首页 > 传媒 > 关键词  > 云原生技术最新资讯  > 正文

瑞数信息:云原生时代,应用安全面临三大风险

2023-03-23 17:12 · 稿源: 站长之家用户

云原生技术蓬勃发展,已成为赋能企业业务创新的重要推动力。Gartner报告指出, 2022 年将有75%的全球化企业会在生产中使用云原生的容器化应用。到 2025 年,超过95%的新云工作负载将部署在云原生平台上。

但不可忽视的是,云原生在创造效益的同时,也在重塑整个应用生命周期,由此带来了新的应用安全隐患。

云原生应用变革带来三大安全风险

随着以容器、微服务、服务网格为代表的云原生技术被广泛使用,企业从由虚拟机驱动的基本云环境转变为分布式、基于微服务的云原生环境。

在瑞数信息技术总监吴剑刚看来,云原生技术带来了应用形态的变化:一方面,云原生为应用带来了更好的韧性、适用性、故障自愈率等;另一方面,云原生应用遵循面向微服务化的设计方式,导致应用数量快速增长,应用更加分散、配置更加复杂,同时应用间交互也带来了API数量的指数级增长,进而为云原生应用和业务带来了新的风险。

吴剑刚表示,云原生环境带来的应用风险大致可分为三类:

● 传统应用安全风险

云原生应用源于传统应用,因而云原生应用风险也继承了传统应用的风险,例如:失效的对象级授权、失效的用户身份认证、注入攻击、过度的数据暴露、使用含有已知漏洞的组件、不足的日志记录和监控等风险。

其中,开源组件代码漏洞正在成为云原生环境中常见的风险。云原生技术大量使用开源代码,企业很难规避开源代码库漏洞,由此为云原生应用的安全带来了更多不确定性。

● API安全风险

API大量出现是云原生环境的一大特点,目前针对API的攻击已成为一个重要方向。针对API的常见网络攻击包括:重放攻击、DDoS 攻击、注入攻击、中间人攻击、内容篡改、参数篡改等。这些新型的安全威胁正在变得更加复杂化、多样化、隐蔽化、自动化。

同时,由于API接口被大量调用,很多企业API资产不清、责任不清,API滥用正在成为黑客攻击的主要入口,为企业带来巨大的数据泄露风险。

● 业务安全风险

随着数字化业务快速增长,APP、微信、小程序、H5 等多种业务接入渠道产生,API接口大量被调用,带来了相应的业务安全风险。

一方面,小程序这类新兴线上渠道被攻击者逆向难度很低,逆向成功后,直接调用API接口就可以获取用户信息、敏感数据、办理业务等,实施业务欺诈。另一方面,API接口承载着敏感数据,经常面临接口越权、未授权访问等安全威胁,攻击者通过各类Bots模拟真实用户、批量化业务操作,很容易实现业务攻击。

云原生呼唤新型应用安全技术

随着云原生技术应用的普及,在未来数年内,云原生架构带来的风险将成为攻击者关注和利用的重点,传统基于边界的防护模型已不能完全满足云原生的安全需求。

在云原生环境下,边界变得模糊而且更细粒,安全防护无法再依赖传统的边界;再加上云原生架构的多租户、虚拟化、快速弹性伸缩等特点,都对传统边界安全防护技术提出了新的挑战。

瑞数信息技术总监吴剑刚表示,为了探索一条更适合云原生时代的持续安全之路,瑞数信息从 2018 年就开启了云原生应用安全技术的研究,成为业内最早一批基于云原生技术推出WAAP(集Web应用防护、Bot防护、DDoS防御、API保护于一体)产品的安全厂商。

在整体架构上,瑞数信息全线产品实现了云原生架构重构,既可以提供本地化部署,也可以部署在容器上。同时,为了保持云原生应用的运行效率,瑞数信息的产品采用了云原生轻量架构,将检测流量和业务流量分离,通过对检测流量的旁路式轻量校验,将客户的业务流量时延增加压缩在5ms以内,满足互联网业务高性能、高敏捷的需求。

在防护维度上,瑞数信息针对云原生架构增加了流量采集层级,从node、pod、agent三个层面对流量进行全方位监测,将南北向、东西向流量管控起来,实现更细颗粒度的安全隔离机制,有效防止网络威胁在云平台内部肆意蔓延。

