文章编号：25118 / 分类：互联网资讯 / 更新时间：2024-05-21 15:56:32 / 浏览：次

引言

随着现代 IT 环境变得越来越复杂和分布式，传统监控解决方案已不足以满足云原生数据中心的监控需求。云原生数据中心要求具备以下特点：可扩展性：能够处理海量数据和不断变化的系统。实时性：提供近乎实时的可见性和警报。自动化：能够自动发现和监控新资源，并为常见的故障提供自动化修复。多云：支持在多个云平台和私有数据中心上部署。安全：符合严格的安全标准和法规。

云原生数据中心监控的挑战

监控云原生数据中心面临着独特的挑战，包括：数据量巨大：容器化和微服务架构产生大量事件和指标。分布式系统：资源分布在不同的云平台和私有数据中心。新技术：云原生技术的发展速度很快，监控解决方案必须能够跟上。安全问题：云原生环境面临新的安全威胁，监控解决方案必须能够检测和响应。

云原生数据中心监控的解决方案

为了应对这些挑战，云原生数据中心监控需要采用专门设计的解决方案。这些解决方案通常包括以下组件：集中式监控平台：收集和聚合来自不同来源的数据。人工智能和机器学习：用于识别趋势、预测故障和实现自动化修复。可观测性工具：包括日志记录、指标和跟踪，提供对系统行为的深入了解。事件管理系统：将警报与自动化响应相结合。多云支持：允许在多个云平台和私有数据中心上部署和管理监控。

市场中的云原生数据中心监控解决方案

市场上有多种云原生数据中心监控解决方案，包括：Splunk Cloud：一款

---

如何克服数字化转型过程中IT系统所面临的困难和挑战？

麦肯锡全球调查发现，只有不到30%的受访企业能够将技术转化为竞争优势。那么，是什么限制了企业在这方面取得成功呢？以下是企业面临的7个数字化转型挑战，以及克服这些挑战的方法：

目标明确：数字化转型是通过技术实现长期业务目标。对于公司来说，了解为什么要将现有系统彻底改造为数字化，哪些垂直领域需要升级，以及它将如何帮助实现业务目标是至关重要的。这将帮助他们确立一个明确的方向，避免混乱或来自企业的阻力。有了明确的数字化转型战略，企业也将能更好地与关键利益相关者(员工、合作伙伴和客户)沟通。

敏捷性：那些适应能力差、遗留流程复杂的企业在数字化转型方面往往存在滞后现象。遗留系统使用过时的技术，可能使其难以跟上时代要求并适应业务环境的快速变化。公司还必须通过敏捷性来克服文化障碍。当跨部门的人员和流程能够快速适应时，数字化转型就会顺利进行。多学科、自主、跨职能的团队有助于在企业中实现成功的数字化转型。

C级高管一致性：这是执行数字化转型战略的技术领导者遇到的最大挑战之一。虽然许多CXO支持数字计划，但有时他们是孤立的，或缺乏对共同目标的共同问责制，这可能会影响转型过程。孤立的计划无法实现共同的业务目标，因为每个计划都将专注于自己的问题。成功的数字化转型是由高管团队领导的，他们共同努力实现目标，享受成果，并始终站在同一战线上。

数字技能缺口：拥有配套数字技能的劳动力是数字化转型的必要条件。但这也可能是一个挑战，因为缺乏人才。数字技术专家在市场上的薪水也很高，因此招聘成本也很高昂。企业可以培训现有的人才库，并向他们保证技能提升的好处；然而，就时间、精力和金钱而言，这对公司来说是一项巨大的投资。数字化转型的技能再培养计划对于技术、云计算、协作工具、数字体验和基于数据的决策都是必要的。缺乏IT专业人员的公司也可以选择将上述工作外包。

安全：许多匆忙开展数字化转型的公司发现他们的业务面临网络安全风险。实现这种转型需要企业将数据移至云端，这使得它们容易受到客户数据盗窃、隐私泄露和其他风险的影响。企业可以通过关注数据隐私和保护，并在网络安全专家的帮助下实现最佳实施，来克服网络安全威胁的挑战。

以客户为中心：进行数字化转型的企业必须适当地了解其客户基础和客户需求、期望和市场趋势。忽视其中任何一个因素都可能导致数字化转型举措的收益降低。将客户置于成本效率之上的企业在数字化转型之旅中更加成功。专注于新市场、增长或增加客户参与度等目标，会带来更可持续的转型，使公司比其他公司更具竞争优势。企业还需要迅速适应或改变更新的技术，以满足不断变化的客户需求，并确保自身免受来自数字原生公司的竞争。

预算限制：数字剧变的预算供应也需要从传统方法转向更灵活的方法。实施数字化转型可能代价高昂，企业必须做好预算限制的准备，或者根据自身能力进行更长期的升级。这将帮助企业避免在最后期限和结果上妥协。另一方面，资金不足也会阻碍或破坏转型进程，这是不可取的。致力于长期目标并做出基于数据的决策将有助于实现目标。

虽然这些都是一些关键的挑战，但在当前的业务环境中，数字化转型对大多数公司来说仍然是必要的，因此，消除障碍对所有利益相关者来说都是必要的。成功的数字化转型需要可以在整个企业中发挥作用的解决方案，而非局限于某个部门或业务地点。这也应该以企业及其客户的一套共同目标为指导，其次是充分的准备和灵活性，以应对新出现的问题和风险。企业可以通过持续转型来创造更好的收入和服务，并增强其长期弹性，从而成为数字领域的领导者。

云原生有哪些特点?

