云原生安全-云计算发展白皮书(2020年)解读

简介: 云原生安全-云计算发展白皮书(2020年)解读

来源:中国信息通信研究院

概括

白皮书首先介绍了云计算产业发展概况,然后重点围绕云原生、SaaS、分布式云、云原生安全、数字化转型、新基建等云计算领域热点话题进行探讨,最后对云计算未来发展进行了展望。

云计算发展

市场

过去十年是云计算突飞猛进的十年,云计算仍将迎来下一个黄金十年,进入普惠发展期。白皮书显示,全球云计算市场保持稳定增长态势。2019年,以IaaS、PaaS和SaaS为代表的全球云计算市场规模达到1883亿美元,增速20.86%。预计未来几年市场平均增长率在18%左右,到2023年市场规模将超过3500亿美元。

我国公有云市场规模首次超过私有云

IaaS发展成熟,PaaS增长高速,SaaS潜力巨大。2022年冬奥,第一次采取了服务上云,没有自己搭建服务器,而是使用了阿里云。

云技术

云技术不断发展

容器、微服务、DevOps为代表的云原生技术,可以为企业提供更高的敏捷性弹性和云间的可移植性。CNCF也对迅猛发展的k8s很关注。

云安全

云原生安全理念开始兴起

国际上,Gartner、Forrester、Rackspace、VMware等研究机构和厂商纷纷提出原生安全理念;在国内,阿里云、360等厂商将原生安全定义为企业下一代云安全架构。

云原生技术

中间件

在容器及编排技术、微服务等云原生技术的带动下,在云端开发部署应用已经是大势所趋,重塑中间件以实现应用向云上的变迁势在必行。各个中间件,如分布式消息、API网关,应该如何调整,能够更好的契合云端开发是考虑的一个重点。

Serverless

Serverless(无服务器)聚焦应用开发,开发者无需关注底层资源,只需关注业务,使用函数来实现业务的最小单元,又称为云函数。

SaaS

国内SaaS服务数量显著增长,服务专业性同步提升。中小企业从基础设施上云到应用全面上云仍道阻且长,面临人才储备不足、技术能力薄弱等挑战。Saas将成为企业上云重要抓手,一些SaaS服务商开始提供各个细分领域SaaS服务,例如,用友的营销云提供CRM服务等。目前IaaS和SaaS服务商的问题主要在:

  • IaaS及SaaS服务商对传统行业不了解,无法解决用户痛点。
  • SaaS服务商获取客源的成本高,客户都是企业,缺乏品牌效应。
  • SaaS缺乏底层云服务支撑。

博主认为,还是需要服务商走进传统企业,体验车间流程,深度了解用户需求,而不是用一些吹牛皮的PPT。之前就听说过某软件开发公司,花了上百万开发了煤矿相关的系统,进行煤矿开采的实时监测、地理数据的采集等,结合了物联网技术。但是,自己凭空想的需求,认为应该有哪些功能,哪些页面,然后再去各个煤矿开采公司推广,结果一套系统也卖不出去。

分布式云

分类

分布式云一般根据部署位置的不同、基础设施规模的大小、服务能力的强弱等要素,分为三个业务形态:中心云、区域云和边缘云。

中心云

中心云构建在传统的中心化云计算架构之上,部署在传统数据中心之中,提供全方面的云计算服务;

区域云

区域云位于中心云和边缘云之间,一般按照需求部署在省会级数据之中,主要作用是为中心云和边缘云之间进行有效配置;

边缘云

边缘云与中心云相对应,是构筑在靠近事物和数据源头的网络边缘处,提供可弹性扩展的云服务能力的云计算模式,并能够支持与中心云协同。

从中心到边缘

边缘的具体形态分为边缘云边缘终端

边缘云

边缘云是云计算向网络边缘侧进行拓展而产生的新形态,是未来产业关注重点,是连接云和边缘终端的重要桥梁。

边缘终端

边缘终端位于边缘云与数据源头路径之间,靠近用户或数据源头的任意具备一定硬件配置的设备,包括边缘网关、边缘服务器、智能盒子等终端设备。

云边协同

相关调查显示,目前我国智能终端用户超过七成的碎片化时间“消耗”在视频直播、短视频、游戏为代表的文娱应用中,数媒文娱产业进入爆发增长阶段。面对当前每日激增的用户流量和越发激烈的市场竞争,数媒行业探索依托云边协同实现业务模式的创新,增强服务能力,提升用户体验。

