2020年11月,CNCF安全SIG发布了《云原生安全白皮书》,在白皮书中给出了云原生应用生命周期各个阶段的安全建议。本文做一个简要解读。
结构
白皮书提出了一个云原生应用生命周期的层次视图(Cloud Native Stack),然后针对这个层次视图中不同区块的安全性展开建议性描述。
值得注意的是层次图的3个Layer:Fundational, Environment, Lifecycle,这3个Layer比较抽象,特别是Fundational。
- Fundational:这个不等于基础设施,其范围应用是包含基础设施,以及Lifecycle过程中需用到的工具集合。目的是支撑Lifecycle过程。
- Environment:资源集合。
- Lifecycle:软件生命周期。
后续的内容都是围绕这3块展开。
解读
- 白皮书中的内容比较泛,不包含具体实施建议,而是给出了安全的全景图。企业可将此白皮书作为技术沙盘参考,但是缺少实施建议,需要企业根据实际情况,找到一些合适的最佳实践,填充到沙盘中对应的位置。
- 在整个Lifecycle中,Develop阶段重要程度最高,因为所有的安全风险源头来源于此,开发阶段因为是人的活动,人本身的技能、以及管理流程等都是安全风险引入的高发区。
- 白皮书中缺少对变更实施过程引入安全风险的描述,人是安全防护中最薄弱的点,很多安全事故是都因为变更管理不当、或者变更人员操作不当导致。