伴随着云计算带来的基础设施变革以及应用技术架构的转变,云原生和云原生应用已经成为耳熟能详的词汇。Gartner预测,到2025年,云原生平台将成为95%以上新数字化计划的基础。伴随云原生场景的普及,云原生应用将引领下一个应用时代,但同时也带来了新的安全性问题。本文将深入系统地分析IAST代码疫苗技术如何将敏捷安全融入云原生场景,以安全自适应角度实现共生自进化。
云原生基础介绍
在分析云原生应用的安全性问题前,首先需要明确何为云原生?
参考CNCF(Cloud Native Computing Foundation,云原生计算基金会)对外公布的云原生定义:云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式API。
图1 CNCF对云原生的定义
当应用云原生技术进行云原生应用开发时,通常结合容器构建的微服务架构,在DevOps敏捷开发流程的CI/CD管道中进行,经过相关测试后部署到云基础设施中,并在运行时使用Kubernetes进行编排。
云原生应用安全
针对云原生应用的安全性问题,Gartner提出了Cloud-Native Application Protection Platform(CNAPP),即云原生应用保护平台。它结合了CWPP(Cloud Workload Protection Platforms,云工作负载保护平台)和CSPM(Cloud Security Posture Management,云安全态势管理)的功能,可扫描开发中的工作负载和配置,并在运行时保护它们。
图2 CNAPP详细功能(图片源自Gartner)
CNAPP将云原生应用安全保护分为三个层面:制品扫描(安全)、基础设施/云配置(安全)以及运行时保护(安全),整体思路是基于DevOps开发模式进行安全建设。除关注基础设施/云配置(安全)以及运行时保护(安全)外,仍需结合DevSecOps的“安全左移”思想,实现敏捷条件下的应用安全向内生长。本文重点讨论的是云原生应用在上线前的安全能力保障,即CNAPP所指的制品扫描(安全)层面。
但是随着云原生技术应用深度的增加,软件架构微服务化导致