2019可信云大会丨杨海涛：云原生安全，让创新的能量尽情释放

除了这三点还有一个合规性，合规性也可以完全内置在这个平台里面实现。除了平台之外其实另外一个云原生很重要的特点是DevOps，也可以对安全带来帮助，它和安全并不是冲突，而是完全帮助。既然软件能够通过DevOps快速发布，我们打补丁的时候也可以快速的打补丁。刚才提到的不可变基础设施，我们给攻击者留下更小的攻击窗口，有效防止长期驻留的威胁。另外Configuration as Code便于后期的安全审计。平台产品化，我的平台应该当成一个产品不断改进，这样的话整个平台的团队对产品有更高的责任，同样如果对整个平台有更高的责任，平台也要对自己负责，平台产品化的结构里面，平台团队对安全负起更大的责任，对安全更加重视。

这个东西是不是只停留在理论上，不仅仅是理论，我们可以看一下，我们有很多世界五百强的客户，就是用这样的理念构建他们的云原生平台，这些都是从客户那边收集到的数据。

再详细的举例，我们有财富500强财富的企业，在平台内置了合规性，而且实现了不停机的安全，修复漏洞，每月交付软件可以超过2100次，成功率达到99.995%。像某银行通过经常的重新部署，对他平台有更多的信心，目前为止已经布置了25套云原生的平台。

整个打补丁的速度变得很快，著名的大型企业开发运维比可以达到1000比6，是以前9倍的速度，开发人员的生产率提升45%，这是实现云原生以后整体速度，在保障安全性上，整体速度还在提升。

在云原生里面除了平台之外，很重要的概念就是敏捷和精益，对云平台也是这样，如果让平台一直保证安全的状态，对它一直可信，平台从安全角度来讲也需要持续的改进，满足外部快速变化的需求。

如果要做到这一点可能就需要考虑几个原则：

第一，需要把平台和应用部署实现自动化，让开发者更快，打补丁才能更快，这是一个基础。

第二，需要及时可用的安全组件，很多安全组件不是后期整合进去，而是平台预先集成好，落地即可用，这样可以把安全变得更加简单。

第三，需要不断的测试，不断的迭代提高安全能力，这个目的，在被发现之前，被攻击之前找到它并修复，这是核心的理论。

第四，协作性的思维，安全是所有人的事情，不是开发和运维团队的事情，需要大家一起努力。

这个时候特别要注意的是避免几种有可能会出现的问题，思路可能回复到传统安全的思维上去，我们要避免在平台为了省事叠加各种各样的安全软件工具，可能会适得其反。

第二另外一个极端也要避免，尝试识用一个方案解决所有的问题，解决之后就放在那里不动，不可能，因为外部的安全环境一直在变化，不可能一个东西可以解决所有的问题。

第三，用手工的方法去做，我们可以想象手工的方法在目前规模的云原生平台很难做，几千个容器手工修补做到什么时候。

第四，忽视主动监测的力量，如果出现问题，安全问题不出则以，一出都是大事。

在持续改进这个里面，持续提升能力里面，更重要在应用。我们在平台层面有更多的安全手法和手段之后，实际上最难控制的就是应用层，应用层都是企业自己开发，这个质量如果没有很好的管控，很可能应用就会成为最大的漏洞。网上也有统计，在目前所发现很多网络供给当中80%是由于应用实现的漏洞引起的，所以应用的安全，对企业来讲应该给予足够的重视，全流程的管理体制去管控。全流程包括哪些，设计阶段可以通过威胁风险模型最早的避免出现系统性的漏洞。在开发阶段对程序员、开发员进行安全的编码培训。测试的阶段可以使用软件组合的方式，还有漏洞检测，避免第三方的威胁到我们平台上来，还可以采用像类似应用的安全测试的手段。

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!