“AI 技术+人才”如何成为企业增长新引擎?戳此了解>>> 了解详情
写点什么

Google 发布云原生安全模型 BeyondProd,以实现云本地安全性

  • 2020-01-26
  • 本文字数:1080 字

    阅读完需:约 4 分钟

Google发布云原生安全模型BeyondProd,以实现云本地安全性

最近发布的Google BeyondProd白皮书,详细介绍了这个容器化的云原生安全模型。Google 的模型超越了传统的基于边界的安全模型,而是利用代码来源和服务身份标识作为安全基石。同时,Google 还提供了一份可用于实现其安全模型的开源软件列表。


Google容器安全项目经理(PM)Maya Kaczorowski写到,“BeyondProd 可以确保数十亿个容器的安全性,这些容器每周都会部署”。与用于企业安全的Google BeyondCorp模型类似,BeyondProd 的核心思想是,组织不应该信任任何实体,无论该实体是在边界内还是在边界外,应该遵循“永不信任,始终验证”的原则。与企业安全相比,云原生安全考虑了容器的使用,Kaczorowski解释道:


使用容器的第一个主要区别是调度。我们不能依靠 IP 地址或主机名来确保安全性,而是需要服务身份标识。


在过去的几年里,在“零信任”网络的名义下,这个理念得到了越来越多的关注。正如独立网络安全顾问Michael Brunton-Spall 所说:


“我们不能因为你在网络上就可以完全信任你”,我认为,事实上,在很多情况下,这可能意味着我们不应该那么信任你。我看到大多数政府部门的网络都曾遭到攻击。“在网络上”并不是一个好的信任指标。


在零信任网络中,保护其外围网络仍然至关重要。然而,要将其发展为完全的零信任网络还需要一些额外的规定。但这绝非易事,因为目前要做到这一点尚缺乏标准的方法,Brunton-Spall 补充道:


我们可以从做过这件事的人那里了解到,“它”需要定制。如果要定制我们自己的,需要吸取前人的经验,去参加会议,向做过这件事的人学习。


为了填补这一空白,Google 的白皮书制定了一系列的基本原则,补充了“服务之间互不信任”的基本理念。其中包括在受信任的机器上运行已知来源的代码、创建“扼要点”(choke points)来跨服务实施安全策略、定义实施变更的标准方法以及隔离工作负载。最重要的是,


这些控件意味着容器及运行在容器内的微服务可以安全地部署,它们可以彼此通信,并彼此相邻运行,而不会给单个微服务开发人员带来底层基础设施安全性和实现细节的负担。


这些原则的应用需要组织改变其基础设施和研发过程,以便尽早地在其产品中构建安全性,同时又不会给单个开发人员带来安全隐患,从而可以有效地从DevOps过渡到DevSecOps模式


对于感兴趣的组织来说,这不是一件简单的事情,也不是没有成本的,而且 Google 多年来一直在构建内部工具,并致力于研发流程。一个很好的起点是,可以利用 Google 提供的开源软件和其他工具的列表,包括EnvoyTraffic DirectorKubernetes admission controllers等等。


原文链接:


Google Publishes Its BeyondProd Cloud-native Security Model


2020-01-26 10:003219

评论

发布
暂无评论
发现更多内容

低代码如何解锁制造业数字生态系统?

TOBESOFT特碧软件

低代码 数字化 TOBESOFT

一周信创舆情观察(2.7~2.13)

统小信uos

如何通过测试用例保障交付质量

阿里云云效

阿里云 云原生 开发测试 测试用例 研发

在线YAML转JSON工具

入门小站

工具

运维安全是指什么?如何做好运维安全?

行云管家

运维 网络安全 IT运维 运维安全

教你用Elastic Search:运行第一条Hello World搜索命令 原创

华为云开发者联盟

数据库 全文检索 索引 Elastic Search 分布式实时搜索引擎

DG-IoT: 开源项目职业教育助力解决过度补课难题

dgiot

物联网 2月月更 2月日更 dgiot dgiot物联网

云原生多云应用利器--Karmada 总览篇

Daocloud 道客

云原生 多云管理 Karmada

如何构建一个流量无损的在线应用架构 | 专题中篇

阿里巴巴中间件

阿里云 云原生 中间件

优秀程序员的30种思维--分析总结篇(13/100)

hackstoic

架构思维

白盒绕过、黑盒绕过——绕过waf(一)

喀拉峻

网络安全

网络安全kali渗透学习 web渗透入门 WireShark抓包及常用协议分析

学神来啦

MASA Framework - DDD设计(1)

MASA技术团队

C# .net 微软 框架 Framework

Java&Go高性能队列之channel性能测试

FunTester

Go 性能测试 队列 channel FunTester

数字重庆·中国山城 | 渝康码背后的力量

浪潮云

云计算运维

云原生微服务技术趋势解读

阿里巴巴中间件

阿里云 微服务 云原生 中间件

知名信息安全厂商渔翁信息加入龙蜥社区,共建开源生态

OpenAnolis小助手

Linux 开源 信息安全

CTF中PHP相关题目考点总结(二)

H

网络安全 CTF

微服务从代码到k8s部署应有尽有系列(二、网关)

万俊峰Kevin

微服务 RPC web开发 go-zero Go 语言

网络编程懒人入门(十四):到底什么是Socket?一文即懂!

JackJiang

TCP 网络编程 socket IM 即时通讯IM

手把手带你基于嵌入式Linux移植samba服务

华为云开发者联盟

Linux 嵌入式 Samba UNIX系统 SMB协议

消除if-else之为Enum添加行为实现策略模式

topsion

Java clean code

Java线程池必知必会

CRMEB

英特尔CEO:开启超级摩尔定律的时代,推动前沿进展

科技新消息

北京冬奥有哪些AI“黑科技”?

澳鹏Appen

人工智能 自动驾驶 计算机视觉 nlp 黑科技

G7完成2亿美元融资

Geek_2d6073

新年新知 | 2022必读的5篇行业趋势(内附下载)

LigaAI

AI 创新 行业趋势 新能源

Kubernetes应用,如何选择适合你的Kubernetes应用发布模式

阿里云云效

阿里云 Kubernetes 云原生 CI/CD 发布模式

CRM重构项目

Mars

Linux常用的命令

龙空白白

linux 文件权限控制 linuc

如何构建一个流量无损的在线应用架构 | 专题尾篇

阿里巴巴中间件

阿里云 云原生 中间件 EDAS

Google发布云原生安全模型BeyondProd,以实现云本地安全性_服务革新_Sergio De Simone_InfoQ精选文章