借助此次集团开展全民共读一本书活动的活动阅读了云原生安全一书,这本书让我对云原生应用程序、云原生平台、云原生模式、云原生软件架构及云原生安全有了初步的了解和认识,受益匪浅。
云原生安全这本书内容丰富全面,介绍了云原生的容器基础设施、K8S编排系统和常见云原生应用体系。在介绍安全体系前先深入分析了前述架构各个层面的安全风险,并给出攻击实践。在介绍安全体系时,首先从高层分析新型基础设施防护的思路切换,然后分为两个维度介绍相关的安全机制,清晰地拆解了复杂的安全技术栈,让我们很容易理解DevOps安全和云原生安全两者如何融合。
一直听大家说云,但是相信一定有很多像我一样并不知道云和云原生到底是做什么的。读完这本书后才知道“云”是指软件在哪里运行,而“云原生”指的是软件如何运行。云原生并不是非此即彼的架构。一些软件可以采用许多新的云原生架构模式,一些软件可以仍然继续使用较老的架构,还有一些软件可以采用混合架构。云原生应用程序有云原生应用程序、云原生数据、云原生交互三个关键实体,支持快速迭代和频繁发布新版本、零停机时间以及大量新的设备连接,即使遇到基础设施不断变化甚至发生故障的情况,云原生应用程序依然可以保持稳定。
要想在生产环境中运用云原生应用程序,就要做到能够简单且频繁地发布,让它在生产环境中良好地运行,这也就需要一个稳定安全的系统环境,需要关注可重复性、确保部署的安全性、拥抱变化,并创建一个支持部署而非阻碍部署的系统。在基于云的环境中,软件设计模式和运维实践都会不断发生变化。新系统依赖于一个支持持续交付、高度迭代的软件开发生命周期。企业需要具备持续交付的能力,才能在当今的市场竞争中获胜。让整个系统具有更细的粒度是关键,更短的开发周期和规模更小的应用程序组件(微服务)可以显著提高开发的敏捷性和系统的弹性。
云原生平台满足了现代软件的大量需求,可以用在整个软件开发生命周期中,通过在平台中加入控制功能,不需要再对每个应用程序的每次部署都进行审批,进而可以大大提高部署的频率,而且更加安全。应用程序团队和平台团队可以独立工作,各自管理产品的构建、部署和维护。这既适用于在平台上运行的软件,也适用于平台本身的部署,而对于构建和运维云原生软件的企业来说,云原生平台是绝对必要的。
在云原生模式下,可以同时实现请求/响应和事件处理两种协议,除此之外,其他一些架构模式也同样适用于云原生软件。云原生软件架构需要重新评估配置应用程序的技术,云原生应用程序的配置并不像在环境变量中存储配置那么简单,需使用Kubernetes等云原生平台,将环境配置的值传递给应用程序。
云原生时代最大的安全挑战可能来自于云基础设施和服务的不断发展和变化。在云原生时代的初期,云服务局限于基本的云存储和虚拟服务器。近年来,由多种云存储类型、各种虚机实例,扩展到托管Docker容器环境、无服务器计算、基于云的大数据服务、监控服务等等,这些各类云服务额外增加了组织应对保护云工作负载的的安全挑战。可以肯定未来云服务会更加复杂和多样化,组织需要去适应云计算的变化,及时调整安全工具和安全策略。依靠传统的安全工具和流程虽然无法满足云原生的安全需求,但仍然可以通过围绕云工作负载的安全需求调整安全策略,并从安全能力的延伸、多云架构下的保护、流水线集成、考虑多种部署模型等多个方面将安全能力集成入云原生环境中。
