Log4j2事件看云原生架构演进的安全挑战和解决之道|CS devops( 二 )

在云原生环境下，DevOps的流程快速动态的引入了一些未知的应用、库、系统，导致攻击面无限的放大；云原生环境中微服务产生了海量的东西向流量，这些流量没有办法被安全监管。同时在云原生的环境中，基本上有很多的安全产品没有被云原生化，所以云原生环境中，网络侧基本在裸奔，网络流量基本没有任何防护，基于这样的条件下，一旦走向云原生，基本是“把薪助火”。
引用Log4j的攻击链来看，过去我们过分关注了安全产品的差异化，导致了数据的割裂性及防护体系的欠缺。在云原生安全体系中，更需要关注数据的联通性，淡化个体安全产品的差异化，更多关注安全产品是不是能够采集关联性数据，在底层把数据打通，让数据成为安全运营的指挥官，对整个安全能力及安全策略做一个统一的编排管理，让数据提供全局安全指导，实现软件定义安全的终极目标。
在整个云原生的架构中，底层架构安全能力很重要，所有的微服务都承载在底层的平台上，首先要保证底层平台基础设施的安全，比如容器安全，K8s编排系统安全，边缘安全等能力必须具备。然后上面一层是业务层的安全能力，基本上是网络侧的能力了，但是今天在整个云原生的环境中，网络侧的安全能力相对来讲是比较脆弱的。云原生环境下，微服务间产生海量的东西向流量，东西向流量一定需要网络安全的能力做充分的安全监管。这种强需求一定会推动传统的网络安全能力逐渐走向云原生化，然而在整个云原生的环境中资产极度碎片化、工作负载极度动态，因而云原生的网络安全能力必须要动态地保护这些动态变迁的资产，这种能力非常重要，这并不是简单地把传统安全产品塞到容器里就可以实现的。
冯向辉特别强调：在云原生的环境里，数据的联通性及完整性非常关键，只有打通底层数据，才能让数据说话，让数据给安全提供全局的指导，实现安全的编排，把安全能力及安全策略动态快速编排到云原生的每一个角落，实现安全随业务落地而落地，随业务迁移而迁移。