云原生安全以主动防御为核心,采用共同责任模式,全面提升隐私保护与安全防护水平,对于保障现代云环境至关重要。
从传统公有云和服务向基于微服务的云原生环境迁移,往往会迅速压缩现有安全控制措施和策略的有效周期。
Compass Datacenters IT安全总监Sherelle Moore在一场专题演讲中,分享了帮助企业在云原生安全领域保持领先的工具与方法。该演讲是InformationWeek于2024年6月25日举办的"用云原生安全提升云安全"在线研讨会的组成部分。
以下为演讲内容整理,已做适当文字润色。
什么是云原生安全
Sherelle Moore表示,云原生安全同时涵盖平台与基础设施安全,以及持续的应用程序安全。它是专为云环境而设计的,要求在构建和保护资产的过程中将安全能力内嵌其中,并具备高保真度、高可见性和强上下文感知能力。与此同时,云原生安全还具备更强的可扩展性、弹性和灵活性。
该安全体系覆盖从操作系统到应用容器的多个层级,采用主动防御方式,在网络威胁发生之前提前预判并加以防范。
云安全与云原生安全有何区别
云安全旨在保护云基础设施、应用程序和数据,其最初是为本地计算机和服务器设计的,之后才逐步迁移适配到云端。云安全同样保障用户和设备的身份认证、数据访问控制以及账户隐私。
与将安全责任主要归属于企业自身的云安全不同,云原生安全采用的是共同责任模式。它关注的重心是在系统中流动的数据本身,而非依赖传统的边界防护,真正实现了从顶层到底层的整体性安全覆盖。
此外,云原生安全还融合了先进的自动化与分析能力,并借助人工智能与机器学习技术,为系统中流动的数据增加额外的安全保护层,从而降低遭受网络攻击和数据泄露的风险。这一切均通过加密机制和数据访问策略在相应环境中加以实现。
值得一提的是,云原生安全还具备云安全所不具备的一项能力——企业可以通过分布式自动备份来启动业务连续性计划,从而大幅降低业务连续性保障的相关成本。
云原生安全平台的集成价值
Sherelle Moore指出,将云原生安全平台的数据引入企业现有技术体系,实施简便、管理可控,因为其内置了多种安全措施。将其应用于现有技术环境后,可在原有基础上新增第三、第四乃至第五层可见性与防护能力,涵盖数据安全、云安全及态势管理,并可在后台自动构建安全审计与检查机制。
在合规审计到来时,云原生安全平台会自动触发相应的安全审计流程,确保日志记录和数据存储的规范性,并维护相应的数据保留策略。
基于共同责任模式的风险管理框架,企业可获得更高的可见性,更好地掌控云原生环境中的应用程序——清楚地知道谁能访问哪些内容,以及如何对其进行管控。
此外,云原生安全还大幅简化了合规管理难题。在威胁检测与响应层面,该体系整合了威胁猎手、事件响应人员和网络安全分析师的能力,帮助企业及时了解外部威胁态势,持续优化威胁建模和响应策略。
由于云原生安全覆盖网络七层全部内容,企业可获得对整个安全环境的全局视图,无需进行大量递归分析,即可快速定位关键问题。
需要关注的潜在风险
Sherelle Moore也坦言,网络安全领域面临的最大威胁,往往来自专业人才的匮乏、知识理解的不足,或是因操作人员经验有限而导致的部署失误。因此,在向云原生安全模型迁移时,必须确保负责部署和监控的人员具备充分的专业能力。
Q&A
Q1:云原生安全和传统云安全有什么区别?
A:云安全最初是为本地计算机和服务器设计的,后来才迁移到云端,安全责任主要由企业自身承担。云原生安全则是专为云环境设计,采用共同责任模式,关注的是系统中流动的数据本身,而非边界防护。它覆盖从操作系统到应用容器的多个层级,融合了AI与机器学习,具备更强的可扩展性、弹性和灵活性,并支持分布式自动备份以保障业务连续性。
Q2:云原生安全如何帮助企业应对合规审计?
A:云原生安全平台在后台会自动构建安全审计与检查机制,当合规审计到来时,平台会自动触发相应的审计流程,确保日志记录和数据存储的规范性,并维护数据保留策略。此外,基于共同责任模式,企业可获得更高的可见性,清楚掌控谁能访问哪些内容,从而大幅简化合规管理难题。
Q3:企业在迁移到云原生安全模型时需要注意什么?
A:最需要注意的是人员能力问题。网络安全领域面临的最大威胁,往往来自专业人才匮乏、知识理解不足,或因操作人员经验有限导致的部署失误。因此,在向云原生安全模型迁移时,必须确保负责部署和监控的人员具备充分的专业知识和实操能力,否则再好的安全工具也难以发挥应有效果。
好文章,需要你的鼓励
Anthropic于6月30日发布Claude Sonnet 5,相较前代Claude Sonnet 4.6在编程、推理、工具使用及知识工作方面均有显著提升。该模型可自主制定计划、使用浏览器和终端等工具,达到数月前需更大更贵模型才能实现的水平。安全评估显示其不良行为率更低。Sonnet 5默认开启自适应思维,采用更新的分词器,性能接近Opus 4.8但价格更低,现已面向所有订阅计划开放。
复旦大学联合多机构提出A2World框架,通过210万条真实机器人轨迹进行动作条件化预训练,将学到的物理动力学先验同时迁移到仿真模拟和策略控制两个方向,在LIBERO和真实机器人任务上均取得当前最优表现。
人工智能基础设施的快速扩张不仅带来总用电量激增,更在改变电网的运行特性。AI训练任务高度同步、计算密集,推理任务则分散且难以预测,两者均可在极短时间内造成电力需求骤变。数据中心的地理集中分布进一步加剧局部电网压力。现有监管框架多基于稳定工业负荷设计,难以适应这类新型需求。专家指出,电网规划需从关注总能耗转向关注需求波动性与同步效应。
同济大学研发的FLISP系统,让无人车与无人机在水电隧道中无需建图、仅靠激光雷达实时协作导航,规划延迟仅7毫秒,成功率100%。