问题。
• 合规性风险：在云中，由于缺乏可见性，可能难以控制数据的去向和访问方式，这使得遵守地区数据法规成为一个挑战。

云原生安全有哪些组成部分？

• 身份和访问管理 (IAM)：这些能力可验证实体是谁或是什么，以及允许它做什么。云中的 IAM 应该验证用户、应用程序、服务器和 API 等的身份。对所有这些实体的访问权限，都应受到严格控制和监控。如果一个用户或服务被入侵并具有过多的访问权限，就可能导致重大泄露。最低权限原则有助于确保任何人、服务或设备都没有过多的访问权限。
• 工作负载安全：现代安全领域中一个不言而喻的事实是，威胁既可能潜藏在应用程序之外，也同样可能隐匿于应用程序之内。工作负载安全是在云工作负载（工作负载是使用一定计算能力的程序或应用程序）中寻找威胁的做法。工作负载在云中的不同抽象层运行，从在容器中运行到在虚拟机上运行，再到作为无服务器函数运行。工作负载安全（例如由 CWPP 提供的保护）会在所有这些不同的环境中寻找恶意代码和已知漏洞。
• Web 应用和 API 保护 (WAAP)：需要保护云原生应用程序免受应用程序层攻击，从注入攻击到分布式拒绝服务 (DDoS) 攻击。集成到几乎所有现代应用程序中的 API 也需要保护，因为 API 容易受到多种攻击。
• 网络安全：云原生安全还会分析所有网络流量，以识别和缓解恶意流量，并防止敏感数据离开受保护的环境。
• 基础设施即代码 (IaC) 扫描：基础设施即代码 (IaC) 是一种使用代码（脚本）而非手动流程来管理和配置云基础设施的方法。IaC 扫描在这些脚本中查找威胁和漏洞。
• 云安全态势管理 (CSPM)：CSPM 是一种自动化工具，用于扫描云基础设施以查找安全错误配置、可能的违规行为和漏洞。
• 数据保护：作为保护数据安全和保持合规的一步，组织应该识别云原生应用程序存储的所有数据，发现数据的位置，并确保其受到保护。
• 持续监控和报告：云应用程序和基础设施应受到持续监控和记录，以检测可能指示违规或漏洞的异常情况。监控还可以检测安全错误配置。

什么是 CNAPP？

云原生应用程序保护平台 (CNAPP) 是一种安全解决方案，为应用提供一体化的云安全性和合规性。CNAPP 可以帮助开发人员和安全团队在开发周期的早期阶段识别威胁和缺陷，而不是在部署之后才发现问题。

Cloudflare 如何保护云原生应用程序？

借助云访问安全代理 (CASB) 和 WAAP 服务，Cloudflare 可以提供对 SaaS 和云应用程序的深入可见性，检测错误配置，阻止攻击，并帮助云应用程序和基础设施防止数据暴露。了解 Cloudflare 如何跨混合云和多云环境保护应用程序、API 和数据。