报名参加CloudWeGo黑客松,奖金直推双丰收! 了解详情
写点什么

Google 发布云原生安全模型 BeyondProd,以实现云本地安全性

  • 2020-01-26
  • 本文字数:1080 字

    阅读完需:约 4 分钟

Google发布云原生安全模型BeyondProd,以实现云本地安全性

最近发布的Google BeyondProd白皮书,详细介绍了这个容器化的云原生安全模型。Google 的模型超越了传统的基于边界的安全模型,而是利用代码来源和服务身份标识作为安全基石。同时,Google 还提供了一份可用于实现其安全模型的开源软件列表。


Google容器安全项目经理(PM)Maya Kaczorowski写到,“BeyondProd 可以确保数十亿个容器的安全性,这些容器每周都会部署”。与用于企业安全的Google BeyondCorp模型类似,BeyondProd 的核心思想是,组织不应该信任任何实体,无论该实体是在边界内还是在边界外,应该遵循“永不信任,始终验证”的原则。与企业安全相比,云原生安全考虑了容器的使用,Kaczorowski解释道:


使用容器的第一个主要区别是调度。我们不能依靠 IP 地址或主机名来确保安全性,而是需要服务身份标识。


在过去的几年里,在“零信任”网络的名义下,这个理念得到了越来越多的关注。正如独立网络安全顾问Michael Brunton-Spall 所说:


“我们不能因为你在网络上就可以完全信任你”,我认为,事实上,在很多情况下,这可能意味着我们不应该那么信任你。我看到大多数政府部门的网络都曾遭到攻击。“在网络上”并不是一个好的信任指标。


在零信任网络中,保护其外围网络仍然至关重要。然而,要将其发展为完全的零信任网络还需要一些额外的规定。但这绝非易事,因为目前要做到这一点尚缺乏标准的方法,Brunton-Spall 补充道:


我们可以从做过这件事的人那里了解到,“它”需要定制。如果要定制我们自己的,需要吸取前人的经验,去参加会议,向做过这件事的人学习。


为了填补这一空白,Google 的白皮书制定了一系列的基本原则,补充了“服务之间互不信任”的基本理念。其中包括在受信任的机器上运行已知来源的代码、创建“扼要点”(choke points)来跨服务实施安全策略、定义实施变更的标准方法以及隔离工作负载。最重要的是,


这些控件意味着容器及运行在容器内的微服务可以安全地部署,它们可以彼此通信,并彼此相邻运行,而不会给单个微服务开发人员带来底层基础设施安全性和实现细节的负担。


这些原则的应用需要组织改变其基础设施和研发过程,以便尽早地在其产品中构建安全性,同时又不会给单个开发人员带来安全隐患,从而可以有效地从DevOps过渡到DevSecOps模式


对于感兴趣的组织来说,这不是一件简单的事情,也不是没有成本的,而且 Google 多年来一直在构建内部工具,并致力于研发流程。一个很好的起点是,可以利用 Google 提供的开源软件和其他工具的列表,包括EnvoyTraffic DirectorKubernetes admission controllers等等。


原文链接:


Google Publishes Its BeyondProd Cloud-native Security Model


2020-01-26 10:003453

评论

发布
暂无评论
发现更多内容

上线仅仅三小时,豆瓣评分均9.0的“四本程序员必刷书籍”火了

Java 编程 面试 IT 计算机

DAPP钱包开发模式详细介绍

Geek_23f0c3

dapp 钱包系统开发 DAPP智能合约交易系统开发

【LeetCode】股票的最大利润Java题解

Albert

算法 LeetCode 8月日更

七夕特别篇|用Python绘画牛郎织女在鹊桥相见

Python研究者

8月日更

fil矿机价格怎么计算?fil矿机托管费用怎么计算?

fil矿机价格怎么计算 fil矿机托管费用怎么计算

Vue进阶(三十四): webstorm 应用 git 进行版本管理

No Silver Bullet

git Vue 8月日更

这份阿里P8级别内部疯传的“Linux私房菜”让你一次吃个饱

Java 编程 程序员 IT 计算机

腾讯跟阿里两位王者之间的对比

Linux服务器开发

腾讯 阿里 C/C++ Linux服务器开发 Linux后台开发

netty系列之:使用UDP协议

程序那些事

Java Netty nio udp 程序那些事

解除限制!Alibaba不在低调,P8大神纯手撸300页Java高并发手册

Java~~~

Java 架构 面试 高并发 架构师

Alibaba22届校招启动!连夜整理一份七大专题Java架构速成笔记

Java~~~

Java 架构 面试 阿里 校招

大专的我狂刷29天“阿里内部面试笔记”最终直接斩获十七个Offer

Java 程序员 架构 面试 IT

震惊!300多页美团百亿级系统架构设计实录首公开

Java 编程 架构 面试 架构师

猎杀时刻!阿里高工总结698页Spring学习笔记,疯狂狩猎大厂offer

Java~~~

Java spring 架构 面试 微服务

我为什么不建议大家等公司倒闭之后,再找工作!

非著名程序员

面试 认知提升 招聘管理 8月日更

求天理 存人欲|靠谱点评

无量靠谱

秒杀系统设计-超卖问题

泽睿

秒杀 秒杀系统

如何在二三线城市月薪过万(二)面试100人后的经验总结!教你如何做面霸

小鲍侃java

8月日更

区块链和比特币到底有什么关系?

CECBC

提升个人影响力的简单原则

俞凡

认知

到底啥是区块链分叉?

CECBC

区块链技术 | 数字货币的未来发展前景趋势分析

CECBC

细说JavaScript正则表达式(RegExp)

devpoint

正则表达式 regex JavaScrip 8月日更

Java的四种引用类型

W🌥

Java JVM 8月日更

fil最新消息!Fil价值与未来如何?

区块链 分布式存储 IPFS fil FIL价值

Python代码阅读(第9篇):返回最长的输入对象

Felix

Python 编程 Code Programing 阅读代码

FastApi-14-文件上传-2

Python研究所

FastApi 8月日更

Alibaba12年技术老兵整理的“MySQL 学习笔记”带你轻松拿捏MySQL

Java~~~

Java MySQL 数据库 架构 面试

一切努力似乎都徒劳?|靠谱点评

无量靠谱

“硬钢字节”阿里大牛分享内部数据结构与算法(诛仙版)源码笔记

Java~~~

Java 架构 面试 算法 数据结构与算法

fil挖矿怎么样?fil挖矿收益怎样?

fil挖矿怎么样 fil挖矿收益怎样

Google发布云原生安全模型BeyondProd,以实现云本地安全性_服务革新_Sergio De Simone_InfoQ精选文章