云原生应用交付

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 【10月更文挑战第26天】云原生环境下的安全问题易被忽视,导致潜在风险。应用层渗透测试和漏洞扫描是检测安全的关键,尤其是对于CVE漏洞的修复。然而,常见误解认为安全由外部防护处理且不易引入问题。

应用层的渗透测试和漏洞扫描相当于对应用整体安全的一个检测机制,在安全问题引入之后,通过安全测试和漏洞扫描发现这些问题,推进修改。在安全管理维护方面,最经常处理的是CVE漏洞,CVE漏洞通常是一些隐藏较深、有一定修复难度的问题。对负责业务开发和业务运维的工程师来说,由于接触应用层安全问题的机会不多,仅有的几次机会也是对CVE漏洞的修复,修复的方案往往也是通过版本及第三方库的升级来完成的。长时间的操作过程造成了对应用安全处理机制的两个错误理解,一是认为安全问题是由外部安全防护机制来处理的,二是认为安全问题不太容易引入。


对安全问题的这两个印象实际上是不对的,特别是在云原生环境下,由于疏忽很容易引入安全漏洞。拿一个例子来看,一个容器中的进程如果以root身份运行,那么这个进程在主机操作系统内部也是root身份的,这个程序容易被利用并通过SUID扩大攻击范围;或者有些时候,由于错误地配置了网络策略,业务接口向平台中的所有业务应用开放,破坏了业务的隔离性。这些问题在实际应用中经常发生。


由于云原生业务应用的运行环境已经不同于传统业务应用场景,在传统业务应用场景下,安全管控主要依赖网络边界设备,比如防火墙、IDS/IPS、WAF等。云原生业务系统运行在云化的环境中,网络边界普遍已经虚拟化和模糊化。另外,云原生环境有大量的多租户共享以及多业务应用共用的情况,各业务系统需要在代码、配置和技术选型使用上注意安全问题。如果不遵守一个好的安全规范,日积月累的小安全问题会让业务系统漏洞百出。在常规情况下也许业务系统能够稳定运行,在扩展性和性能等方面表现良好,但是一旦遇到攻击,很容易就会出现严重的安全事故,比如数据泄露、资源泄露或者遭受网络欺诈,造成严重后果。所以云原生应用在开发流程执行过程中就需要确立好安全规范,并把安全规范的执行检查嵌入到DevOps流程中。


安全规范需要考虑平台安全使用规范、容器镜像安全规范、云原生应用安全规范、安全审计规范这四个领域。这四个领域中安全规范的作用和目的如下。


1)平台安全使用规范:规定平台层(包括主机、Kubernetes集群)的配置和使用规则

云原生平台是应用运行的基础,安全工程师的一个重要职责是维护平台的安全。平台安全建设的约束和规范在应用开发流程中可以体现的点并不多,主要是在用户和文件权限及Kubernetes平台配置。


2)容器镜像安全规范:规定应用镜像打包规范,约束使用的基础镜像以及基础镜像的使用方法

  • 只能使用指定的容器基础镜像(如alpine的固定版本)。
  • Dockerfile中不能包含敏感信息(比如密码等)。
  • 需通过USER命令指定容器进程的启动用户,不能以默认的root身份启动。
  • 镜像不能挂载包括/etc、/bin、/root等路径在内的系统关键路径。
  • 发布的镜像需通过镜像扫描平台进行安全扫描。
  • 非特殊情况,不允许在基础镜像的基础上再下载扩展软件包。
  • 某些情况下,安装扩展软件包时,需通过安全工程师来操作,安全的软件包需精简,去除无用的附属文件(如debug工具、帮助文件等)。


3)云原生应用安全规范:规定Pod的定义规则、namespace的隔离规则以及各应用之间的访问规则;还包括应用在架构上的安全定义规则

云原生应用安全规范的内容较多,包括应用中间件的选型和使用、应用Pod声明文件包含的必要配置、应用Pod之间的隔离策略、Security Context和Pod Security Policy的使用规范以及平台服务账号及其角色绑定的配置规范等。


4)安全审计规范:规定应用的操作日志、与安全相关的应用运行日志的打印规范

安全审计规范中定义了应用操作日志、与安全相关的运行日志及运行事件的输出规范,主要包括以下内容。

  • 用户对资源的操作和管理需记录操作日志,操作日志的信息字段需记录操作源IP等关键字段。
  • Web层接口的调用入口及出口需记录调用日志,调用日志的级别需为WARN。调用日志需标记出调用时间、输入参数和能够标记调用用户的字段信息。
  • 应用日志中不能输出用户的隐私信息(比如用户密码等)。
  • 应用日志需对应用异常情况进行捕获,并输出应用运行的整体情况日志,如在线程池满的时候,输出线程总数及请求队列的统计信息。
  • 需开启kube-apiserver审计,记录平台的事件信息。


平台以及应用层规范的制定主体是安全工程师。安全工程师除了提出和制定安全流程规范外,还负责在DevSecOps流水线中配置自动化的安全规范检查机制,将安全的检查工作融入日常的开发流程中,利用云平台的自动化机制来实现自动化的持续安全。

