YYDS!零信任“守护”容器安全
Gartner预测,到2022年,全球超过75%的组织将在生产中运行容器化的应用程序,相对于以往的30%呈现大幅增加。尽管采用容器可以更快的开发、部署和扩展应用程序,但是也面临着安全挑战,比如在数据保护、容器镜像漏洞、网络攻击、未经授权的访问和其它一系列的安全风险问题。根据Forrester的一项调查显示,43%的受访者表示容器安全是面临的一个主要挑战。
对于开发人员来说,容器可能是一个强大的工具,但随着网络攻击者越来越多地将其作为目标,它们正成为一个安全噩梦。通过获得对容器的未授权访问权,黑客可以潜在地跨越大型虚拟环境,造成各种各样的危害。
在远程访问从偶尔转变为新常态的时代,用户需要从企业网络的传统边界之外访问企业应用程序和服务。微服务和容器化应用程序的日益普及使事情变得更加复杂。容器及其底层基础设施在传统网络安全实践的边界内不能很好地发挥作用,传统网络安全实践通常强调边界的安全性。随着组织寻求解决这些挑战的方法,零信任模型等策略在保护容器化工作负载方面获得了更多关注。
攻击者经常对容器进行访问控制或利用应用程序代码进行攻击渗透,这可能会导致内核崩溃、执行权限提升或其他对系统的威胁。
传统上,内部网络的应用程序、服务器、网络软件或硬件默认是被信任的,不需要对客户端连接进行身份验证,仅仅依赖于静态的共享凭证便可以进行访问或执行。通常,内部网络连接,即使是敏感服务的连接,也不使用任何加密。
然而,恶意攻击者使用特洛伊木马、安全访问漏洞或者通过利用这种隐含的信任网络都可以造成严重破坏。从嗅探明文网络数据包到发现数据库或其他关键系统的应用程序密码,一直到获得对网络设备的控制,这种情况为不可接受的风险打开了大门,包括数据外流或丢失。
刚刚我们讲到了传统安全模型的失效性,特别是由于网络、动态IP的复杂性,以及传统防火墙的局限性,容器的动态性会给传统安全环境带来更多安全问题。
零信任基于设备的网络位置或用户在受信任网络上进行身份验证,以验证任何服务、设备、应用程序或数据存储库,将“信任,但要验证”的旧原则改写为“从不信任,始终验证”。它用身份验证访问和集中网络控制取代了隐式的相互信任,这有助于解决去中心化IT环境的安全挑战,并使零信任成为云中容器安全的理想模型。
零信任安全模型在解决容器安全时,遵循如下几个原则:
总的来说,这些原则和相关控制使组织能够加强云中的容器安全性。它们确保容器和微服务只能与显式授权的其他服务通信。
此外,这些保护措施使容器能够在多个云环境中运行,包括跨云区域或在混合云上运行,具有与单云部署相同的保护。容器可以依赖底层基础设施来实施安全控制。
零信任自兴起以来,已经十余年时间,尤其是近两年在国内备受关注,这代表着技术未来的趋势和方向,也代表着零信任技术带来的更好的解决方案。
零信任架构一般遵循以下原则:
正是由于零信任具体如上的几个特性,才能更好的基于“无边界”的安全模型解决云原生技术下容器化带来的诸多安全问题,帮助企业解决威胁问题。
云深互联基于零信任的理念架构,采用SDP技术为企业提供无边界、一站式安全接入服务,覆盖云管端实现全流程的安全体验。自主研发设计的深云SDP客户端基于终端环境检测&应用可信检查,保证业务入口的合规、安全。
1、基于SDP技术,实现网络隐身,避免探测、监听,极大缩小网络攻击面;
2、SDP安全云、SDP连接器缺省拒绝一切访问流量(deny all),仅允许合法、合规终端访问(only you)。
3、深云SDP允许只能访问授权应用,其他资源都“隐身”,避免内部横向攻击。
随着云迁移、容器化应用程序的不断增多,面临的安全问题也会越来越明显。零信任的理念特性可以很好的解决此类安全问题,也希望更多的企业采用零信任技术,解决自身遇到的安全问题,保证业务的正常运行。