云原生是一系列云计算技术体系和企业管理方法的集合，既包含了实现应用云原生化的方法论，也包含了落地实践的关键技术。 基于云原生以上的几个特点，在容器云PaaS、DevOps、微服务治理、服务网格、API网关等等方面，时速云做的还不错，是一家全栈云原生技术服务提供商，可以了解下。

请教下大家，云原生计算环境的主要安全风险有哪些？

云原生计算环境的主要安全风险类型包括：云原生网络安全风险、云原生编排及组件安全风险、镜像安全风险、镜像仓库安全风险和容器逃逸攻击等类型，针对这些风险的防范建议还是去找有实力的安全服务厂商，我们公司现在合作的青藤云安全在这方面做的就非常不错，可以去了解下。

云原生之可观测性-APM概念及选型

云原生之可观测性：APM的探索与选型指南

在云原生世界里，性能管理和用户体验的优化离不开强大的应用性能管理(APM)工具。APM源自Google的Dapper，它的核心理念是通过观测、分析和优化，提升服务质量和降低企业的IT成本。让我们一起走进这些关键概念和主流开源框架的世界：

在监控工具的海洋中，Jaeger

传统的监控工具如Zabbix

前端监控方面，Sentry

总结来说，监控系统的选型不仅关乎技术性能，还关乎用户体验。在云原生的道路上，我们需要不断探索和优化，以适应不断变化的需求。接下来，我们将深入探讨云原生可观测性中的APM选型策略，敬请期待。

