拥抱云原生，拒绝安全短板

近年来，以容器、微服务、DevOps等技术为代表的云原生汹涌而来，成为炙手可热的话题。随着云计算发展进入成熟期，云原生成为推动企业上云和驱动业务增长的重要引擎。

然而，云原生技术在为企业带来快速交付、便捷体验，拥抱现代化应用的同时，也带来新的安全问题。

随着上云已经成为不可逆转的主流趋势，越来越多的企业不管是因为业务发展需要，还是很多急切推向市场的新兴业务的需要，亦或是员工混合办公的需求，采用云解决方案能够大幅降低成本，让企业IT架构进行弹性的伸缩，采用云上的应用和成熟的商业云服务，已经成为主流。新旧IT架构的转型与数字化转型的迫切需要，都为云原生技术的应用提供了良好契机。

云原生是一系列云计算技术体系和企业管理方法的集合，通过利用容器、服务网格、微服务等技术，构建易于管理、快速交付的云服务。毫无疑问，云原生在支持复杂动态云环境和新型基础设施、快速响应市场需求方面发挥了越来越重要的作用。

而另一方面，云原生暴露出的安全问题也成为人们忧虑的重要方面，并给未来云原生技术的普及带来阻碍和不确定性。

保护云原生应用程序尚存在以下挑战：一是新的云原生架构广泛普及，正在推动应用现代化和新架构的快速转型；二是DevOps推动不断变化的状态；三是安全建设的滞后性。

Palo Alto Networks（派拓网络）中国区大客户技术总监 张晨

从安全威胁的角度来看，例如，容器环境下的安全控制的缺失，使得容器被攻陷或发生容器逃逸的风险大大提高；再如，DevOps状态下频繁的变更和动态的部署，使得整个业务应用全生命周期内各个环节存在潜在的不安全性。

实施一个成功的安全攻击的成本越来越低，门槛也越来越低，例如很多勒索软件通过采用即用的服务，可能只需要10美元左右就可以找到非常成熟的勒索软件攻击工具和方法，而并不需要具备很高的技术能力，这就给大规模的勒索攻击打开了方便之门。

派拓网络认为，企业必须采取积极主动的网络安全策略，以了解威胁形势和所面临的风险，预防、检测和有效应对基于各种载体的威胁，包括网络、云、端点和软件供应链，最大程度提高安全效率，同时优化总体拥有成本。

张晨表示，对于安全威胁，如何以更加智能、高效、准确的方式及时检测并进行处置，也是网络安全很关键的主体。

随着企业纷纷上云和数字化转型推进， 网络攻击面不断扩大，企业面临着前所未有的攻击与威胁。因此，安全成为第一要务。

但正如以上提到的云原生环境下的一系列挑战，相对于快速变化的云原生应用，安全机制则相对滞后。因此，越来越多的企业客户寻求在整个云原生应用环境中对安全进行前置。

那么，在云原生环境下的网络安全策略应该采取什么样的战略转型呢？

派拓网络认为，第一，在云原生应用整个生命周期中需要具备全面的可视化能力。应用从一开始开发到镜像发布之后，必须做到可视化的能力来发现配置上存在的问题。

第二，云上应用一旦投产使用生效时，要能实现对该应用遇到的各类攻击的高效准确检测。其中包括和云原生相关联的网络、端点，并且上下游供应链厂家都应有相应的机制。

第三，应提升安全管理的整体效率。企业IT管理部门能够在一个平台上对整个云原生的生命周期进行全方位的安全策略管理，而非一个人管理很多不同产品，且产品之间又无关联性。

“以上思路印证了派拓网络在业界对于新的网络安全趋势变化下的思想，即零信任（ZTNA）。”张晨介绍。

真正的零信任接入网络不仅仅是有些许检测能力或只是覆盖其中的一到两个应用程序等，而是首先应该具备最小权限的访问原则，不会让访问的主体和客体有过多的权限，另外要进行持续不断的身份校验和安全检查，并且零信任网络架构应能够覆盖所有的数据类型和应用类型，这样才能够真正实现以零信任的指导思想来保护整个网络。

零信任看似高深莫测，但并非难以企及。“实际上，构建零信任网络并不是非常复杂的大工程，而是按照业务的优先级别和重要性一步步开展起来的，这个在我们很多客户中也得到了验证。”张晨解释。

从最初的零信任1.0到如今的零信任2.0，派拓网络已经打造了相关成熟的落地产品，并且通过五个步骤帮助用户实现真正的零信任网络。

一是定义保护对象与范畴，理清哪些应用是最重要的且亟需保护的；二是掌握通信与数据流，即应用业务流程分解，帮助用户查看这些数据流和架构中是否存在安全隐患，从而有的放矢地部署安全策略；三是基于保护区域构建隔离网络；四是建立零信任安全管理政策；五是有效的监控及运维。

具体到落地层面，派拓网络下一代网络安全平台作为一个高度集中化的、具备高智能的网络安全平台，包括了网络安全、云安全和终端安全三个主要组成部分，通过自动化安全运营的构建，将云原生环境下网络及端点安全等所有信息汇总到自动化安全运营平台上进行统一的监控、管理和智能化编排，最大程度降低人工参与的部分，将大量重复性的安全处置交给自动化运营平台，通过遍布全球的安全运营情报网络，从而实现对安全威胁的高效和准确处置。

Prisma Cloud 3.0是派拓网络针对应用程序全生命周期安全防护的云原生平台，从云原生代码开发环境、上云之后的安全威胁态势感知，以及云原生应用在运行过程中等阶段和网络相关的安全需求，都囊括在该平台。“Prisma Cloud 3.0是目前业界唯一一个能够覆盖云原生应用全生命周期的统一安全平台。”张晨表示。

张晨介绍，Prisma Cloud 3.0提供了对新型攻击精确的检测和防护能力。特别值得一提的是，由于云原生网络和传统网络有着完全不同的架构，Prisma Cloud提供云原生的整体解决方案和平台可以随着客户基础架构弹性的伸缩来进行相应的扩展和匹配，这样就具备了无限的可扩展性和超强的计算能力，同时降低了客户管理成本，提升了使用效率。

未来，随着云环境越来越开放、灵活，攻击面也将越来越多，攻击类型也越来越复杂。保护用户云原生安全，派拓网络准备好了。

（本文不涉密）