关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

需要重塑云原生应用程序架构中的策略和授权的三个趋势

发布时间:2019-12-09 19:45:12

   当许多组织为2020年及以后计划时,他们所看到的世界将比以往任何时候都更加复杂。对于软件开发人员而言,向微服务的转变意味着每天发布多个版本并不断添加新代码。对于企业来说,这意味着上市时间大大缩短,应用程序和更新将在数小时而不是数月内发布。对于消费者而言,这意味着增加可能暴露其个人数据的风险。在这个快速发展的新世界中,公司必须继续提高效率,同时降低风险和减少错误。那么,唯一的答案是什么?自动化授权或策略是代码

应用程序开发市场正在转向容器化的“云原生”应用程序体系结构,而不是单一的应用程序。 现在是时候制定政策和授权,为所有现代安全策略奠定基础,无论是更喜欢将其称为零信任,Gartner的CARTA还是Google的BeyondCorp的公司。 安全和合规风险需要重新设计授权。

    实际上,由于当今的自动化,GitOps和容器化趋势产生了“一切皆有代码”的心态,因此必须在基础架构本身中构建策略。 “战略即代码”解决方案对于Kubernetes,持续集成和持续交付(CICD),数据库,API,servicemesh,应用程序,云平台等至关重要。 当基础结构本身(应用程序组件)由策略控制和管理时,它们只能做正确的事情。 企业最佳实践已不再适应这些新环境的速度和广度。 只有在环境中实施的自动化策略才能真正降低运营,安全和合规风险。

     例如,使用将策略定义为代码的授权规则,DevOps团队可以确保只有批准的工作负载才能在生产中运行; 根据当前情况,只有特定的服务可以访问其他服务; 给定的数据库和给定的服务中只能包含特定的数据; 每次部署新的工作负载时,都会有一个特定的安全配置。 这种策略不能在应用程序外部应用; 也不应将其硬编码到不同的应用程序组件本身中。 取而代之的是,它们必须使用通用的框架和语言应用于应用程序基础结构中,并与服务分开,但必须集成且足够紧密以有效并满足性能要求。 也就是说,代码的声明性策略可以提供这些必要的保护。

 

以下是导致此拐点的三个宏观趋势:


(1)开源和微服务改变应用程序开发


正如计算,网络,存储和监视必须发展以满足现代应用程序的需求一样,策略和授权服务也必须如此。 在过去的两年中,云原生的应用程序堆栈和微服务架构已正式进入企业。 部署已从简单的勘探过渡到完整的生产。 开源项目是这种转变的关键,它受到同行评审社区的创新,迭代和增强的推动。 这个全球社区创建的技术,包括Docker,Mission,Istio和Prometheus,对于当今的业务至关重要。 当然,Kubernetes是现代应用程序部署的重要组成部分。

       根据设计,这种新的微服务堆栈具有高度的动态性,瞬态性和隔离性。 传统策略和授权方法不足以应对规模,速度和复杂性的新挑战。 可以在应用程序代码之外定义策略的唯一方法是新的声明性系统,但可以将其与API集成到整个堆栈中以执行。 如果操作正确,则轻量级但无处不在的策略层可以确保正确的访问级别,正确的工作负载类型和正确的配置,以仅允许可能发生的事情而无需担心其他事情。

(2)安全立足预防


今天,绝大多数公司实际上已经成为软件公司。 无论使用哪种产品,基于云的订购,营销和社区应用程序都越来越成为基本的构建基块。 同时,软件开发过程正在发生重大变化。 企业正在尽可能地使流程自动化,从而导致从每年仅几个版本过渡到每天多个版本。 驱动因素是提高开发人员的效率和重点。 结果是竞争优势和更快的上市时间。

        当今的云原生架构世界要求将安全性转换为策略编码,并添加到当今的GitOps工作流程中。 这使DevOps团队可以创建,查看和声明满足所有合规性要求的策略以及开发管道中的所有其他代码和配置更改。 无论是满足内部合规性要求还是更广泛的行业合规性(例如信用卡处理的PCI法规或医疗领域的HIPAA法规),围绕整体应用程序堆栈的“黑匣子”安全解决方案的时代已经结束。 安全必须遵循新的云原生模型进行部署,测试和审核。

       DevOps团队还希望确保高水平的自动化,测试和可靠性,以确保交付速度不会带来其他风险。 为了减轻这种风险,安全性被“移至左侧”,并在该周期的早期得到了解决。 目标是专注于预防问题,而不是发现问题。 应用程序开发人员对安全性和操作负有更多责任,并负责以前由IT安全性和操作团队处理的任务。 必须在周期的早期阶段编译并实施安全和操作策略。 通过策略将安全性转换为编码,DevOps团队可以确保策略符合合规性要求并可以实时执行。

      

(3)数据政策标准越来越严格


数据泄露已经发生。 企业和消费者越来越意识到对其隐私的威胁以及对其进行保护的需求。 在美国,将于2020年1月生效的《加利福尼亚消费者隐私法案》(CCPA)正在启动,以帮助个人控制其个人信息。 同样,于2018年实施的《欧洲通用数据保护条例》(GCPR)用于保护个人数据。 这些可能是当前公认的最广泛认可的保护措施,但是还有数十种保护措施正在进行中。

发生数据泄露时,通常是因为策略执行失败。 DevOps团队需要能够证明安全性,展示如何实施策略,向审核和安全团队明确说明已实施了数据保护以及在需要时阻止了访问。 谁有权访问私人数据? 策略定义了此访问权限,但是无法执行策略通常是人为错误的直接结果。 有了自动护栏,现代应用程序就更可能既安全又合规,因为消除了无法预测的结果的可能性,并限制了访问非常有限且可控制的可能性。

简而言之,人类无法跟上这一发展。 静态策略无法解决问题。 事情可能以各种方式出错,但是只有少数几种方式。 云原生范围只会使这些问题复杂化,唯一的解决方案是将策略用作代码。 但是,审核员和IT安全/合规团队不是程序员。 与审计师一起研究代码如何解决策略是浪费时间,并且与Kubernetes的速度和自动化直接冲突。 当人们过渡到新的即用代码解决方案以在新堆栈中实现安全性时,简单监控,验证和证明该策略按预期工作的能力将至关重要。

     

结论


随着创新的速度和自动化带来的复杂性的增加,现在是网络安全的关键时刻。为了帮助开发人员更快地发展新世界并改善其安全状况,Adobe,Atlassian,CapitalOne,Chef,Google,Microsoft,Goldman Sachs,Cisco和Styra等公司目前正在为整个策略和授权应用程序开发支持事实上的标准。堆栈,开源项目开放策略代理(OPA)。 OPA为云原生环境提供基于策略的控制,从而为管理员提供了整个堆栈的灵活,细粒度的控制。 OPA之类的工具为云原生,高度自动化的世界提供了必要的框架。开源社区正在响应本地云应用程序体系结构中策略和授权的趋势,并正在采取措施使企业和消费者的部署更加安全。




/template/Home/Zkeys/PC/Static