在IT项目建设中，如何保证数据库安全性？

#云原生背景#云计算是信息技术发展和服务模式创新的集中体现，是信息化发展的重要变革和必然趋势。 随着“新基建”加速布局，以及企业数字化转型的逐步深入，如何深化用云进一步提升云计算使用效能成为现阶段云计算发展的重点。 云原生以其高效稳定、快速响应的特点极大地释放了云计算效能，成为企业数字业务应用创新的原动力，云原生进入快速发展阶段，就像集装箱加速贸易全球化进程一样，云原生技术正在助力云计算普及和企业数字化转型。 云原生计算基金会（CNCF）对云原生的定义是：云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。 云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式编程API。 #云安全时代市场发展#云安全几乎是伴随着云计算市场而发展起来的，云基础设施投资的快速增长，无疑为云安全发展提供土壤。 根据 IDC 数据，2020 年全球云安全支出占云 IT 支出比例仅为 1.1%，说明目前云安全支出远远不够，假设这一比例提升至 5%，那么2020 年全球云安全市场空间可达 53.2 亿美元，2023 年可达 108.9 亿美元。 海外云安全市场：技术创新与兼并整合活跃。 整体来看，海外云安全市场正处于快速发展阶段，技术创新活跃，兼并整合频繁。 一方面，云安全技术创新活跃，并呈现融合发展趋势。 例如，综合型安全公司 PaloAlto 的 Prisma 产品线将 CWPP、CSPM 和 CASB 三个云安全技术产品统一融合，提供综合解决方案及 SASE、容器安全、微隔离等一系列云上安全能力。 另一方面，新兴的云安全企业快速发展，同时，传统安全供应商也通过自研+兼并的方式加强云安全布局。 国内云安全市场：市场空间广阔，尚处于技术追随阶段。 市场规模上，根据中国信通院数据，2019 年我国云计算整体市场规模达 1334.5亿元，增速 38.6%。 预计 2020-2022 年仍将处于快速增长阶段，到 2023 年市场规模将超过 3754.2 亿元。 中性假设下，安全投入占云计算市场规模的 3%-5%，那么 2023 年中国云安全市场规模有望达到 112.6 亿-187.7 亿元。 技术发展上，中国在云计算的发展阶段和云原生技术的程度上与海外市场还有一定差距。 国内 CWPP 技术应用较为广泛，对于 CASB、CSPM 一些新兴的云安全技术应用较少。 但随着国内公有云市场的加速发展，云原生技术的应用越来越广泛，我们认为CASB、SCPM、SASE 等新兴技术在国内的应用也将越来越广泛。 #云上安全呈原生化发展趋势#云原生技术逐渐成为云计算市场新趋势，所带来的安全问题更为复杂。 以容器、服务网格、微服务等为代表的云原生技术，正在影响各行各业的 IT 基础设施、平台和应用系统，也在渗透到如 IT/OT 融合的工业互联网、IT/CT 融合的 5G、边缘计算等新型基础设施中。 随着云原生越来越多的落地应用，其相关的安全风险与威胁也不断的显现出来。 Docker/Kubernetes 等服务暴露问题、特斯拉 Kubernetes 集群挖矿事件、Docker Hub 中的容器镜像被“投毒”注入挖矿程序、微软 Azure 安全中心检测到大规模 Kubernetes 挖矿事件、Graboid 蠕虫挖矿传播事件等一系列针对云原生的安全攻击事件层出不穷。 从各种各样的安全风险中可以一窥云原生技术的安全态势，云原生环境仍然存在许多安全问题亟待解决。 在云原生技术的落地过程中，安全是必须要考虑的重要因素。 #云原生安全的定义#国内外各组织、企业对云原生安全理念的解释略有差异，结合我国产业现状与痛点，云原生与云计算安全相似，云原生安全也包含两层含义：“面向云原生环境的安全”和“具有云原生特征的安全”。 面向云原生环境的安全，其目标是防护云原生环境中的基础设施、编排系统和微服务的安全。 这类安全机制，不一定具备云原生的特性（比如容器化、可编排），它们可以是传统模式部署的，甚至是硬件设备，但其作用是保护日益普及的云原生环境。 具有云原生特征的安全，是指具有云原生的弹性敏捷、轻量级、可编排等特性的各类安全机制。 云原生是一种理念上的创新，通过容器化、资源编排和微服务重构了传统的开发运营体系，加速业务上线和变更的速度，因而，云原生系统的种种优良特性同样会给安全厂商带来很大的启发，重构安全产品、平台，改变其交付、更新模式。 #云原生安全理念构建#为缓解传统安全防护建设中存在的痛点，促进云计算成为更加安全可信的信息基础设施，助力云客户更加安全的使用云计算，云原生安全理念兴起，国内外第三方组织、服务商纷纷提出以原生为核心构建和发展云安全。 Gartner提倡以云原生思维建设云安全体系基于云原生思维，Gartner提出的云安全体系覆盖八方面。 其中，基础设施配置、身份和访问管理两部分由云服务商作为基础能力提供，其它六部分，包括持续的云安全态势管理，全方位的可视化、日志、审计和评估，工作负载安全，应用、PaaS 和 API 安全，扩展的数据保护，云威胁检测，客户需基于安全产品实现。 Forrester评估公有云平台原生安全能力Forrester认为公有云平台原生安全（Public cloud platform native security, PCPNS）应从三大类、37 个方面去衡量。 从已提供的产品和功能，以及未来战略规划可以看出，一是考察云服务商自身的安全能力和建设情况，如数据中心安全、内部人员等，二是云平台具备的基础安全功能，如帮助和文档、授权和认证等，三是为用户提供的原生安全产品，如容器安全、数据安全等。 安全狗以4项工作防护体系建设云原生安全（1）结合云原生技术的具体落地情况开展并落实最小权限、纵深防御工作，对于云原生环境中的各种组成部分，均可贯彻落实“安全左移”的原则，进行安全基线配置，防范于未然。 而对于微服务架构Web应用以及Serverless应用的防护而言，其重点是应用安全问题。 （2）围绕云原生应用的生命周期来进行DevSecOps建设，以当前的云原生环境的关键技术栈“K8S + Docker”举例进行分析。 应该在容器的全生命周期注重“配置安全”，在项目构建时注重“镜像安全”，在项目部署时注重“容器准入”，在容器的运行环境注重云计算的三要素“计算”“网络”以及“存储”等方面的安全问题。 （3）围绕攻击前、中、后的安全实施准则进行构建，可依据安全实施准则对攻击前、中、后这三个阶段开展检测与防御工作。 （4）改造并综合运用现有云安全技术，不应将“云原生安全”视为一个独立的命题，为云原生环境提供更多支持的主机安全、微隔离等技术可赋能于云原生安全。 #云原生安全新型风险#云原生架构的安全风险包含云原生基础设施自身的安全风险，以及上层应用云原生化改造后新增和扩大的安全风险。 云原生环境面临着严峻的安全风险问题。 攻击者可能利用的重要攻击面包括但不限于：容器安全、编排系统、软件供应链等。 下面对重要的攻击面安全风险问题进行梳理。 #云原生安全问题梳理#问题1：容器安全问题在云原生应用和服务平台的构建过程中，容器技术凭借高弹性、敏捷的特性，成为云原生应用场景下的重要技术支撑，因而容器安全也是云原生安全的重要基石。 （1）容器镜像不安全Sysdig的报告中提到，在用户的生产环境中，会将公开的镜像仓库作为软件源，如最大的容器镜像仓库Docker Hub。 一方面，很多开源软件会在Docker Hub上发布容器镜像。 另一方面，开发者通常会直接下载公开仓库中的容器镜像，或者基于这些基础镜像定制自己的镜像，整个过程非常方便、高效。 然而，Docker Hub上的镜像安全并不理想，有大量的官方镜像存在高危漏洞，如果使用了这些带高危漏洞的镜像，就会极大的增加容器和主机的入侵风险。 目前容器镜像的安全问题主要有以下三点：1.不安全的第三方组件在实际的容器化应用开发过程当中，很少从零开始构建镜像，而是在基础镜像之上增加自己的程序和代码，然后统一打包最终的业务镜像并上线运行，这导致许多开发者根本不知道基础镜像中包含多少组件，以及包含哪些组件，包含的组件越多，可能存在的漏洞就越多。 