我将讨论平台团队在网络安全中的角色,包括在保护网络方面面临的挑战,建立和维护强大的网络安全需要考虑的问题,以及为什么它是这项工作的最佳团队。
将责任移交给平台团队
与传统设置不同,传统设置需要单独的团队管理基础设施和网络安全,而云原生环境需要不同的方法。在这种以持续部署、自动化基础设施配置和微服务通信为特征的动态环境中,基于边界的安全方法和责任孤岛将不起作用,相反,平台团队必须对网络安全负责,网络安全必须是动态的、分布式的和即时的。
就像平台一样,网络安全必须是自动化的,与平台一起扩展,并配置为代码,以便可以实时更新。考虑到他们的技能,平台团队的成员最适合监督这一点。
云原生环境确实需要偏离传统的基于外围的安全措施,然而,在传统网络安全领域,有一些已经制定、细化和完善的强大原则,平台团队应该适应云原生应用。
从传统网络安全中学习
虽然云原生环境带来了独特的挑战,但传统的网络安全原则提供了几十年来获得的宝贵见解。零信任、网络分段和流量过滤等概念都是久经考验的实践,可以调整以适应云原生环境:
·零信任:通过采用零信任方法,即每个请求都被视为潜在恶意请求,组织可以增强其网络安全态势。
·网络分段:网络分段有助于隔离工作负载并限制横向移动,从而限制潜在入侵的影响。
·流量过滤:流量过滤使企业能够控制和监控网络流量,确保只进行授权通信。
其他有用的概念包括限制横向移动的应用程序隔离、对可疑流量进行深度数据包检测以确定攻击迹象,以及使用威胁情报馈送阻止与已知不良行为者的连接尝试。
平台团队在保护网络安全方面的作用
在云原生环境中,平台团队在保护网络和实现合规性方面发挥着至关重要的作用,他们需要在CI/CD生命周期的早期主动识别漏洞和恶意软件,将安全实践无缝集成到开发和部署流程中。通过将严格的安全性构建到基础设施自动化中,平台团队可以在整个环境中一致地应用安全措施。这种方法不仅增强了安全性,还实现了可扩展性和自动化。
平台团队还负责配置平台和工作负载的安全状态。通过实施不信任任何人、默认拒绝和类似做法,企业可以防止数据外泄,只允许授权的出口。由于几种不同类型的服务共享一个平台,因此必须隔离应用程序和服务,以防止横向移动的威胁并确保多租户。平台团队必须持续监控和更新安全配置,以适应不断变化的威胁并保持强大的安全态势。
网络安全挑战
在云原生环境中,平台团队在网络安全方面面临的主要挑战来自于处理环境的自动化和弹性基础设施,需要保护出口和内部流量并检测和阻止攻击,以及启用网络安全以帮助降低风险。
·为云构建可扩展的网络安全:由于云原生配置的基础设施是自动化、弹性且跨混合云环境分布的,因此新节点和容器不断在不同位置产生。平台团队需要确保网络安全能够与基础设施一起扩展。
·从多个角度探讨网络安全:网络安全需要同时保护出口流量和集群内的流量,因为这些流量也通过网络进行通信。
·检测和阻止攻击:网络安全必须能够检测和阻止已知攻击者的攻击以及零日攻击。
·为风险缓解设置网络安全:网络安全在风险缓解中发挥着重要作用。一旦发生入侵,网络安全应该能够降低暴露的风险并提供取证,以便采取适当的步骤避免再次发生。
实现合规和多租户
在云原生环境中,合规性超越了传统的基于边界的控制。考虑到平台团队的技能和职责,他们最适合配置和展示合规性,他们必须与合规团队密切合作,以了解和实施必要的控制和政策。通过利用自动化和安全即代码实践,平台团队可以帮助一致地满足合规性要求。
无论是由合规性还是规模经济驱动的多租户,都是云原生环境的一个常见方面。平台团队必须设计和实施有效的多租户策略,以隔离和帮助保护租户资源,这包括实施强大的访问控制、网络分段和加密机制,以保护敏感数据并防止未经授权的访问。
结论
云原生环境中的网络安全需要一种主动且适应性强的方法,平台团队在确保强大的网络安全方面发挥着关键作用。通过利用来自传统网络安全的见解,将安全配置为代码,并专注于合规性和多租户,企业可以有效地应对挑战并保护其云原生平台。通过持续监控、定期更新和与其他团队的协作,平台团队可以在新出现的威胁中保持领先地位,并帮助维护安全的网络环境。
关于企业网D1net(www.d1net.com):
国内主流的to B IT门户,同时在运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营19个IT行业公众号(微信搜索D1net即可关注)。
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号