在始终开展的云原生环境中,网络安保的关键性怎样强调都不为过。在非云原生环境中,网络安保职责由多个团队分担,网络和安保团队起主导作用,但是,思考到云原生环境的性质,平台团队应该对其平台的网络安保担任。
我将讨论平台团队在网络安保中的角色,包含在包全网络方面面临的应战,建设和保养弱小的网络安保须要思考的疑问,以及为什么它是这项任务的最佳团队。
将责任移交给平台团队
与传统设置不同,传统设置须要独自的团队治理基础设备和网络安保,而云原生环境须要不同的方法。在这种以继续部署、智能化基础设备性能和微服务通讯为特色的灵活环境中,基于边界的安保方法和责任孤岛将不起作用,同样,平台团队必定对网络安保担任,网络安保必定是灵活的、散布式的和即时的。
就像平台一样,网络安保必定是智能化的,与平台一同裁减,并性能为代码,以便可以实时降级。思考到他们的技艺,平台团队的成员最适宜监视这一点。
云原生环境确实须要偏离传统的基于中心的安保措施,但是,在传统网络安保畛域,有一些曾经制订、细化和完善的弱小准则,平台团队应该顺应云原生运行。
从传统网络安保中学习
只管云原生环境带来了共同的应战,但传统的网络安保准则提供了几十年来取得的贵重见地。零信赖、网络分段和流量过滤等概念都是久经考验的通常,可以调整以顺应云原生环境:
其余有用的概念包含限度横向移动的运行程序隔离、对可疑流量启动深度数据包检测以确定攻打迹象,以及经常使用要挟情报馈送阻止与已知不良行为者的衔接尝试。
平台团队在包全网络安保方面的作用
在云原生环境中,平台团队在包全网络和成功合规性方面施展着至关关键的作用,他们须要在CI/CD生命周期的早期被动识别破绽和恶意软件,将安保通常无缝集成到开发和部署流程中。经过将严厉的安保性构建到基础设备智能化中,平台团队可以在整个环境中分歧地运行安保措施。这种方法不只增强了安保性,还成功了可裁减性和智能化。
平台团队还担任性能平台和任务负载的安保形态。经过实施不信赖任何人、自动拒绝和相似做法,企业可以防止数据外泄,只准许授权的进口。由于几种不同类型的服务共享一个平台,因此必定隔离运行程序和服务,以防止横向移动的要挟并确保多租户。平台团队必定继续监控和降级安保性能,以顺应始终变动的要挟并坚持弱小的安保态势。
网络安保应战
在云原生环境中,平台团队在网络安保方面面临的关键应战来自于解决环境的智能化和弹性基础设备,须要包全进口和外部流量并检测和阻止攻打,以及启用网络安保以协助降落危险。
成功合规和多租户
在云原生环境中,合规性逾越了传统的基于边界的控制。思考到平台团队的技艺和职责,他们最适宜性能和展现合规性,他们必定与合规团队亲密协作,以了解和实施必要的控制和政策。经过应用智能化和安保即代码通常,平台团队可以协助分歧地满足合规性要求。
无论是由合规性还是规模经济驱动的多租户,都是云原生环境的一个经常出现方面。平台团队必定设计和实施有效的多租户战略,以隔离和协助包全租户资源,这包含实施弱小的访问控制、网络分段和加密机制,以包全敏感数据并防止未经授权的访问。
论断
云原生环境中的网络安保须要一种被动且顺应性强的方法,平台团队在确保弱小的网络安保方面施展着关键作用。经过应用来自传统网络安保的见地,将安保性能为代码,并专一于合规性和多租户,企业可以有效地应容许战并包全其云原生平台。经过继续监控、活期降级和与其余团队的协作,平台团队可以在新出现的要挟中坚持上游位置,并协助保养安保的网络环境。