2.恶意镜像公共镜像仓库中可能存在第三方上传的恶意镜像，如果使用了这些恶意镜像来创建容器后，将会影响容器和应用程序的安全3.敏感信息泄露为了开发和调试的方便，开发者将敏感信息存在配置文件中，例如数据库密码、证书和密钥等内容，在构建镜像时，这些敏感信息跟随配置文件一并打包进镜像，从而造成敏感信息泄露（2）容器生命周期的时间短云原生技术以其敏捷、可靠的特点驱动引领企业的业务发展，成为企业数字业务应用创新的原动力。 在容器环境下，一部分容器是以docker的命令启动和管理的，还有大量的容器是通过Kubernetes容器编排系统启动和管理，带来了容器在构建、部署、运行，快速敏捷的特点，大量容器生命周期短于1小时，这样一来容器的生命周期防护较传统虚拟化环境发生了巨大的变化，容器的全生命周期防护存在很大变数。 对防守者而言，需要采用传统异常检测和行为分析相结合的方式，来适应短容器生命周期的场景。 传统的异常检测采用WAF、IDS等设备，其规则库已经很完善，通过这种检测方法能够直观的展示出存在的威胁，在容器环境下，这种方法仍然适用。 传统的异常检测能够快速、精确地发现已知威胁，但大多数未知威胁是无法通过规则库匹配到的，因而需要通过行为分析机制来从大量模式中将异常模式分析出来。 一般来说，一段生产运营时间内的业务模式是相对固定的，这意味着，业务行为是可以预测的，无论启动多少个容器，容器内部的行为总是相似的。 通过机器学习、采集进程行为，自动构建出合理的基线，利用这些基线对容器内的未知威胁进行检测。 （3）容器运行时安全容器技术带来便利的同时，往往会忽略容器运行时的安全加固，由于容器的生命周期短、轻量级的特性，传统在宿主机或虚拟机上安装杀毒软件来对一个运行一两个进程的容器进行防护，显示费时费力且消耗资源，但在黑客眼里容器和裸奔没有什么区别。 容器运行时安全主要关注点：1.不安全的容器应用与传统的Web安全类似，容器环境下也会存在SQL注入、XSS、RCE、XXE等漏洞，容器在对外提供服务的同时，就有可能被攻击者利用，从而导致容器被入侵2.容器DDOS攻击默认情况下，docker并不会对容器的资源使用进行限制，默认情况下可以无限使用CPU、内存、硬盘资源，造成不同层面的DDOS攻击（4）容器微隔离在容器环境中，与传统网络相比，容器的生命周期变得短了很多，其变化频率也快很多。 容器之间有着复杂的访问关系，尤其是当容器数量达到一定规模以后，这种访问关系带来的东西向流量，将会变得异常的庞大和复杂。 因此，在容器环境中，网络的隔离需求已经不仅仅是物理网络的隔离，而是变成了容器与容器之间、容器组与宿主机之间、宿主机与宿主机之间的隔离。 问题2：云原生等保合规问题等级保护2.0中，针对云计算等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。 虽然编写了云计算的安全扩展要求，但是由于编写周期很长，编写时主流还是虚拟化场景，而没有考虑到容器化、微服务、无服务等云原生场景，等级保护2.0中的所有标准不能完全保证适用于目前云原生环境；通过安全狗在云安全领域的经验和具体实践，对于云计算安全扩展要求中访问控制的控制点，需要检测主机账号安全，设置不同账号对不同容器的访问权限，保证容器在构建、部署、运行时访问控制策略随其迁移；对于入侵防范制的控制点，需要可视化管理，绘制业务拓扑图，对主机入侵进行全方位的防范，控制业务流量访问，检测恶意代码感染及蔓延的情况；镜像和快照保护的控制的，需要对镜像和快照进行保护，保障容器镜像的完整性、可用性和保密性，防止敏感信息泄露。 问题3：宿主机安全容器与宿主机共享操作系统内核，因此宿主机的配置对容器运行的安全有着重要的影响，比如宿主机安装了有漏洞的软件可能会导致任意代码执行风险，端口无限制开放可能会导致任意用户访问的风险。 通过部署主机入侵监测及安全防护系统，提供主机资产管理、主机安全加固、风险漏洞识别、防范入侵行为、问题主机隔离等功能，各个功能之间进行联动，建立采集、检测、监测、防御、捕获一体化的安全闭环管理系统，对主机进行全方位的安全防护，协助用户及时定位已经失陷的主机，响应已知、未知威胁风险，避免内部大面积主机安全事件的发生。 问题4：编排系统问题编排系统支撑着诸多云原生应用，如无服务、服务网格等，这些新型的微服务体系也同样存在着安全问题。 例如攻击者编写一段代码获得容器的shell权限，进而对容器网络进行渗透横移，造成巨大损失。 Kubernetes架构设计的复杂性，启动一个Pod资源需要涉及API Server、Controller、Manager、Scheduler等组件，因而每个组件自身的安全能力显的尤为重要。 API Server组件提供的认证授权、准入控制，进行细粒度访问控制、Secret资源提供密钥管理及Pod自身提供安全策略和网络策略，合理使用这些机制可以有效实现Kubernetes的安全加固。 问题5：软件供应链安全问题通常一个项目中会使用大量的开源软件，根据Gartner统计至少有95%的企业会在关键IT产品中使用开源软件，这些来自互联网的开源软件可能本身就带有病毒、这些开源软件中使用了哪些组件也不了解，导致当开源软件中存在0day或Nday漏洞，我们根本无法获悉。 开源软件漏洞无法根治，容器自身的安全问题可能会给开发阶段带的各个过程带来风险，我们能做的是根据SDL原则，从开发阶段就开始对软件安全性进行合理的评估和控制，来提升整个供应链的质量。 问题6：安全运营成本问题虽然容器的生命周期很短，但是包罗万象。 对容器的全生命周期防护时，会对容器构建、部署、运行时进行异常检测和安全防护，随之而来的就是高成本的投入，对成千上万容器中的进程行为进程检测和分析，会消耗宿主机处理器和内存资源，日志传输会占用网络带宽，行为检测会消耗计算资源，当环境中容器数量巨大时，对应的安全运营成本就会急剧增加。 问题7：如何提升安全防护效果关于安全运营成本问题中，我们了解到容器安全运营成本较高，我们该如何降低安全运营成本的同时，提升安全防护效果呢？这就引入一个业界比较流行的词“安全左移”，将软件生命周期从左到右展开，即开发、测试、集成、部署、运行，安全左移的含义就是将安全防护从传统运营转向开发侧，开发侧主要设计开发软件、软件供应链安全和镜像安全。 因此，想要降低云原生场景下的安全运营成本，提升运营效率，那么首先就要进行“安全左移”，也就是从运营安全转向开发安全，主要考虑开发安全、软件供应链安全、镜像安全和配置核查：开发安全需要团队关注代码漏洞，比如使用进行代码审计，找到因缺少安全意识造成的漏洞和因逻辑问题造成的代码逻辑漏洞。 供应链安全可以使用代码检查工具进行持续性的安全评估。 镜像安全使用镜像漏洞扫描工具持续对自由仓库中的镜像进行持续评估，对存在风险的镜像进行及时更新。 配置核查核查包括暴露面、宿主机加固、资产管理等，来提升攻击者利用漏洞的难度。 问题8：安全配置和密钥凭证管理问题安全配置不规范、密钥凭证不理想也是云原生的一大风险点。 云原生应用会存在大量与中间件、后端服务的交互，为了简便，很多开发者将访问凭证、密钥文件直接存放在代码中，或者将一些线上资源的访问凭证设置为弱口令，导致攻击者很容易获得访问敏感数据的权限。 #云原生安全未来展望#从日益新增的新型攻击威胁来看，云原生的安全将成为今后网络安全防护的关键。 伴随着ATT&CK的不断积累和相关技术的日益完善，ATT&CK也已增加了容器矩阵的内容。 ATT&CK是对抗战术、技术和常识（Adversarial Tactics, Techniques, and Common Knowledge）的缩写，是一个攻击行为知识库和威胁建模模型，它包含众多威胁组织及其使用的工具和攻击技术。 这一开源的对抗战术和技术的知识库已经对安全行业产生了广泛而深刻的影响。 云原生安全的备受关注，使ATTACK Matrix for Container on Cloud的出现恰合时宜。 ATT&CK让我们从行为的视角来看待攻击者和防御措施，让相对抽象的容器攻击技术和工具变得有迹可循。 结合ATT&CK框架进行模拟红蓝对抗，评估企业目前的安全能力，对提升企业安全防护能力是很好的参考。