面对云原生架构带来的三类安全风险,吴剑刚表示瑞数WAAP动态安全平台在提供传统Web安全防御能力的同时,也能轻松应对新兴和快速变化的Bots攻击、0day攻击和应用DDoS攻击,助力用户打造覆盖Web、APP、云原生应用和API资产的主动防护体系。

● WEB安全防护能力:基于“动态安全引擎”“智能威胁检测引擎”“规则引擎”协同工作,瑞数WAAP动态安全平台采用轻量级签名和特征规则,即可对手动攻击、自动化攻击提供更为高效全面的Web应用防护能力,实现纵深防御。

API安全防护能力:瑞数WAAP动态安全平台采用智能威胁检测技术、行为分析技术,通过API感知、发现、监控分析和保护四大模块,实现对API全生命周期的安全防护管理。

● 恶意机器人(Bot)保护能力:针对Bot自动化工具的识别与防御是瑞数信息产品最突出的能力之一。瑞数WAAP动态安全平台通过“动态混淆技术”,对服务器网页底层代码的进行持续动态变换,让攻击者无从下手;通过“人机识别技术”,实现对访问客户端真实性的识别,实现从用户端到服务器端的全方位“主动防护”,有效打击模拟真实用户的各种自动化攻击和业务欺诈行为。

● 应用层DDoS防护能力:区别于传统限频的防护技术,瑞数WAAP动态安全平台基于独特的Bot防护能力,抓住CC攻击都是工具发起的特点,通过工具防护,实现对业务/应用层的CC攻击的防护。

以API安全防护为例,吴剑刚表示,传统API安全网关产品主要是在API请求的身份认证、权限管控、请求内容校验与过滤以及API流量限速等方面进行防护,但是这些防护功能都与应用开发高度相关,应用程序修改后往往也需要修改API安全网关的配置,造成的部署与维护成本都极为高昂。

但实际上云原生环境下的API功能在不断扩充与加强,贯穿了整个产品交付的流程,需要结合云原生架构对API全生命周期进行监测和管控。这也是为什么瑞数信息会推出API安全管控平台(API BotDefender)的原因,从API接入客户端覆盖到API服务器端,包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块,为API接口提供完整的安全管控方案。

基于瑞数信息全程式API安全威胁防护,企业可以实现自动化的API资产发现、API资产全生命周期管理、精准API画像构建、全渠道感知API、API敏感数据管控、API攻击防护、API滥用防护、API访问行为管控、动态响应防护等。

吴剑刚表示,在云原生环境下,企业面临的攻击面更广,因此更应该定义自己的核心资产,从应用视角梳理核心资产、业务和场景来进行防护。瑞数云原生安全产品正是顺应了安全视角转变的趋势,对核心资产进行挖掘和保护,并通过轻量级架构和检测方式为云原生应用降本增效。

目前,瑞数信息是国内首批通过中国信通院“云原生API安全能力”和“WAAP能力”评估认证的安全厂商;其中,瑞数WAAP动态安全平台还荣获了中国信通院“云原生安全技术创新优秀案例”奖项。这充分彰显了瑞数信息在云原生应用安全领域的领导地位,在安全能力、功能全面性、产品稳定性、性能等各个方面为企业客户提供了信心。

结语

云原生给业务带来敏捷积极影响的同时,也带来了全新的安全挑战,企业需要不断更新安全理念、采用多维度、多技术提高安全的包容性,并将安全策略和业务结合起来优化,才能真正将云原生安全落地。瑞数信息作为云原生安全领域的领先厂商,将帮助更多企业用户提升应对IT风险的免疫力,落地云原生应用安全最佳实践。




推广

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈联系地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • 免费AI在线变声器:创新AI技术,轻松改变声音。

    免费AI在线变声器是一种利用人工智能技术,允许用户上传语音或输入文本,并将其转换成不同声音的工具。它与传统变声器不同,提供更逼真和准确的效果,支持性别声音转换,适用于角色扮演、游戏、内容创作等多种场景。

