最近发布的谷歌产品白皮书为集装箱化世界中的云本地安全提供了一个模型。谷歌的模型需要超越传统的基于周界的安全模型,而是使用代码验证和服务识别作为安全的基石。谷歌还提供了一份可用于实现其安全模型的开源软件清单。
“BeyondProd允许谷歌确保其每周部署的数十亿个集装箱的安全,”GooglePM在《集装箱安全MayaKaczorowski》中写道。类似于企业安全的Google Beyond Corp安全模型,Beyond Prod的核心思想是组织不应该信任任何实体,无论是内部还是外部,遵循“从不信任,始终验证”的原则。与企业安全相比,云本地安全考虑了容器的使用,Kaczorowski解释说:
使用容器的第一大区别是由于调度。出于安全原因,您不能依赖IP地址或主机名。您需要服务状态
在过去的几年里,在“零推送”网络的绰号下,这种想法越来越受到重视。正如独立网络安全顾问迈克尔布伦顿-斯帕尔所说:
你在网上并不意味着我们完全信任你。其实很多时候,这可能意味着我们应该少信任你,我会反驳。我在政府中看到的大多数网络在过去的某个时候都被摧毁了。这不是互联网上信任的好指标。
在零信任网络中,保护网络外围仍然非常重要。然而,它需要一些额外的法规来将其转变为一个完全的零信任网络。考虑到缺乏标准的方法,这不是一项容易的任务,布鲁顿-斯帕尔补充道:
你可以从做过的人那里了解,定制。如果你想定制你自己的构建,你应该遵循他们做的同样的事情。去开会,向开会的人学习。
为了填补这一空白,谷歌的白皮书制定了一些基本原则,并补充了服务之间不信任的基本思想。其中包括在受信任的机器上运行已知的源代码,创建“阻塞点”以实施跨服务安全策略,定义推出更改的标准方法,以及隔离工作负载。最重要的是,
这些控制意味着容器和在其中运行的微服务可以被部署,可以相互通信,可以安全地相互运行,而不会给单个微服务开发人员带来底层基础设施安全和实现细节的负担。
应用这些原则将要求组织改变其基础设施和开发流程,以便尽快将安全性构建到其产品中,同时不会给单个开发人员带来安全问题的负担,有效地从DevOps过渡到DevSecOps模式。
这并不简单,也不会给感兴趣的组织带来成本。谷歌多年来一直在创建内部工具,并致力于其流程。一个很好的起点就是谷歌提供的开源软件和其他工具的列表,包括特使、流量总监、Kubernets入场控制员等等。