从云原生数据库服务到新型“数联网”基础设施

作者 石默研

新型“数联网”基础设施

2020年4月，《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》（下称《2020数据要素意见》）发布以来，数据要素的市场价值日益受到重视。同时，长期的实践证明，数据要素的威力，大多数情况下源于对多源数据的融合分析，单一组织靠自身积累往往难以聚集足够价值的数据，因此，只有通过数据跨域流通与共享开放才能真正发挥大数据的应用价值。如银行、保险、政府、电商等等行行业业，已经有了强烈、广泛的数据跨域集成与融合的市场需求。另一方面，随着数字化的深入发展，信息技术已经开始从助力经济发展的辅助工具向引领经济发展的核心引擎转变，大数据资源应该向资产升级，对“数字经济”新范式产生更加直接的驱动作用。而大数据资源向资产升级的关键则是高效、安全的互联互通、精确的计量计价及数据所有权、使用权的市场化清晰界定。

于是，“数据要素互联互通网络”数联网成为国家乃至国际一项重要的新型互联网基础设施与创新业态诉求，有着重大的 社会 价值与广阔的市场空间。

2. 云原生数据库服务

云原生数据库，是支撑现代数据服务的主体设施，它生于云上，长于云上，对外形成按需获取的DBCloud形态，使用者无需关心数据计算与存储的具体细节，无需为部署、运维、扩缩等工作付出精力，无需对数据计算的模态（AP，TP，流，图等）做出额外的规划与设计，无需区分所选择云计算基础设施IaaS的特性与区别，只需要向云原生数据库DBCloud的运营者申请使用相应的服务即可，这是现代数据库技术与服务发展的必然方向。毫无疑问，在不久的将来，全球越来越多的数据服务将在云上，包括多云、跨云的环境中以平台化的方式实现。由于云计算环境所带来的强大算力与各项能力，数据服务平台化必将极大地推动与加速各行业业务数字化转型升级的进程，而云原生数据库也必将成为新数字化时代一项关键的公共IT基础设施。

3. 从数据库平台服务到新一代互联网基础设施“数联网”

关于数据流通互联基础设施“数联网”，相当长一段时间以来，国内外已经有很多建设与运营的尝试，在我国主要就是各级政府主导的“大数据交易中心”，从2014年起就开始启动，经历了2014-2016年“第一次浪潮”后，于2017-2019年处于“停滞期”，运营实践看，整体成交量远低于预期。原因主要在于数据所有权与使用权属难以界定，隐私、安全与共享之间的矛盾越来越明显。一方面跨域数据共创需求越来越迫切，另一方面，数据的无序流通，又可能导致隐私保护与数据安全的重大风险，必须加以规范与限制。无论是国际还是国内，日趋严格的“数据安全法”“信息保护法案”不断出台，在客观上增加了数据流通的成本，降低了数据综合利用的效率；而大数据价值的精确计量计价也难以实现，不能有效体现数据的资产属性。如何兼顾发展与安全，平衡效率与风险，准确衡量价值，是全世界在大数据治理中一直面临的共同课题，也导致规范高效的数据流通市场始终未能形成。

而中央的《2020数据要素意见》，首次明确了培育数据要素市场的目标和定位，随之有关数据安全、信息保护的法案以及技术系列标准等相继发布，为促进数据流通规范化运作提供了政策制度基础；同时，“数据可用不可见、用途可控可计量”的隐私安全计算技术与创新模式也蓬勃发展并成熟起来，为解决隐私安全问题及数据资产化提供了坚实的技术基础。因此，自2020年至今，以新兴技术驱动“数据使用价值流通”新模式的数据要素流通市场迎来“第二次浪潮”，新一轮建设再次启动，全国一年来共有6家新型数据资产交易中心开始筹备建设，其中北数所等2家新型示范已正式投入运营。隐私安全计算技术采用数据不动、算法流动的策略，在数据不出域的情况下，安全地达到数据跨域联合计算的目的。虽然目前该组技术的成熟度与标准化程度还有待提高，在相当范围内也有炒作的成份，但在强烈需求与趋势的驱动下，发展很快，前景极为可期。

应该可以看到：采用“数据使用权”而不是“所有权”交易实现跨域流通，对数据访问按量计价的新模式同时也给云原生数据库服务带来新的商业发展契机，原因很简单：数据库本身就是以提供数据使用服务为天职的！

仔细调研与分析还会发现，当前政府主导的新型数据资产交易所对“数据使用权”流通模式的尝试，基本还在“雷声大，雨点小”的阶段，至今实效依然甚微！这除了可能还需要一定的市场培育周期以外，本文认为一个最重要的原因是：凭空而生的数据交易所，并没有直接沉淀客户数据的条件，运营只能靠“借鸡生蛋”，而正在发生的事实也正是如此：大都以授权政府数据公开运营为起点，然后大力“邀请”各种数据资源拥有者上平台，培育数据流通生态圈。然而，多数情况下，一是静态政务数据的实用价值很有限（例如对金融风控），二是真正有价值的产业活数据与公民行为数据拥有者（在其自有数据库中）上交易平台的程序非常繁杂，意愿较低......。同时，现阶段在技术体系上，新型交易所主要依赖隐私计算，对数据库总体采用松散繁杂的集成方案对接，就是说，目前还没有系统重视数据库的技术定位。

本文认为，首先，从技术上讲，云原生数据库融入隐私安全计算甚至更广泛的跨域安全计算手段，并没有太大的瓶颈，还可以方便地承担可信安全中介的角色，却会赋予数据资源拥有者最便利的“数据使用权”共享能力。更重要的是，当云计算环境下的数据服务平台化成为全球化趋势后，全 社会 范围内大多数的数据库服务都将由云原生数据库平台运营者所承担，它就自然建立了最广泛丰富的“数据流通生态圈”，天然拥有提供“数据跨域流通互联”服务的各种有利条件。而云原生数据流通显然是目前数据要素市场化领域需求与商业前景最为强烈的可运营业务之一，如果云原生数据库服务运营者借其固有优势，同时运营数据要素流通业务，必将在技术效能与商业模式上超越现存的各种模式，对政府主导、靠“借鸡生蛋”现有市场带来巨大的挑战，甚至是终结。

进一步讲，这种能力的提供，不仅可以最大限度地挖掘与发挥数据要素的价值与红利，还可以极大地加速各行业、各组织对云原生数据库平台服务的消费需求，两种因素又会相互促进，从而使云原生数据库服务成为将来数据要素市场化的新标准，自然进化为新一代互联网基础设施“数联网”本身。

云原生网络功能（CNF）介绍

随着云计算时代的演进，一种全新的网络架构——云原生网络功能（CNF）崭露头角，它颠覆了传统的软件定义网络（SDN）理念。CNF将网络功能分解为可独立部署的服务，融入了云原生的开放、敏捷与可扩展性。它的核心理念在于网络层的弹性、自动化配置和声明式管理，尤其是在OSI模型的底层，致力于降低复杂度，提高效率。

Ed Warnicke在Mesh项目的洞察中，强调了数据包在网络服务中的核心地位。在云原生应用中，CNF整合了多维度的网络服务，例如CoreDNS、NFF和Envoy，共同构建起网络服务的生态网。CNF的出现，推动了网络技术的成熟，从粗犷的部署模式升级到支持高级特性，如遥测、服务发现和策略管理。

