智慧城市网

　　【智慧城市网 视点跟踪】当前，上云已经成为一个不可逆转的主流趋势，无论是业务发展需求，还是员工混合办公需求。对于企业而言，采用云上的应用和成熟的商业云服务，不仅能够大幅降低运维成本，还可实现IT架构的弹性伸缩。同时，受疫情等不可抗力因素影响，人们的办公模式发生快速变化，混合办公模式日益成为一种职场工作常态。
 

　　上云之后迎来新挑战？
 

　　然而，伴随而来的却是，网络安全形势的越发严峻与复杂。一是上云成为主流，云计算基础设施打破了安全边界，改变了IT管理模式，并且云原生应用也在不断增加，如何对这些应用进行无缝安全管理，已经成为影响安全事件的重要主体。二是工作性质发生根本改变，现在的办公模式不是单纯一种形式，而是混合型办公模式，IT支撑的架构在快速切换下，安全如何无缝集成进去，带来极大挑战。三是威胁形势持续升级，目前实施一个成功的安全攻击的门槛越来越低，很多勒索软件成为“即服务”。随着安全威胁的增多，如何以更加智能、高效、准确的方式及时检测到安全威胁并进行处置，也是网络安全很关键的主体。
 

　　11月29日，Palo Alto Networks(派拓网络)云原生安全媒体沟通会，派拓网络中国区大客户技术总监张晨分享了当前企业主要面临的云原生安全挑战和应对之策。
 

　　这些年来，云原生应用凭借敏捷、可靠、高弹性、易扩展等技术优势，成为推动企业数字化业务创新的重要抓手，同时我们也看到，云原生应用是在跨多云、混合的环境下进行开发、使用和部署的，这个给原来在应用安全上的安全策略和规划带来很大变化，具体来看：
 

　　第一，云原生的构架广泛普及。因为很多开源的厂家都会开发云原生的架构，很多行业的客户对云原生应用的采用也非常广泛，因为它的便捷性、敏捷性以及成本。
 

　　第二，DevOps推动不断变化的状态。云上开发的服务，可以做到随着需求的变化而随时变化，如果需要用这个环境就把这个容器环境启用起来，不需要就关掉，节省大量云上资源开销。
 

　　第三，安全建设可能会滞后。云原生环境的设计和架构的规划并不是从安全机制的角度来考虑，更多是如何以最低的资源开销，以最便捷地开发环境资源，获取最大的应用发布成果。因此，在整个云原生应用全生命周期中有很多安全漏洞和短板，安全机制相对滞后。
 

　　云原生安全如何构建？
 

　　那么，在云原生环境下，企业应该采取怎样的网络安全策略呢？在张晨看来，企业需要具备以下三种能力：
 

　　首先，了解威胁形势和所面临的风险。在云原生应用整个生命周期中有全面的可视化能力，清楚知道从应用的开发到镜像发布之后，配置上有哪些问题。
 

　　其次，预防、检测和有效应对基于各种载体的威胁，包括网络、云、端点和软件供应链。云上应用一旦投产使用生效的时候，要对这个应用本身会遭遇到的安全攻击进行高效准确地检测。
 

　　最后，最大程度地提高安全效率，同时优化总体拥有成本。要使企业IT管理部门能够在一个平台上对整个云原生的生命周期进行全方位的安全策略管理，而不是一个人管理很多不同的产品，产品之间又没有关联性，这样安全效率就会非常低。
 

　　“这印证了派拓网络对于新网络安全趋势变化下的思想，也就是零信任这样一个指导思想，”张晨表示，“零信任是将安全策略带入到每一个细节中，不去信任网络上任何一个元素。对于任何一个主体，都要对其产生的网络流量以及关联的终端、网络服务器和生成的相应环境，进行相关安全策略检查。解决安全隐患已从原来的借助VPN 充当网络之间的安全隧道，到采用ZTNA 2.0的思想来指导在零信任网络下每一个元素的安全建设思想，这里同时包括了云原生环境。”
 

　　对此，派拓网络通过定义保护对象与范畴、掌握通讯与数据流(应用业务流程分解)、基于保护区域构建隔离网络、建立零信任安全管理政策、有效率的监控及运维这五个步骤帮助企业客户构建零信任网络。
 

　　据张晨介绍，构建零信任网络并不是一个复杂的大工程，而是按照业务的优先级别和重要性一步步开展起来。派拓网络下一代网络安全平台是高智能且高度集中化的，主要由网络安全、云安全和终端安全三部分组成，上层的自动化安全运营机制，能够将网络云原生环境下及端点安全等信息都汇总到自动化安全运营平台，进行统一的监控和管理，以及智能化的编排。支撑这些操作的是派拓网络遍布全球的安全运营情报网络，正是因为有了对于安全威胁实时跟踪的安全追踪网络，才能让前端的事件处置变得高效和准确。

　　同时，派拓网络在云原生功能方面，可满足客户在整个云原生应用下全生命周期的安全需求，帮助客户从软件开发阶段就将安全策略内置进去，保证客户在云原生环境下的整体安全体验。另外，派拓网络通过人工智能和机器学习技术，帮助客户改变此前以人工低效进行安全运营的方式。
 

　　值得一提的是，作为一个完整的云原生应用保护平台(Cloud Native Application Protection Platform ，CNAPP)，Prisma Cloud 3.0提供了从云原生代码开发环境、上云之后安全威胁态势感知，再到云原生应用在运行过程中的所有安全需求。因此，企业客户可以说是在一个高度集成且能够覆盖全生命周期的环境下使用派拓网络的Prisma Cloud 3.0解决方案，这也是目前业界唯一一个能够进行云原生应用全生命周期覆盖的统一平台。
 

　　“现在，有越来越多的企业将业务负载托管在云平台。通过Prisma Cloud 3.0，可以对云原生环境在生命周期的各个层面进行安全防护和检测。”张晨说道。

 

　　如今，有越来越多的企业加速了数字化转型的步伐，对云的需求与日俱增。在普遍上云的趋势下，越来越多的业务与技术开始向云原生演进。
 

　　据Gartner预测，到2025年，云原生平台将成为数字化创新的基础架构，部署在云原生平台上的数字工作负载将由2021年的30%增长至2025年的95%。另据IDC预计，到2024年，新增的生产级云原生应用在新应用的占比，将从2020年的10%增加到60%。
 

　　由此可见，云原生已成为不可逆转的趋势。所以，保障云原生安全也就成为了企业必须面对的首要问题。Prisma Cloud作为对云原生应用进行全生命周期支持的平台，实现了通过一个平台的视角对整个应用开发生命周期中的每一个环节进行安全可视化和管理。可以说，在我们加速迈入云原生时代的过程中，Prisma Cloud的出现可谓恰逢其时。