云原生安全4c模型是指什么
云原生安全4c模型是指以下四个方面:
云(Cloud):在许多方面,云(或者位于同一位置的服务器,或者是公司数据中心)是集群中的可信计算基。如果云层容易受到攻击(或者被配置成了易受攻击的方式),就不能保证在此基础之上构建的组件是安全的。每个云提供商都会提出安全建议,以在其环境中安全地运行工作负载。
集群技术(Cluster):集群技术是一种较新的技术,通过集群技术,可以在付出较低成本的情况下获得在性能、可靠性、灵活性方面的相对较高的收益,其任务调度则是集群系统中的核心技术。集群是一组相互独立的、通过高速网络互联的计算机,它们构成了一个组,并以单一系统的模式加以管理。一个客户与集群相互作用时,集群像是一个独立的服务器。集群配置是用于提高可用性和可缩放性。
容器技术(Container):容器技术将有效的将单个操作系统的资源划分到孤立的组中,以便更好的在孤立的组之间平衡有冲突的资源使用需求,这种技术就是容器技术。
代码(Code):应用程序代码是你最能够控制的主要攻击面之一,虽然保护应用程序代码不在云原生安全主题范围内,但是保护应用程序的代码也至关重要。
云原生保护应用程序代码的措施有以下这些:
仅通过TLS访问:如果你的代码需要通过TCP通信,请提前与客户端执行TLS握手。除少数情况外,请加密传输中的所有内容。更进一步,加密服务之间的网络流量是一个好主意。
限制通信端口范围:此建议可能有点不言自明,但是在任何可能的情况下,你都只应公开服务上对于通信或度量收集绝对必要的端口。
第三方依赖性安全:最好定期扫描应用程序的第三方库以了解已知的安全漏洞。每种编程语言都有一个自动执行此检查的工具。
静态代码分析:大多数语言都提供给了一种方法,来分析代码段中是否存在潜在的不安全的编码实践。只要有可能,你都应该使用自动工具执行检查,该工具可以扫描代码库以查找常见的安全错误。
动态探测攻击:你可以对服务运行一些自动化工具,来尝试一些众所周知的服务攻击。这些攻击包括SQL注入、CSRF和XSS。OWASPZedAttack代理工具是最受欢迎的动态分析工具之一。