CNF的独特之处在于它的数据平面，它成功地解耦了转发和硬件，探索了诸如VPP和eBPF这样的前沿技术。在云原生数据中心中，三层网络架构被优化，Kubernetes的网络模型自动分配IP地址，赋予网络部署更高的灵活性和可扩展性，满足了电信行业的严苛需求，同时也推动了供应商向更云原生的模式转变。

然而，实现云原生网络功能的成熟解决方案并非易事，尤其是在性能需求高的组件解耦方面。CNF的数据平面研究成为关键，它扩展了我们对CNF的理解，揭示了网络软件解耦的无限可能。通过聚焦核心网络和基础架构，云原生数据中心的网络简化得以实现，但可能并不适用于所有场景。对CNF的持续优化将带来部署效率的提升，以及部署弹性和可配置性的显著增强。

想要深入了解这个前沿领域，不妨加入Cloud Native Computing Foundation（CNCF）的CNF工作小组，关注于2022年的服务网格峰会，那里会有更深入的探讨和实践案例，尽管具体的注册链接已不再赘述，但你只需稍作搜索，便能找到参与的入口。

什么是云原生?为啥这么火?

这里还隐藏了一个词——“计算”（Computing），因为云原生本质上是一种与云计算（CloudComputing）相同的计算方式，因此通常我们在说云原生的时候，实际上是暗指云原生计算（CloudNativeComputing）。

云原生是一种构建和运行应用程序的方法，是一套技术体系和方法论。云原生的英文为CloudNative，是一个组合词：Cloud+Native。

云原生是基于分布部署和统一运管的分布式云，以容器、微服务、DevOps等技术为基础建立的一套云技术产品体系。

容器技术和云原生好比一对螺旋体，容器技术催生了云原生思潮，云原生生态推动了容器技术发展。从2013年Docker技术诞生，到2015年CNCF这个云原生领域重量级联盟成立，这不是历史的巧合而是历史的必然。

云原生从字面意思上来看可以分成云和原生两个部分。云是和本地相对的，传统的应用必须跑在本地服务器上，现在流行的应用都跑在云端，云包含了IaaS，、PaaS和SaaS。

