云生態(tài)面臨怎樣的挑戰(zhàn)

時間：2020-05-14 07:45:02

關(guān)鍵字： API WEB應(yīng)用 EV PS

手機看文章

掃描二維碼
隨時隨地手機看文章

[導(dǎo)讀] 從歷史的角度來看，應(yīng)用安全一度在應(yīng)用交付中被忽視。這是因為將高標準的安全性整合到應(yīng)用的各個環(huán)節(jié)中，需要大量時間去測試和迭代，這會大大降低應(yīng)用的開發(fā)速度和增加成本預(yù)算。 Radware注意

從歷史的角度來看，應(yīng)用安全一度在應(yīng)用交付中被忽視。這是因為將高標準的安全性整合到應(yīng)用的各個環(huán)節(jié)中，需要大量時間去測試和迭代，這會大大降低應(yīng)用的開發(fā)速度和增加成本預(yù)算。

Radware注意到，隨著企業(yè)不斷優(yōu)化和加速應(yīng)用開發(fā)周期，越來越多的應(yīng)用在公共云中交付，安全性就成了公有云應(yīng)用不得不正視的巨大挑戰(zhàn)。公有云上的應(yīng)用通常在新架構(gòu)中運行，這些新架構(gòu)可以提供前所未有的效率、靈活性和成本效益。開發(fā)工具的流行，進一步加快了應(yīng)用的開發(fā)和部署步伐， DevOps越來越多地在應(yīng)用交付中發(fā)揮積極作用。自動化平臺、強大的業(yè)務(wù)流程框架、開源工具包和可視方案等越來越多地在公有云環(huán)境中均扮演重要角色，這也為公有云引入新的安全風(fēng)險。例如DevSecOps作為DevOps的安全組件，雖然將安全盡職調(diào)查納入驅(qū)動速度、敏捷性和持續(xù)交付的流程中，但是如果DevSecOps缺乏自動化和可視化，對應(yīng)用的保護能力就會較差，進而不能對連續(xù)交付流程提供有保障的安全性。

云生態(tài)環(huán)境：容器、微服務(wù)和服務(wù)網(wǎng)格

越來越多的容器、微服務(wù)和服務(wù)網(wǎng)格出現(xiàn)在了公有云環(huán)境中。Radware注意到，從單片架構(gòu)過渡到微服務(wù)架構(gòu)，使得企業(yè)更頻繁地部署應(yīng)用，以更可靠的方式獨立交付不同的微服務(wù)。容器技術(shù)與微服務(wù)完美匹配。每個微服務(wù)都可以跨越多個容器部署，以實現(xiàn)快速彈性部署，既提高了應(yīng)用質(zhì)量又縮短上線時間。

服務(wù)網(wǎng)格在微服務(wù)體系結(jié)構(gòu)中處理服務(wù)間通信的層級。其目的是通過負載平衡、遙測、流量路由、運行狀況檢查等提供彈性，以降低微服務(wù)體系結(jié)構(gòu)的復(fù)雜性。

向微服務(wù)架構(gòu)過渡的諸多挑戰(zhàn)中有一些挑戰(zhàn)與提供對象的規(guī)模有關(guān)。在單片時代，很少有單片Web實例需要負載平衡。而如今，成千上萬個自動生成的容器需要負載均衡。

云上應(yīng)用的安全挑戰(zhàn)

Radware的安全專家指出，微服務(wù)架構(gòu)和服務(wù)網(wǎng)格基礎(chǔ)架構(gòu)提供了所有功能，卻無法化解應(yīng)用和數(shù)據(jù)安全挑戰(zhàn)。云上的應(yīng)用除了面臨與過去相同的安全挑戰(zhàn)之外，還要面臨微服務(wù)應(yīng)用的分布式特點導(dǎo)致的延遲、拓撲結(jié)構(gòu)改變以及并行管理多個微服務(wù)的挑戰(zhàn)。

開放式Web應(yīng)用安全（OWASP）為專業(yè)人員提供了主要的Web應(yīng)用安全風(fēng)險提示。而注入、身份驗證被破壞、跨站點腳本（XSS）和敏感數(shù)據(jù)泄漏只是與公有云以及公有云應(yīng)用相關(guān)的幾個風(fēng)險示例，并不是全部。

當(dāng)前的Web應(yīng)用大量使用API，如物聯(lián)網(wǎng)（IoT）應(yīng)用，機器對機器通信、事件驅(qū)動的Web應(yīng)用，Web框架中的自動操作，功能即服務(wù)（FaaS）應(yīng)用，移動應(yīng)用等都會涉及API。所有這些用例均指南北通信，即客戶端到應(yīng)用的流量。這些用例的大多數(shù)API帶有JSON主體（REST-JSON）的REST API。一小部分API是基于XML結(jié)構(gòu)化數(shù)據(jù)格式的簡單對象訪問協(xié)議（SOAP）。

由于這些API在HTTP協(xié)議之上運行，大多數(shù)Web應(yīng)用的安全風(fēng)險與其他應(yīng)用相同。只是由于API可以單獨提供，因此圍繞授權(quán)和訪問控制，API帶來了額外的安全挑戰(zhàn)。

隨著API的采用日益廣泛，OWASP組織制定了API安全項目，并發(fā)布了OWASP API Security十大版本。提及的API安全風(fēng)險的示例：包括級別授權(quán)、過多的數(shù)據(jù)暴露、缺乏資源和速率限制以及惡意代碼注入，所有這些風(fēng)險都可能導(dǎo)致數(shù)據(jù)被盜竊或服務(wù)被中斷。