直播回顧 | 云原生下的業(yè)務(wù)數(shù)字化與安全

2022年6月10日，由派拉軟件聯(lián)同華為云、恒岳開展云企業(yè)云安全直播專場(chǎng)，派拉軟件研發(fā)總監(jiān)茆正華作《云原生下的業(yè)務(wù)數(shù)字化與安全》主題分享，以下為直播回顧。

企業(yè)業(yè)務(wù)上云，不僅僅是基礎(chǔ)設(shè)施和平臺(tái)的升級(jí)，應(yīng)用也需要摒棄傳統(tǒng)的設(shè)計(jì)方法，從架構(gòu)設(shè)計(jì)、開發(fā)方式到部署維護(hù)整個(gè)軟件生命周期都基于云的特點(diǎn)設(shè)計(jì)，從而構(gòu)建原生為云而設(shè)計(jì)的應(yīng)用，這樣才能在云上以最佳姿勢(shì)運(yùn)行，充分利用和發(fā)揮云平臺(tái)的彈性以及分布式優(yōu)勢(shì)。云原生就是這樣一套全新的理念，背后涵蓋了一系列全新的技術(shù)，例如容器、微服務(wù)、服務(wù)網(wǎng)格等。

目前，不僅互聯(lián)網(wǎng)行業(yè)在使用云原生，制造、地產(chǎn)、科研機(jī)構(gòu)、政府等各行各業(yè)也都在擁抱云原生技術(shù)。

云原生=微服務(wù)+DevOps+持續(xù)交付+容器化，是一種應(yīng)用“為云而生”的理念，即整個(gè)應(yīng)用需從架構(gòu)設(shè)計(jì)、開發(fā)設(shè)計(jì)、部署維護(hù)等各階段、各方面都基于“云”的特點(diǎn)重新設(shè)計(jì)，從而充分利用和發(fā)揮云平臺(tái)“彈性+分布式”的優(yōu)勢(shì)，獲得最佳的運(yùn)行效果，真正讓應(yīng)用“長”在云上。

采用輕量級(jí)的容器。云原生應(yīng)用程序是打包為輕量級(jí)容器的獨(dú)立自治服務(wù)的集合，與虛擬機(jī)相比容器可以實(shí)現(xiàn)更加快速的擴(kuò)展，優(yōu)化基礎(chǔ)架構(gòu)資源的利用率；

設(shè)計(jì)為松散耦合的微服務(wù)?？勺鳛楠?dú)立的服務(wù)而存在，并利用彈性基礎(chǔ)架構(gòu)和應(yīng)用架構(gòu)進(jìn)行高效擴(kuò)展；

通過DevOps流程進(jìn)行管理。云原生應(yīng)用的每項(xiàng)服務(wù)都有一個(gè)獨(dú)立的生命周期，通過敏捷的DevOps流程進(jìn)行管理。多個(gè)持續(xù)集成/持續(xù)部署流水線可以協(xié)同工作，以部署和管理云原生應(yīng)用程序。

云原生安全包含兩層意思：一是云原生環(huán)境的安全，二是利用云原生技術(shù)的安全。

云原生環(huán)境的安全是指采用相應(yīng)的安全措施對(duì)云原生環(huán)境進(jìn)行保護(hù)，這種安全措施有可能是使用傳統(tǒng)的安全防護(hù)產(chǎn)品，也有可能是使用云原生技術(shù)的安全產(chǎn)品，也有可能是云原生環(huán)境自身的安全特性。

利用云原生技術(shù)的安全是指采用云原生的彈性擴(kuò)展、按需分配等特點(diǎn)進(jìn)行安全產(chǎn)品的設(shè)計(jì)和部署，這種安全產(chǎn)品能夠部署在云原生環(huán)境中，當(dāng)然也可以為傳統(tǒng)IT架構(gòu)提供安全防護(hù)。

未來，云原生環(huán)境必將與采用了云原生技術(shù)的安全相互融合，成為統(tǒng)一的整體；也就是說在云計(jì)算環(huán)境下的安全一般也是采用了云原生技術(shù)的安全，采用了云原生技術(shù)的安全也會(huì)為云計(jì)算環(huán)境安全添磚加瓦，從而實(shí)現(xiàn)持續(xù)交付、持續(xù)安全，達(dá)到業(yè)務(wù)與安全齊頭并進(jìn)。

零信任代表了新一代的網(wǎng)絡(luò)安全防護(hù)理念，它的關(guān)鍵在于打破默認(rèn)的“信任”，其核心理念是“永不信任、持續(xù)認(rèn)證”。默認(rèn)不信任企業(yè)網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)，基于身份認(rèn)證和授權(quán)重新構(gòu)建訪問控制的信任基礎(chǔ)，從而確保身份可信、設(shè)備可信、應(yīng)用可信。

通過構(gòu)建以“零信任”為核心的新一代安全架構(gòu)，從終端可信、身份可信、網(wǎng)絡(luò)可信到數(shù)據(jù)安全，各個(gè)環(huán)節(jié)建立多層防線，打造面向用戶的安全訪問體系，通過持續(xù)威脅監(jiān)測(cè)、事件及時(shí)告警、快速響應(yīng)處置，將整個(gè)數(shù)據(jù)接入訪問的縱深安全防護(hù)體系有效的運(yùn)營起來，從而發(fā)揮出整體安全保障體系的最大優(yōu)勢(shì)。

近年來，云原生作為在云計(jì)算領(lǐng)域炙手可熱的技術(shù)之一，以其獨(dú)特的技術(shù)特點(diǎn)，可以很好地契合云計(jì)算的發(fā)展的本質(zhì)，也逐漸成為云計(jì)算發(fā)展的技術(shù)內(nèi)核。

云原生在最初設(shè)計(jì)開發(fā)的時(shí)候，便開始思考如何在云環(huán)境下使用和成長，從而可以更好地把業(yè)務(wù)生于“云”或遷移到云平臺(tái)上，然而，隨著業(yè)務(wù)上云、生態(tài)協(xié)作、多云混合等場(chǎng)景的廣泛應(yīng)用，云環(huán)境中的訪問安全、遠(yuǎn)程辦公人員身份的真實(shí)性等一系列安全問題不斷出現(xiàn)，傳統(tǒng)基于網(wǎng)絡(luò)或設(shè)備邊界的網(wǎng)絡(luò)安全防御技術(shù)逐漸難以應(yīng)對(duì)新型威脅。

因此，基于身份管理的云服務(wù)IDaaS應(yīng)運(yùn)而生，IDaaS全稱是 Identity as a Service ，即云化的IAM，基于云端的IAM能夠同時(shí)管理SaaS應(yīng)用和內(nèi)部應(yīng)用。作為云原生架構(gòu)的IDaaS產(chǎn)品，可以兼具云的擴(kuò)展性優(yōu)勢(shì)和跨環(huán)境的身份識(shí)別及權(quán)限管理能力，滿足私有云、混合云以及公有云等多種部署類型，與傳統(tǒng)的IAM相比，IDaaS為身份認(rèn)證帶來了SaaS的成本優(yōu)勢(shì)，且適配性更強(qiáng)、安全性更高，可處理更大規(guī)模、更加復(fù)雜的數(shù)據(jù)。