直播回顧 | 云原生下的業(yè)務(wù)數(shù)字化與安全

2022年6月10日，由派拉軟件聯(lián)同華為云、恒岳開展云企業(yè)云安全直播專場，派拉軟件研發(fā)總監(jiān)茆正華作《云原生下的業(yè)務(wù)數(shù)字化與安全》主題分享，以下為直播回顧。

企業(yè)業(yè)務(wù)上云，不僅僅是基礎(chǔ)設(shè)施和平臺的升級，應(yīng)用也需要摒棄傳統(tǒng)的設(shè)計方法，從架構(gòu)設(shè)計、開發(fā)方式到部署維護(hù)整個軟件生命周期都基于云的特點設(shè)計，從而構(gòu)建原生為云而設(shè)計的應(yīng)用，這樣才能在云上以最佳姿勢運行，充分利用和發(fā)揮云平臺的彈性以及分布式優(yōu)勢。云原生就是這樣一套全新的理念，背后涵蓋了一系列全新的技術(shù)，例如容器、微服務(wù)、服務(wù)網(wǎng)格等。

目前，不僅互聯(lián)網(wǎng)行業(yè)在使用云原生，制造、地產(chǎn)、科研機構(gòu)、政府等各行各業(yè)也都在擁抱云原生技術(shù)。

云原生=微服務(wù)+DevOps+持續(xù)交付+容器化，是一種應(yīng)用“為云而生”的理念，即整個應(yīng)用需從架構(gòu)設(shè)計、開發(fā)設(shè)計、部署維護(hù)等各階段、各方面都基于“云”的特點重新設(shè)計，從而充分利用和發(fā)揮云平臺“彈性+分布式”的優(yōu)勢，獲得最佳的運行效果，真正讓應(yīng)用“長”在云上。

采用輕量級的容器。云原生應(yīng)用程序是打包為輕量級容器的獨立自治服務(wù)的集合，與虛擬機相比容器可以實現(xiàn)更加快速的擴(kuò)展，優(yōu)化基礎(chǔ)架構(gòu)資源的利用率；

設(shè)計為松散耦合的微服務(wù)?？勺鳛楠毩⒌姆?wù)而存在，并利用彈性基礎(chǔ)架構(gòu)和應(yīng)用架構(gòu)進(jìn)行高效擴(kuò)展；

通過DevOps流程進(jìn)行管理。云原生應(yīng)用的每項服務(wù)都有一個獨立的生命周期，通過敏捷的DevOps流程進(jìn)行管理。多個持續(xù)集成/持續(xù)部署流水線可以協(xié)同工作，以部署和管理云原生應(yīng)用程序。

云原生安全包含兩層意思：一是云原生環(huán)境的安全，二是利用云原生技術(shù)的安全。

云原生環(huán)境的安全是指采用相應(yīng)的安全措施對云原生環(huán)境進(jìn)行保護(hù)，這種安全措施有可能是使用傳統(tǒng)的安全防護(hù)產(chǎn)品，也有可能是使用云原生技術(shù)的安全產(chǎn)品，也有可能是云原生環(huán)境自身的安全特性。

利用云原生技術(shù)的安全是指采用云原生的彈性擴(kuò)展、按需分配等特點進(jìn)行安全產(chǎn)品的設(shè)計和部署，這種安全產(chǎn)品能夠部署在云原生環(huán)境中，當(dāng)然也可以為傳統(tǒng)IT架構(gòu)提供安全防護(hù)。

未來，云原生環(huán)境必將與采用了云原生技術(shù)的安全相互融合，成為統(tǒng)一的整體；也就是說在云計算環(huán)境下的安全一般也是采用了云原生技術(shù)的安全，采用了云原生技術(shù)的安全也會為云計算環(huán)境安全添磚加瓦，從而實現(xiàn)持續(xù)交付、持續(xù)安全，達(dá)到業(yè)務(wù)與安全齊頭并進(jìn)。

零信任代表了新一代的網(wǎng)絡(luò)安全防護(hù)理念，它的關(guān)鍵在于打破默認(rèn)的“信任”，其核心理念是“永不信任、持續(xù)認(rèn)證”。默認(rèn)不信任企業(yè)網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)，基于身份認(rèn)證和授權(quán)重新構(gòu)建訪問控制的信任基礎(chǔ)，從而確保身份可信、設(shè)備可信、應(yīng)用可信。

通過構(gòu)建以“零信任”為核心的新一代安全架構(gòu)，從終端可信、身份可信、網(wǎng)絡(luò)可信到數(shù)據(jù)安全，各個環(huán)節(jié)建立多層防線，打造面向用戶的安全訪問體系，通過持續(xù)威脅監(jiān)測、事件及時告警、快速響應(yīng)處置，將整個數(shù)據(jù)接入訪問的縱深安全防護(hù)體系有效的運營起來，從而發(fā)揮出整體安全保障體系的最大優(yōu)勢。

近年來，云原生作為在云計算領(lǐng)域炙手可熱的技術(shù)之一，以其獨特的技術(shù)特點，可以很好地契合云計算的發(fā)展的本質(zhì)，也逐漸成為云計算發(fā)展的技術(shù)內(nèi)核。

云原生在最初設(shè)計開發(fā)的時候，便開始思考如何在云環(huán)境下使用和成長，從而可以更好地把業(yè)務(wù)生于“云”或遷移到云平臺上，然而，隨著業(yè)務(wù)上云、生態(tài)協(xié)作、多云混合等場景的廣泛應(yīng)用，云環(huán)境中的訪問安全、遠(yuǎn)程辦公人員身份的真實性等一系列安全問題不斷出現(xiàn)，傳統(tǒng)基于網(wǎng)絡(luò)或設(shè)備邊界的網(wǎng)絡(luò)安全防御技術(shù)逐漸難以應(yīng)對新型威脅。

因此，基于身份管理的云服務(wù)IDaaS應(yīng)運而生，IDaaS全稱是 Identity as a Service ，即云化的IAM，基于云端的IAM能夠同時管理SaaS應(yīng)用和內(nèi)部應(yīng)用。作為云原生架構(gòu)的IDaaS產(chǎn)品，可以兼具云的擴(kuò)展性優(yōu)勢和跨環(huán)境的身份識別及權(quán)限管理能力，滿足私有云、混合云以及公有云等多種部署類型，與傳統(tǒng)的IAM相比，IDaaS為身份認(rèn)證帶來了SaaS的成本優(yōu)勢，且適配性更強、安全性更高，可處理更大規(guī)模、更加復(fù)雜的數(shù)據(jù)。