目前比较先进的3层以上可进行网络隔离的技术是微服务管理框架服务网格(Istio)下的边车(Sidecar)模式,如图3所示。Sidecar代理如边缘/服务代理(Envoy)通过流量劫持接受控制面的调度,协调与其连接的服务实例的出入站通信,实现了更细粒度调整和控制端口、协议的功能,所有网格内的Sidecar代理实例由控制平面的服务发现和流量管理组件(Pilot)管理和配置,流量控制较为容易且无需修改应用。
4.4 应用安全
在开发侧引入安全机制,对软件依赖的第三方库进行安全性分析和漏洞扫描,及时告警,保证软件供应链安全;在开发中加强安全检查、漏洞测试和代码审计,提升开发人员的安全意识和安全技术能力,减少早期漏洞引入。
引入云原生API网关,对所有的外部访问进行流量接入、认证授权、监控审计、传输层安全(TLS)加密等细粒度的控制。
引入服务网格治理,以Istio为主的安全机制,对微服务间的互访采用开放的JWT标准认证、Istio授权、TLS双向传输加密等方法进行安全防护。
针对无服务计算(FaaS)可能存在的风险,采用加强服务平台自身的隔离和安全防护机制,开发的函数遵从安全规范,对无服务(Serverless)实例进行监控审计,定期清理非必要Serverless来减小攻击面等方法进行防护。
5 结语
随着云计算技术的发展,云原生已是大势所趋,新技术的不断发展也必然会持续引入新的风险。云原生安全不仅仅是对已知安全问题的防护,更是对云原生环境中的所有安全风险的快速发现和响应。未来的云原生安全必然会发展出更多新的手段和工具,必然也会具备云原生的特点,如微服务、弹性扩展和自动化编排等。企业的“上云”之路必须转变传统应用安全的防护思路,重视云原生安全。
(原载于《保密科学技术》杂志2022年7月刊)