目前，企業上雲的速度、深度和廣度都在不斷提高。儘管雲原生具有彈性、開箱即用、自適應、全生命週期防護等優勢，為企業的安全防護能力建設帶來新思路，但是，由於其開發模式、部署方式、運營方式的改變，對雲原生安全也提出了全新的挑戰。雲原生時代，如何做好安全體系建設？近日，在Palo Alto Networks（派拓網路）雲原生安全媒體溝通會上，派拓網路中國區大客戶技術總監張晨分享了當前企業主要面臨的雲原生安全挑戰和應對之策。

派拓網路中國區大客戶技術總監張晨

雲原生時代，網路安全有哪些新挑戰？

近年來，在數字化轉型和混合辦公的加持下，IT架構也面臨新的變革，安全已成為越來越多的企業的核心訴求。一方面，數字化轉型打破了原有的物理邊界，使企業暴露出更多的攻擊面；另一方面，企業傳統基於物理邊界的網路安全架構，已經遠遠滿足不了雲原生時代的網路安全需求。

張晨認為，雲原生環境與網路安全上雲息息相關。她表示：“為了企業業務發展和敏捷性，原來部署於物理伺服器上的應用，開始往雲上遷移，因此大量應用就在雲原生環境下進行開發、測試、釋出和使用。在這個過程中，企業需要對應用的映象和開發環境進行安全檢測和必要安全配置的檢查，以防人為配置錯誤帶來的安全隱患。”

由此可見，大量雲原生應用和虛擬化技術的出現，以及這些應用在跨多雲和混合雲環境中部署，為雲原生安全帶來諸多挑戰，讓安全平滑地過渡到新型IT架構中，已成為亟待解決的問題。具體來看：

第一，雲原生架構已經廣泛普及。越來越多的開源廠商開發雲原生架構，行業客戶也在積極採用雲原生技術。張晨表示：“雲原生基於便捷性、敏捷性以及低成本等優勢，正在推動應用程式現代化和新架構的快速轉型。”

第二，DevOps推動不斷變化的狀態。雲服務是動態的，可以根據企業業務需求增加或減少資源，節省雲上開銷。張晨表示：“如果需要用到該雲環境，可以將容器環境啟動，不需要可以關掉。”

第三，安全建設可能滯後。企業在雲原生環境設計和架構規劃時並不是為了安全考慮，更多是如何以最低資源開銷，最便捷的開發環境資源，獲取最大的應用釋出成果。因此，在雲原生應用生命週期中，還存在諸多安全漏洞和短板。

如何構建雲原生安全？

在雲原生環境下，企業應該採用什麼樣的網路安全策略？

張晨建議，企業需要採取積極主動的網路安全策略。首先，在雲原生應用整個生命週期中具有全面的視覺化能力，瞭解威脅形勢和麵臨的風險；其次，雲上應用一旦投產使用生效的時候，要對這個應用本身會遭遇到的安全攻擊進行高效準確地檢測；再次，透過統一平臺對雲原生全生命週期進行全方位的安全策略管理，提升安全管理的整體效率。

另外，張晨還建議，將零信任理念融入到安全策略的每個細節。她表示：“零信任指的是不去相信網路中的任何一個要素，無論是網路中的哪一個主體，都要對其所產生的網路流量、所關聯的終端、伺服器以及相應的環境，進行安全策略的檢驗，同時，必須具備一定的自檢能力，這種檢測也可以涵蓋所有的應用和資料。”

如何構建零信任網路？派拓網路透過定義保護物件與範疇、掌握通訊與資料流（應用業務流程分解）、基於保護區域構建隔離網路、建立零信任安全管理政策、有效率的監控及運維這五個步驟幫助企業客戶構建零信任網路。張晨表示：“構建零信任網路並不是非常複雜的大工程，而是按照業務的優先級別和重要性一步步開展的。”

為此，派拓網路打造的下一代網路安全平臺是高智慧且高度集中化的，主要由網路安全、雲安全和終端安全三部分組成。其中，自動化安全運營機制，能夠將網路雲原生環境下及端點安全等資訊都彙總到自動化安全運營平臺，進行統一的監控和管理，以及智慧化的編排。張晨表示：“派拓網路在雲原生的功能能夠滿足客戶整個雲原生應用下全生命週期的安全需求，幫助客戶從一開始的軟體開發階段就把安全策略內建進去，保證客戶在雲原生環境下的整體安全體驗。”

作為業界第一個實現安全運轉的綜合平臺，Prisma Cloud 3。0透過降低執行時的安全風險顯著改善企業的整個雲安全態勢。這個最全面的雲原生應用保護平臺（CNAPP）的客戶群已經包含了財富100強榜單上77%的企業。如今，它還為企業機構提供：可在開發過程中嵌入關鍵保護措施的雲程式碼安全、補充當前代理保護模式的無代理安全以及用於Microsoft Azure的雲基礎設施授權管理（CIEM）。

寫在最後

基於雲原生帶來的敏捷性、可擴充套件性等優勢，越來越多的企業開始向雲原生方式轉變，雲原生安全也變得至關重要。近年來，派拓網路持續探索雲原生安全領域，攜手合作夥伴，為企業帶來優質的安全解決方案。張晨表示：“越來越多的企業會選擇主流的雲服務商，透過他們提供的雲解決方案來保證上雲的體驗。派拓網路也與亞馬遜雲科技達成全面戰略合作，並持續為千行百業數字化轉型保駕護航。”