有没有好一点的云原生安全技术

~ 新一代网络安全方法已经超越了传统的基于边界的安全模型，在传统的基于边界的安全模型中，“墙”可以保护边界，并且内部的任何用户或服务都将受到完全信任。在云原生环境中，仍然需要保护网络外围，但是仅靠这种安全方法还远远不够——如果防火墙不能完全保护公司网络，那么它也不能完全保护生产网络。

云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式API。这些技术能够构建容错性好、易于管理和便于观察的松耦合系统。结合可靠的自动化手段，云原生技术使工程师能够轻松地对系统作出频繁和可预测的重大变更。

2014年，谷歌开始对外介绍BeyondCorp，这是一种用于用户访问企业网络的网络安全模型。BeyondCorp基于零信任架构原则，重新定义了企业网络访问。在此同时，谷歌同样还将零信任架构应用于其如何连接机器，工作负载与服务之中。这个项目就是BeyondProd。

在BeyondProd中，谷歌设计并实践了以下安全原则：

在边缘保护网络；

服务间默认不互信；

在可信机器上运行来源已知的代码；

跨服务强制执行一致策略的关卡；

发布流程更改实现简单化、自动化及标准化；

工作负载之间进行隔离。

简言之，谷歌通过多种控件和模块，实现容器及在其中运行的微服务能够安全部署，彼此间安全通信，彼此相邻安全运行，而不会给单个微服务开发人员增加基础架构的安全性和实现细节的负担。

关于译者：奇安信身份安全实验室，奇安信集团下属专注“零信任身份安全架构”研究的专业实验室，翻译并出版了业界首部零信任安全技术图书《零信任网络：在不可信网络中构建安全系统》。该团队以“零信任安全，新身份边界”为技术思想，推出“以身份为基石、业务安全访问、持续信任评估、动态访问控制”为核心的奇安信零信任身份安全解决方案。该团队结合行业现状，大力投入对零信任安全架构的研究和产品标准化，积极推动“零信任身份安全架构”在业界的落地实践，其方案已经在部委、央企、金融等行业进行广泛落地实施，得到市场、业界的高度认可。

BeyondProd：一种新的云原生安全方法

谷歌在此前已经撰写了几篇白皮书来介绍有助于提高安全性的谷歌内部开发项目。在本文中，BeyondProd特意沿用了BeyondCorp的概念——正如边界安全模型不再适用于终端用户一样，它也同样不再适用于微服务场景。对照BeyondCorp文中的话来讲：“此模型的关键假设不再成立：边界不再仅仅是企业[数据中心]的实际位置，且边界内的区域也不再是托管个人计算设备和企业应用程序[微服务]的安全可靠之处。”

本文将详细介绍，谷歌的多个基础架构是如何在一个如今被称为“云原生（cloud-native）”的架构中进行协同工作来保护工作负载（workload）的。有关谷歌安全的概述，可参阅《安全架构设计白皮书》。

本文记录内容截至到2019年12月是正确无误的。本文仅代表截止撰文时的状态。随着谷歌持续改善对用户的保护机制，谷歌云的安全政策和系统未来可能会发生变化。

---

日喀则地区15960188028： 请问云原生安全有用的吗,效果怎么样? - ？
轩柱射干： 有用,并且效果很好!

日喀则地区15960188028： VMware在原生安全策略方向上有没有什么新的进展? - ？
轩柱射干： ＂VMware 近年来在原生安全方面势如破竹.其中有两项重磅发布: 1、计划收购Octarine.该公司面向Kubernetes应用的创新安全平台有助于简化开发、安全与运维(DevSecOps),实现云原生环境从开发到运行时环境的原生安全. 2、携手Splunk、IBM Security、Google Cloud旗下Chronicle、Exabeam及Sumo Logic,打造下一代安全运维中心(SOC)联盟,助力SOC团队充分利用VMware 架构的可见性、预防、检测和响应功能.＂

日喀则地区15960188028： 做云安全管理哪家做的比较好? - ？
轩柱射干： 聚铭安云全运营中心推荐你,将企业内信息安全相关的海量信息汇总分析,挖掘出潜在的安全威胁,将客户损失降至最低.

日喀则地区15960188028： SD - WAN安全吗?？
轩柱射干： SD-WAN产品组合利用领先的网络产品,自动化和强大的安全架构来实现更大的灵活性,更大的带宽和更低的成本.云原生应用程序通常使用容器技术或无服务器计算,这将软件框架与特定的操作系统或硬件设备分开.在这种情况下,必须控制控制云应用程序实例的容器环境-因为没有要保护的特定物理元素(如交换机或服务器).SD-WAN技术的另一个诱人之处在于,它可以使用端到端加密将安全功能(例如虚拟专用网)部署为软件覆盖.这有助于满足可能希望连接分支机构或零售店但又具有较高安全性要求的企业的安全性要求.

日喀则地区15960188028： SASE解决方案有哪些好处?？
轩柱射干： Visual J++在工程文件的基础上又增加了一个解决方案层.一个解决方案由一个或者一系列为了解决某个问题的工程文件所组成,而这个工程文件可以由一个Java工程文件、一个C++工程文件和一个VB工程文件等三个独立的工程文件组成.每个工程文件都有专门的元素,对要解决的问题全部或部分进行访问.集成开发环境的工作贯穿于整个工程文件和解决方案系统之中.以这样的方式分别创建三个工程文件,就可以独立并灵活地应用它们.这种相对独立性,也可以使您及时对各个工程文件中的控件做出必要的改动.最简单的情况是一个解决方案中只包含一个工程文件.

日喀则地区15960188028： 请问“云安全”是一个什么概念? - ？
轩柱射干： “云安全”就是一个巨大的系统,它是杀毒软件互联网化的实际体现.具体来说,瑞星“云安全”系统主要包括三个部分:超过一亿的客户端、智能型云安全服务器、数百家互联网重量级公司(瑞星的合作伙伴).nbsp;nbsp;首先说客户端,...

日喀则地区15960188028： “云安全”是什么 ?？
轩柱射干： “云安全”就是一个巨大的互联网安全系统,它是杀毒软件互联网化的具体实现.

日喀则地区15960188028： 360的云杀毒技术是怎么回事?速度会快点吗? - ？
轩柱射干： 我给你说的简单易懂一点,360是双引擎杀毒,主引擎是罗马尼亚的比特梵德的杀毒引擎,辅助引擎就是云杀毒.云杀毒就是把你的杀毒引擎连接到360的云终端上,云终端通过360使用者收集到的病毒,你电脑进行杀毒的时候连接到360的终端,一些不知道的病毒通过云杀毒可以检测出来,云杀毒的时候需要联网.速度随网速而定,网速不错的话速度会很快.当然,由于要连接到云端病毒库,所以相对单引擎杀毒会慢一点.

日喀则地区15960188028： 云原生到底是什么?？
轩柱射干： 目前关于云原生没有确切的定义,云原生是一种构建和运行应用程序的方法,是一套技术体系和方法论.云原生(CloudNative)是一个组合词,Cloud+Native.