对于服务商来说,利用云边协同可以降低成本,提供更好的用户体验。

但是,对于用户来说,博主想提醒一下,某些服务商是没有底线的,为了吸引用户,采用打灰色地带擦边球、分享给现金等虚假广告、智能推荐算法等,让你沉迷,无法自拔,尤其对控制力差的青少年来说,产生了不好的影响。推荐书籍《自控力》、《上瘾》,纪录片《监视资本主义:智能陷阱》

云原生安全

架构重塑引起的端到端安全

挑战

隔离性方面,不同于虚拟机的独立操作系统,容器技术共享宿主机操作系统,这种进程级别的“软”隔离,增加了逃逸风险;容器逃逸漏洞有CVE-2019-5736、CVE-2020-15257等。

数据共享方面,紧密联系的多个容器通常共享某些数据,这些容器中的某一个被攻破都会导致数据泄露,使得攻击面大大增加;

组件交互方面,容器及其编排系统的组件高度解耦、分散部署,协同交互的组件链条增长,中间态的攻击风险增加

容器镜像链路追踪问题

容器镜像是云原生技术架构中软件交付流转的主要形态,贯穿在整个生命周期。基础镜像来源复杂,源头管控难,传输过程中间人攻击篡改难校验。部分云服务商,提供了个体上传镜像的功能,也难以校验是否为安全的镜像。

这里可以考虑能否与数字签名、区块链等技术结合,做容器或镜像的校验与追踪。

微服务端口暴露数量多问题

单体应用拆分导致端口数量暴增,攻击面大幅增加。强关联微服务间连锁攻破风险高。

安全与云融合

安全管理

研发阶段关注云计算安全问题,前置安全管理,促进云平台安全。可信研发运营安全体系,分为8个阶段,如下图所示。

新兴安全技术

零信任

零信任以数字身份为基石,对人、设备、应用等所有访问主体赋予数字身份,通过信任评估模型和算法,对身份进行持续的信任等级评估,动态的授予最小权限,彻底推翻边界安全架构下对信任的假设和滥用。例如,某公司的中心服务器,正式员工都可以具有查看权限,假设员工不会将数据泄露,但是,可能存在某行政部门员工被钓鱼攻击,导致账户泄露,进而泄露了中心服务器信息。零信任对人等都需要评估,行政人员基本不会使用中心服务器去开发等,没必要给权限,应该采取白名单机制,默认不可访问,确实需要访问再申请。

智能+安全

将AI等智能技术引入安全。例如,长亭科技的雷池,创新采用智能语义分析算法并结合机器学习技术,能够实现基于上下文逻辑的攻击检测,用算法的迭代改变规则防护现状,在降低误报率的同时,将攻击拦截性能提升至全新水平。

保密计算

保密计算基于可信执行环境(TEE),以可信硬件为载体,提供硬件级强安全隔离和通用计算环境,加密数据只能在可信执行环境中计算和运行,所有数据参与方均无法触及和控制计算行为,能够有效保障云上数据使用中的安全。

后续的数字化转型和新基建就不再进行总结和解读了,更多的是大的社会层面、行业层面,博主更关注的是云技术和安全。

参考

中国信通院云大所云计算部主任栗蔚:云计算发展白皮书(2020)


