最近出版的GoogleBeyondProd白皮书为容器化世界中的云本地安全提供了一个模型。谷歌的模型需要超越传统的基于周边的安全模型,而是利用代码验证和服务标识作为安全基石。谷歌还提供了一份开源软件清单,可用于实现其安全模型。
“BeyondProd允许谷歌确保其每周部署的数十亿个集装箱的安全,”GooglePM在容器安全MayaKaczorowski中写道。与企业安全的Google Beyond Corp安全模型类似,Beyond Prod的核心思想是,各组织不应信任任何实体,无论它们是在其内部还是外部,遵循“永远不信任,永远核实”的原则。与企业安全相比,云本地安全考虑了容器的使用,Kaczorowski解释说:
使用容器时的第一大不同是由于调度。为了安全起见,您不能依赖IP地址或主机名。你需要服务身份
在过去的几年里,在“零推推”网络的戏称下,这一想法越来越受到重视。正如独立网络安全顾问迈克尔·布伦顿-斯帕尔所说:
仅仅因为你在网络上,并不意味着我们丝毫信任你。”事实上,在许多情况下,这可能意味着我们应该更少地信任你,我会争辩。我在政府中看到的大多数网络在过去的某个时候都被破坏了。在网络上并不是信任的好指标。
在零信任网络中,保护网络外围仍然至关重要。然而,将此转变为完全的零托拉斯网络需要一些额外的规定。考虑到缺乏标准的方法,这绝非易事,Bruton-Spall补充道:
你可以从做过这件事的人那里理解它,定制它。如果你想定制自己的构建,你应该遵循他们所做的同样的事情。去参加会议,向做这件事的人学习。
填补这一空白,谷歌的白皮书制定了一些基本原则,补充了服务之间不信任的基本理念。其中包括在可信机器上运行已知源代码、创建“阻塞点”以执行跨服务的安全策略、定义推出更改的标准方法以及隔离工作负载。最重要的是,
这些控制意味着容器和运行在其中的微服务可以部署,相互通信,并且彼此安全地运行,而不会给单个微服务开发人员带来底层基础设施的安全和实现细节的负担。
应用这些原则将要求各组织改变其基础设施和开发流程,以尽早将安全性构建到其产品中,同时不给个别开发人员带来安全问题的负担,有效地从DevOps过渡到DevSecOps模型。
这不会是直截了当的,也不会为感兴趣的组织带来成本,谷歌多年来一直在创建内部工具并致力于它们的流程。一个很好的起点是谷歌提供的开源软件和其他工具的列表,包括特使、流量总监、库伯涅茨入场控制器等等。