了解原生云应用程序安全性的特殊性：持久和适应性保护的先决条件

了解原生云应用程序安全性的特殊性：持久和适应性保护的先决条件

大规模的云原生部署要求组织实施各种安全技术，利用 DevSecOps 和“左移”模型、智能自动化、云安全态势管理 (CSPM) 方法来识别和监控云资源或 CWPP（云工作负载）保护平台）工具来保护工作负载。

这些不同的技术和方法给 CISO 的日常生活带来了压力，他们面临着确定哪些基本组件适用于有效的云原生安全解决方案的挑战。 除此之外，还有来自 CI/CD 管道的越来越多的漏洞、来自各种生产环境的大量警报和配置问题。

Aqua Nautilus 最近的研究表明，网络攻击者只需不到 20 分钟就可以破坏易受攻击的云原生工作负载 面对这种复杂的情况，有效的云原生安全策略首先必须基于充分理解这些特定应用程序的动态特性以及传统安全方法的局限性的能力。

云原生特性如何影响安全性

原生云通过引入敏捷方法、自动化、使用开源代码或在微服务中开发应用程序（通常由容器、无服务器功能或两者同时操作）扰乱了现代应用程序开发。 由于云原生部署在生产中拥有数千个容器和功能，因此组织越来越依赖编排工具 Kubernetes 来自动化这些容器化应用程序的部署、扩展和管理。

但是 Kubernetes 世界是特殊的，传统的安全工具并不是为这些高度动态的环境设计的。 事实上，在原生云应用程序中，工作负载是短暂的，它们可以由编排器根据需要进行调整并随时停止。 当涉及到用户角色、网络、存储和资源使用时，Kubernetes 本身也有其自身的复杂性。 和公共云一样，它可能会导致严重的配置问题。

为了最大限度地降低风险和整体暴露，有必要建立对所有开源组件的完全可见性和控制 – 以便在实施应用程序生产之前识别和纠正安全漏洞。 这必须通过整个 CI/CD 生命周期的安全测试来补充，同时确保控制能够跟上动态工作负载，无论它们在哪里，以随时保护它们。

CNAPP – 云原生安全的集成和整体方法

Gartner 建议将安全性和合规性视为开发和运营的连续统一体。 如果 CNAPP 平台是真正的云原生平台，即能够分析、跟踪、监控和控制所有类型的工作负载（容器、无服务器功能和 VM），同时覆盖原生云基础设施的全栈，CNAPP 平台将为公司提供具体答案：Kubernetes、基础设施即代码 (IaC) 工具、多个公共云提供商……它还必须在整个生命周期 CI/CD 中实现安全性，并与广泛的现代 DevOps 工具集成以实现实时保护。 只有具有运行时策略的 CNAPP 解决方案能够为容器、虚拟机和函数提供准确、实时的保护，才能在运行时阻止攻击。

需要深度集成和嵌入式控制的问题

部署专门适用于原生云的安全解决方案现在是 CISO 的当务之急。 但要真正有效，它们必须提供多种统一功能：左移工件分析、CSPM、Kubernetes 安全态势管理 (KSPM)、IaC 模板评估、云基础架构权限管理 (CIEM) 和云工作负载保护平台 (CWPP)。 还提供从开发到生产的控制，无论应用程序部署在何种基础架构——本地、公共云或混合环境中。 最后，它们必须能够检测和阻止攻击，而不仅仅是提供对配置问题和漏洞的可见性。

为了加速其云原生开发和数字化转型，同时受益于最佳保护，公司别无选择，只能从构建应用程序的那一刻起实时保护其应用程序。