相关文章
|
1月前
|
Cloud Native Devops 云计算
云计算的未来:云原生架构与微服务的革命####
【10月更文挑战第21天】 随着企业数字化转型的加速,云原生技术正迅速成为IT行业的新宠。本文深入探讨了云原生架构的核心理念、关键技术如容器化和微服务的优势,以及如何通过这些技术实现高效、灵活且可扩展的现代应用开发。我们将揭示云原生如何重塑软件开发流程,提升业务敏捷性,并探索其对企业IT架构的深远影响。 ####
43 3
|
1月前
|
云安全 存储 监控
云计算安全:AWS与Azure的安全策略与实践比较
【10月更文挑战第26天】本文详细比较了AWS和Azure在安全性方面的策略和实践,涵盖身份与访问管理、数据加密与保护以及安全监控与响应。通过代码示例展示了两家云服务提供商在实际应用中的具体操作,帮助企业在选择云服务时做出明智决策。
51 0
|
15天前
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
本文基于2024云栖大会演讲,探讨了软件供应链攻击的快速增长趋势及对企业安全的挑战。文中介绍了如何利用阿里云容器服务ACK、ACR和ASM构建云原生软件供应链安全,涵盖容器镜像的可信生产、管理和分发,以及服务网格ASM实现应用无感的零信任安全,确保企业在软件开发和部署过程中的安全性。
|
9天前
|
安全 Java API
Nacos 3.0 Alpha 发布,在安全、泛用、云原生更进一步
近期,我们欣喜地宣布 Nacos 3.0 的第一个版本 Nacos 3.0-ALPHA 已经发布。Nacos 3.0 的目标是在 2.0 的基础上,进一步优化安全性、易用性和标准化。同时,我们将引入更多功能,帮助用户在分布式协调、AI 大模型、云原生等多种场景中更好地使用 Nacos,以提升其广泛适应性。
|
23天前
|
存储 安全 网络安全
云计算与网络安全:探索云服务的安全挑战与策略
在数字化的浪潮下,云计算成为企业转型的重要推手。然而,随着云服务的普及,网络安全问题也日益凸显。本文将深入探讨云计算环境下的安全挑战,并提出相应的防护策略,旨在为企业构建安全的云环境提供指导。
|
1月前
|
存储 安全 网络安全
云计算与网络安全:技术融合与安全挑战
随着云计算技术的飞速发展,其在各行各业的应用日益广泛。然而,随之而来的网络安全问题也日益凸显,成为制约云计算发展的重要因素。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析云计算环境下的网络安全挑战,并提出相应的解决方案。
|
1月前
|
Cloud Native 持续交付 云计算
云计算的未来:云原生技术引领数字化转型新篇章####
本文旨在探讨云原生技术如何重塑云计算领域,推动企业实现前所未有的敏捷性、可扩展性和效率。我们将深入分析云原生的核心概念、关键技术组件(如容器化、微服务、持续集成/持续部署CI/CD),并通过实际案例展示其在不同行业中的应用成效。此外,还将探讨云原生面临的挑战及未来发展趋势,为读者提供全面而深入的理解。 ####
|
1月前
|
云安全 存储 监控
云计算安全:AWS与Azure的安全策略与实践比较
【10月更文挑战第27天】本文对比分析了AWS和Azure在云计算安全领域的策略与实践,涵盖技术、定价、混合云工具等方面。通过代码示例展示了如何在两个平台上实施安全措施,如监控告警、数据加密和身份管理。总结了两者的优缺点,帮助读者根据具体需求选择合适的云服务提供商。
47 4
|
27天前
|
Cloud Native 持续交付 云计算
云计算的转型之路:探索云原生架构的崛起与实践####
随着企业数字化转型加速,云原生架构以其高效性、灵活性和可扩展性成为现代IT基础设施的核心。本文深入探讨了云原生技术的关键要素,包括容器化、微服务、持续集成/持续部署(CI/CD)及无服务器架构等,并通过案例分析展示了这些技术如何助力企业实现敏捷开发、快速迭代和资源优化。通过剖析典型企业的转型经历,揭示云原生架构在应对市场变化、提升业务竞争力方面的巨大潜力。 ####
33 0
|
1月前
|
监控 安全 Cloud Native
云原生安全:Istio在微服务架构中的安全策略与实践
【10月更文挑战第26天】随着云计算的发展,云原生架构成为企业数字化转型的关键。微服务作为其核心组件,虽具备灵活性和可扩展性,但也带来安全挑战。Istio作为开源服务网格,通过双向TLS加密、细粒度访问控制和强大的审计监控功能,有效保障微服务间的通信安全,成为云原生安全的重要工具。
51 2