云原生包含哪些技术？云原生技术以微服务、DevOps、容器、多云业务管理为代表，目前已经成为了加速企业数字化业务高效创新、实现企业数字化转型的最佳技术支撑。

现在走云原生安全真的安全吗？

作者 | Drishti Shastri译者 | 天道酬勤 责编 | 徐威龙封图| CSDN 下载于视觉中国在当今时代，企业网络和数据安全风险从未像现在这样具有里程碑意义。 尽管如此，传统方法（包括公有云运营商使用的方法）基本上是相同的。 云原生的漏洞与威胁有哪些？安全性如何？这里有你想知道的一切云原生应用的兴起及其安全威胁云原生的漏洞与威胁有哪些？安全性如何？这里有你想知道的一切在当今时代，企业网络和数据安全风险从未像现在这样具有里程碑意义。 尽管如此，传统方法（包括公有云运营商使用的方法）基本上是相同的。 转向应对威胁攻击而不是阻止威胁的反应措施。 云原生应用程序日益受到重视，用各种可能的方式质疑了传统智慧。 从基础架构到应用程序的开发，堆栈在传统方法与更现代的基于云的方法之间形成了鲜明的对比，其中大多数已对成功的模式和实践达成了主流观点：DevOps文化、持续交付和微服务架构 。 为什么我们还没有重新构想云原生的安全性呢？我们对此大胆的新想法在哪里呢？可以肯定地说，在交付应用程序的过程中，云原生的安全性一直在被长期追踪。 传统的IT安全团队将自己视为中间人。 他们必须正确地完成工作，否则将面临代理机构所面临的更大风险。 它们在所有过程中都对安全性有很高的要求，但是要满足这些级别需要花费时间、测试和修订。 因为这会延迟应用程序的开发并且通常不能确保全面的保护，所以开发团队经常会抱怨。 当组织希望提高和加快应用程序改进生命周期并调度云原生应用程序时，安全将成为更为突出的测试。 大部分云原生应用程序都在新模型中运行，这些模型可提供非常规的生产力、适应性和成本优势。 使用dev-ops进行开发的云原生进一步将DevSecOps作为其安全组件。 DevSecOps试图将安全纳入速度、敏捷性和连续交付流程中。 但是，如果DevSecOps忽略了集成、业务流程功能和控制，并且对用户的安全性较低，则可能很难在连续交付系统中提供安全性。 云原生的漏洞与威胁有哪些？安全性如何？这里有你想知道的一切云原生的漏洞与威胁有哪些？安全性如何？这里有你想知道的一切云原生漏洞云原生肯定会发生漏洞。 我们是人类，肯定会犯错误，尤其是在苛刻的期限和产品交付之后。 尽管有全部的警告、标志和注意事项，我们也会做出一些错误的判断。 在发出警告的过程中，人们继续盲目地从Stack Exchange复制和粘贴，来掩盖在GitHub上发现的应用程序，甚至随机地将代码从一个毫无头绪的文件夹中随机拉出，并且只能怀疑地认为该作者从未遇到过或甚至没有与之交谈过的第三方。 微服务应用程序的分布式性质意味着，即使在内部编写所有代码的情况下，通过消除第三方参与者的风险，不同的组件也可能由不同的团队拥有。 团队之间的沟通障碍会导致一系列问题，包括在测试、质量保证甚至应用程序中的漏洞解决方面缺乏协调。 一个单独的云原生应用程序可以包括分散在众多基础上的数千个剩余任务。 在本地数据中心、众多公有云和边缘数据中心中可能会有奇异的微服务，最后，在组织领域中，我们目前似乎还无法发展。 每个开发人员和每个开发团队都知道并了解如何解决不同的问题。 他们所做的就是相应地培养他们的注意力和知识。 在内部代码环境中，即使所有部门都以某种方式保护自己的更广泛程序的一部分，微服务也必须与其他部门联系，并且通信在这里是风险或脆弱性。 这些所有说法听起来都令人生畏和令人恐惧，但云原生确实解决了一些非常复杂的现实问题，我们再也不能忽视它的存在。 随着我们不断升级其安全性，云原生的漏洞正在不断发展并一直存在。 云原生的漏洞与威胁有哪些？安全性如何？这里有你想知道的一切云原生的漏洞与威胁有哪些？安全性如何？这里有你想知道的一切对云原生应用程序的主要威胁尽管公司开始体验云原生应用程序的优势，但他们对处理和维护此类系统的实际方面却知之甚少。 与在云环境中相比，保护的后果是否与传统系统相比有很大不同？防护措施和保障措施如何对其产生影响？以下是基于云的环境的一些最高安全性问题：1.云配置错误IaaS和云数据存储的配置错误是当今一些最具破坏性的云违规和数据泄露的主要原因。 无论你要删除结构化的云安全设置、使用通用代码、无限制地访问某些资源还是其他任何原因，配置错误问题都会导致许多未知威胁，这些威胁仅在尴尬的遭遇后经常在报纸上看到。 最新的《 2019年云安全报告》称，大约40％的组织认为错误配置云平台是他们对网络安全的主要关注点。 2.商业化管理的IT不用担心“影子IT”或“流氓IT”。 毫不夸张地说， 几家公司将基础架构的收购趋势标记为，将获得和运营云服务的业务桥梁客户称为“商业化管理的IT”，以及创造力和发展的引擎。 《 Harvey Nash /毕马威CIO 2019调查》报告称，目前有超过三分之二的公司为企业推广或允许IT管理。 这是因为这样做的公司击败行业竞争对手的能力提高了52％，提供更好的员工服务的可能性提高了38％。 令人担忧的是，如果没有信息和网络安全专业人员的合作，这些云技术孤岛可能成为组织的巨大安全障碍。 这些公司的发展速度相当快，但调查显示，冗余的安全隐患波长的可能性是后者的两倍。 3.购买多云产品《云保护联盟报告》显示，大多数公司都依赖各种各样供应商的云环境来购买多云产品。 大约66％的公司具有多云设置，其中大约36％取决于多云和混合系统的混合。 目前，由于云实际上是希望降低其运营处理成本的所有其他企业的首选工具，因此云计算向其云消费者提供一系列服务（SaaS、PaaS、IaaS）。 云在其整个上下文中提供安全、迅速响应和服务质量。 但是，每次用户无法从一个云迁移到另一个云时，它都会保持成本和QoS可伸缩性。 为了克服这种多云计算框架，引入了基于云的系统之间的资源动态共享。 在多云设备中，安全性甚至是一个更为复杂的问题。 云原生的漏洞与威胁有哪些？安全性如何？这里有你想知道的一切4.混合架构根据著名的《云安全联盟报告》，大约55％的组织拥有复杂的、混合操作的云计算环境。 该系统为大型组织提供了一种逐步过渡到云的绝佳方法，但是当他们难以跟踪整个架构中的资产并监视众多混合云连接的活动时，它给安全性带来了挑战。 实际上，Firemon先前发布的一份报告显示，80％的组织都在挑战混合安全监控和管理工具的局限性和复杂性。 5.暗数据就像电信行业的暗光纤一样，暗数据也适用于企业和商业。 这里有大量未开发的、大多是不受监管的数据，它们只是存在而已，什么也没做。 不幸的是，尽管暗光纤明确代表了仅点亮即可增加功率和带宽的优点，即使被识别和忽略，暗数据也可能存在安全风险，无论它们在用户手中出现错误还是落在用户的范围之外。 有关暗数据的大多数争论都倾向于集中于组织的潜在价值和有用性。 实际上，对于愿意花费资本（资金、设备和时间）来创建和利用暗数据中锁定的知识和兴趣的组织，这些前景无疑是有利可图的。 这也说明了为什么许多公司尽管不打算代表他们工作，却拒绝在短期内或在计划过程中进一步交换黑暗的细节。 就像许多潜在的富有吸引力的信息资源一样，企业还必须意识到，暗数据或者关于暗数据及其客户和他们的云运营的暗数据，可能会给他们持续的健康和福祉带来风险，超出了他们的直接控制和管理范围。 根据最近的研究，有40％的组织仍处于有关容器环境的安全策略的规划或基本阶段。 6.容器与容器编排如果你使用容器在表面上开发应用程序或将现有的单源（单片）应用程序带入容器化的生态系统，则必须理解容器环境会带来奇怪的安全威胁。 从第一天开始，你就应该准备好应对这些威胁。 