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
1月前
|
Cloud Native 安全 物联网
云原生技术在现代软件开发中的应用与挑战####
云原生,这一词汇如同一股强劲的科技风暴,席卷了整个信息技术领域,它不仅重塑了软件的开发模式,还引领了一场关于效率、可扩展性和弹性的深刻变革。本文旨在深入探讨云原生技术的核心概念,分析其在现代软件开发中的广泛应用,并直面伴随其发展而来的挑战,为读者勾勒出一幅既充满机遇又不乏考验的云原生技术图景。 ####
|
7天前
|
监控 Cloud Native 持续交付
云原生技术在现代企业中的应用与实践
本文将深入探讨云原生技术如何改变现代企业的运作模式,提升业务灵活性和创新能力。通过实际案例分析,我们将揭示云原生架构的关键要素、实施步骤以及面临的挑战,为读者提供一套清晰的云原生转型指南。
|
13天前
|
Kubernetes Cloud Native 持续交付
云原生技术在现代软件开发中的应用与挑战
【10月更文挑战第37天】随着云计算技术的不断演进,云原生技术已经成为推动软件开发现代化的重要力量。本文将深入探讨云原生技术的核心概念、优势以及面临的挑战,并通过一个实际的代码示例,展示如何在云原生环境中部署一个简单的应用。我们将从云原生的基础架构出发,逐步引导读者理解其在现代软件开发中的关键作用。
26 1
|
1月前
|
运维 监控 Cloud Native
构建行业应用生态:云原生应用市场简化企业软件安装
在移动互联网时代,尽管手机应用市场为用户带来了极大的便利,但企业级软件的安装和管理仍面临诸多挑战,包括安装复杂、交付效率低、应用兼容性差等问题。为此,基于云原生技术的企业级应用市场Rainstore应运而生,旨在简化企业软件的安装和管理,提升交付效率,增强应用兼容性,支持远程管理和个性化定制,构建开放的行业应用生态,助力企业数字化转型。
构建行业应用生态:云原生应用市场简化企业软件安装
|
27天前
|
敏捷开发 Cloud Native 持续交付
云原生技术在现代企业中的应用与实践
【10月更文挑战第23天】本文将深入探讨云原生技术在现代企业中的广泛应用,并结合具体案例分析其对企业数字化转型的推动作用。我们将从云原生技术的基本原理出发,逐步揭示其在提高业务敏捷性、降低成本和增强系统可靠性方面的优势。同时,文章还将分享一系列成功实施云原生技术的企业案例,为读者提供实践中的参考和启示。最后,我们将讨论云原生技术面临的挑战及未来的发展趋势,为企业在这一领域的进一步探索提供指导。
|
28天前
|
Cloud Native 持续交付 云计算
云原生技术深度探索:构建现代化应用的基石####
【10月更文挑战第21天】 本文将深入探讨云原生技术的核心概念、关键技术及其在现代软件开发中的应用。我们将从容器化、微服务架构、持续集成/持续部署(CI/CD)、无服务器架构等关键方面展开,揭示这些技术如何共同作用,帮助企业实现高效、弹性且易于维护的应用部署与管理。通过实例分析,展现云原生技术在实际项目中的显著优势,为读者提供一套全面理解并应用云原生技术的指南。 ####
34 2
|
1月前
|
运维 Cloud Native 持续交付
云原生技术在现代IT架构中的深度应用与挑战####
【10月更文挑战第17天】 本文深入剖析了云原生技术的精髓,探讨其在现代IT架构转型中的核心作用与面临的挑战。云原生不仅是一种技术实现,更是企业数字化转型的重要推手,通过容器化、微服务、持续集成/持续部署(CI/CD)等关键要素,重塑软件开发、部署与运维模式。文章首先概述了云原生的基本原则与核心组件,随后分析了其如何促进企业敏捷性、可扩展性和资源利用率的提升,同时也指出了在安全性、复杂性管理及人才技能匹配等方面存在的挑战,并提出了相应的对策建议。 ####
68 6
|
1月前
|
运维 监控 Cloud Native
云原生技术在现代企业中的应用与挑战####
【10月更文挑战第15天】 本文深入探讨了云原生技术如何重塑企业的IT架构,并分析了其带来的机遇与面临的挑战。通过案例分析,揭示了云原生技术在提升业务敏捷性、降低运维成本方面的显著优势,同时也指出了在安全性、多云管理等方面的潜在难题,为企业决策者提供了有价值的参考。 ####
26 3
|
1月前
|
运维 Cloud Native 持续交付
云原生技术:构建现代应用的基石
【10月更文挑战第9天】在数字化转型的浪潮中,云原生技术如同一股清流,引领着企业走向更加灵活、高效的未来。本文将深入探讨云原生的核心概念,揭示其在现代应用开发与部署中的重要作用,并通过实际案例分析,展现云原生技术如何助力企业实现敏捷开发和自动化运维,最终提升业务竞争力。
78 3
|
1月前
|
运维 Kubernetes Cloud Native
云原生技术:构建现代应用的新范式
【10月更文挑战第9天】 云原生是一种通过云计算环境优化的软件开发和运行方法论,旨在最大化利用云平台的灵活性、可扩展性和弹性。本文将深入探讨云原生技术的基本原理、核心组件以及其在实际项目中的应用。我们将从Kubernetes的容器编排机制入手,逐步探讨如何通过自动化工具实现持续集成与持续部署(CI/CD),最终展示如何构建一个高效、可靠的云原生应用。
60 2

热门文章

最新文章

下一篇
无影云桌面