开始构建自己的容器，该容器将在生产行业中安装和运行。 以下是最常见的容器安全风险：特权标志：即使是那些对容器有深入了解的人也可以知道特权容器的含义。 使用特权标志的容器几乎可以执行服务器可以执行的任何操作，执行并获得对客户端资源的访问。 这意味着，如果入侵者进入一组受保护的标志箱，则它们可能会被破坏。 无限制的交互：为了实现其目标，容器必须彼此交互。 但是，容器和微服务的数量以及容器的短暂设计通常意味着，要执行符合最低权限概念的联网或防火墙法规可能会很困难。 但是，你的目标应该是使容器只能在减少攻击面所必需的容器中进行交互。 缺乏隔离：容器安全是一把双刃剑。 除了使用寿命短和功能受限外，它们的不变性质还提供了各种安全优势。 但是容器也可以用来攻击主机。 我们之前讨论过，这种危险存在于带有特权标志的容器中。 基础主机可能会受到许多其他错误配置的威胁。 云原生的漏洞与威胁有哪些？安全性如何？这里有你想知道的一切确保全面安全为了接近云原生的安全性，最好不要使用传统的手动安全技术。 此外，为了建立成功的DevSecOps，IT部门应将重点放在自动化和安全人员融入DevOps团队中。 由于其在容器基础结构中的微服务体系结构软件包，因此基于云的应用程序可以比传统应用程序更快地扩展。 以上意味着手动安全方法太慢而无法保留，并且自动化是强制性的。 将安全团队归入DevOps组可确保安全性包含在应用程序代码中，而不是一旦发现问题便进行修改。 这也可以加快并澄清对问题的响应。 让我们谈谈五个DevSecOps支柱，这些支柱在确保全面网络安全方面具有重大潜力：安全合规的部署管道：分析工具、集成管道以及如何将合规性和审核融入到DevSecOps和Cloud-Native Development的管道中。 安全且合规的云平台：身份和访问管理评估、检测控制、基础结构保护、数据保护和响应事件。 代码一致性：在软件开发过程中，合规性被视为代码框架，以确保管理、合规性和任何风险缓解问题。 机密信息管理：在混合云业务模型中管理基于云的敏感信息、密钥和证书。 容器隐私：容器如何适应安全策略，如何链接容器安全威胁以及如何审查容器操作模型和检查。 所有这些支柱都是侧重点领域，因此，始终地、完全地应用了业务安全，并且需要进一步进行审查。 为了提供每个实施支柱的跨部门愿景，对所有支柱进行横向治理。 这些治理模型适用于每个支柱，并确保支柱以互惠互利的方式运作。 受保护的交付：确保支持的应用程序平台和云基础架构稳定、合规且安全。 安全模式：开发安全位置和威胁模型以支持客户的多样化接受。 信息保护：确保内部和外部员工不受客户数据的保护。 风险评估：包括当前体系结构、容器策略和云基础架构，并对应用程序进行差距分析。 技术变更日志：创建有序的战术执行积压，通过交付工程结果来推动3-6个月的路线图和战略实施计划。 云原生的漏洞与威胁有哪些？安全性如何？这里有你想知道的一切云原生的漏洞与威胁有哪些？安全性如何？这里有你想知道的一切对新安全原型的需求统计数据显示，到2021年，将有92％的公司成为云原生公司。 话虽如此，通常使组织陷入困境的是为它构建一个5000美元的应用程序和一个5美元的安全系统。 就云安全性而言，安全性同等或是一个更重要的因素。 因此，DevSecOps的概念需要尽早实施并认真对待。 DevSecOps在应用程序开发过程的所有阶段均提供合规性，并负责设计和安装应用程序。 首先要评估团队或实体的性质，并建立代表该团队或实体的程序。 第一步是在团队之间分配孤岛，以确保每个人都对保护负责。 由于开发团队出于安全原因构建应用程序，因此Ops将更快地交付软件，并且使你高枕无忧，因为他们理解开发人员知道稳定性和保护至关重要。 实际上，必须有可以立即进行安全检查的过程。 服务器记录表明谁进行了修改、进行了哪些更改以及何时进行了更改，这些都是在审核程序时要知道的所有重要事实。 保持保护的最简单方法是始终保证系统运行最新的软件更新。 安全修复程序无需花费数月的时间，并且应该是快速而自动的。 同样，在开发API和新功能时，应进行潜在的更新，以防止软件承担责任并阻止框架打补丁以防止崩溃。 创建云原生应用程序时，仍然没有单一的安全方法来保护你的软件。 为了保护云中的服务器资源，你需要采取多方面的方法。 为了保护你的容器，你需要采取几种策略。 归根结底，要将安全放在适当的优先级列表中，你需要DevSecOps策略。 云原生的漏洞与威胁有哪些？安全性如何？这里有你想知道的一切云原生的漏洞与威胁有哪些？安全性如何？这里有你想知道的一切理想的云原生安全框架会是什么样？为了允许基于云的转换，公司需要在设计安全策略之前考虑以下进一步要求：高标准的安全自动化：常规的基于预防措施的安全操作根本无法使基于云的系统保持几乎无限的动态性。 根本不是手动工作流程的选择。 对云原生安全性的需求是自动检测和大规模灵敏性。 混沌设计：在微服务架构中，运行时组合在一起的许多软件组件可以用于任何功能。 从安全的角度来看，这意味着检测和控制的逻辑不能依赖于对操作安全性的事先了解。 云原生安全性应该包含混沌工程的原理——高效、有效地运行测试等。 快速识别，涵盖本地并立即追踪：云原生程序本质上是分配了计算应用程序。 在这样的生态系统中，随后无法轻松执行全局安全性选择。 因此，你希望确定措施的优先级，使你能够在系统范围的恶意趋势蔓延之前迅速识别，恢复并涵盖本地影响。 尽管你的安全决策并非100％准确，但是本地操作和快速恢复可以为你提供更兼容的现有系统。 随后，你的云解决方案应具有哪些原生安全性？简而言之，让我们关注编译器功能。 作者认为主要功能如下：混合堆栈可见性和决策支持在服务器、VM、数据库、软件和API服务中，即使分布了应用程序，但短期内还是动态资源和容器，仍需要云原生数据中心中的可见性和决策支持。 在这些不同层上获得的数据应该进入引擎，以便实时进行选择过程。 快速反应和警告功能可限制爆炸半径万一发生事故或袭击，安全解决方案将减轻并控制影响。 这种论点等同于迅速的决策和有见地的控制措施，可以在发生不可逆转的破坏之前阻止恶意行为。 在云原生环境中，智能检测系统可以完全识别入侵的出现并影响本地控制。 严密监控与调查由于所有分布式组件和API服务，云本机工作负载安全调查可能会很复杂，因此监视和安全调查必须最大程度地降低性能影响和存储要求。 这包括一个集中的监视体系结构，没有网络瓶颈，并且工作负载可以扩展。 与自动化工具集成容器工作负载可以在云原生环境中由Kubernetes、Openshift、Amazon ECS或Google GKE管理。 你可以（可选）使用Puppet、Ansible或Chef自动执行部署。 安全工具可以与要保护的工作负载一起自动部署，云环境必须是与此类组件的必备集成。 对于替换第一代物理服务器和虚拟机的事件驱动的容器和应用程序，安全性必须找到正确的切入点，以最大化可视性并降低风险，同时允许创造力和适应连续云交付的复杂性。 云原生的漏洞与威胁有哪些？安全性如何？这里有你想知道的一切结论从整体环境迁移到云原生环境确实听起来很吸引人，但是一旦决定这样做，请确保评估可能出现的所有安全问题，评估是否有足够的资源和团队来处理这些问题。 而且最重要的是，如果要实现这种转变，你的企业才能真正脱颖而出并发展壮大。 希望这篇文章对你有用，欢迎评论区和我们讨论。

相关标签： 环境的挑战和解决方案、 IT、 云原生数据中心监控、 云原生数据中心网络、 监控现代、

本文地址：http://www.hyyidc.com/article/25118.html

上一篇：混合数据中心监控跨环境无缝集成和监控的最...
下一篇：网站不备案有什么后果...