  • color4bg.js:动态生成炫酷多彩的网页背景

    color4bg.js 是一个使用 WebGL 和 JavaScript 生成动态、抽象且视觉震撼的背景图像的 JavaScript 库。它允许用户自定义多达六种颜色,以生成背景图案,支持动态动画效果,并可通过种子值确保每次生成相同的图案,便于集成到网页设计中。

  • MemFree:智能搜索工具,快速获取互联网及本地数据

    MemFree是一个创新的搜索工具,它允许用户快速从互联网、书签、笔记和文档中获取准确的答案。它通过先进的算法索引和搜索技术,帮助用户节省时间,提高工作效率。

  • Inrō:Instagram自动化营销助手

    Inrō是一个AI驱动的营销自动化工具,专为Instagram设计,帮助企业通过直接消息(DM)提升用户参与度和转化率。它通过分析用户互动历史和上下文,自动组织受众并个性化消息内容。Inrō还提供了与现有信息系统的集成,以及自动化的潜在客户获取和跟踪功能。产品背景信息包括其母公司EDGAR SAS是Meta批准的供应商,符合Instagram的社区准则、隐私政策和服务条款,并且提供数据安全和加密传输。

  • Gan.AI Video Recorder:录制无限个性化视频,提高会议效率和交易成功率。

    Gan.AI Video Recorder 是一款在线视频录制工具,它允许用户快速录制屏幕和摄像头,并通过个性化功能来增强视频的吸引力和效果。产品的主要优点包括无限视频录制、个性化字幕和缩略图、动态网站背景滚动以及定制化登录页面等。这些功能使得Gan.AI Video Recorder 成为提高工作效率和交易成功率的有效工具。

  • Superjoin:自动将实时数据导入Google Sheets的AI工具。

    Superjoin是一个集成了AI技术的插件,允许用户无需编写任何代码即可将实时数据从他们喜爱的工具中导入到Google Sheets。它为RevOps团队提供了无需编码和开发人员即可操作的解决方案,支持一键连接无限数据源,自动刷新数据,并支持双向同步。

  • Prime Intellect:AI开发规模化的民主化平台

    Prime Intellect是一个致力于AI开发规模化民主化的平台,提供全球计算资源的发现、模型训练以及共同拥有智能创新的能力。它通过分布式训练跨集群,使得用户能够训练最前沿的模型,并且共同拥有由此产生的开放AI创新成果,包括语言模型和科学突破。

  • Zed:高性能、多人协作代码编辑器

    Zed是由Atom和Tree-sitter的创造者开发的高性能、多人协作代码编辑器,开源且集成了AI代码生成功能。它利用多核心CPU和GPU,实现即时启动、快速文件加载和响应键盘输入。Zed支持GitHub Copilot,并通过内置助手面板与模型进行对话式交互,以生成或重构代码。

  • AuraFlow:开源的基于流的文本到图像生成模型

    AuraFlow v0.1是一个完全开源的、基于流的文本到图像生成模型,它在GenEval上达到了最先进的结果。目前模型处于beta阶段,正在不断改进中,社区反馈至关重要。感谢两位工程师@cloneofsimo和@isidentical将此项目变为现实,以及为该项目奠定基础的研究人员。

  • 墨狐AI:短篇小说写作助手

    墨狐AI是一个专为短篇小说创作者设计的在线写作助手,它通过提供创意大纲、续写故事、生成剧情树和剧本创作等功能,帮助作者激发灵感,提高写作效率。产品背景信息显示,墨狐AI旨在解决创作者在创作过程中遇到的难题,如灵感枯竭或故事发展困难。目前,墨狐AI的定位是辅助工具,详情可访问官网查看更多介绍。

  • LLaVA-NeXT:大型多模态模型,处理多图像、视频和3D数据。

    LLaVA-NeXT是一个大型多模态模型,它通过统一的交错数据格式处理多图像、视频、3D和单图像数据,展示了在不同视觉数据模态上的联合训练能力。该模型在多图像基准测试中取得了领先的结果,并在不同场景中通过适当的数据混合提高了之前单独任务的性能或保持了性能。

  • 老鱼简历:在线制作简历,简单高效。

    老鱼简历是一个在线简历制作平台,提供多种简历模板,支持AI生成简历,帮助用户快速制作出专业且个性化的简历。用户可以根据自己的需求选择不同的模板,并通过简单的在线编辑完成简历的制作,支持下载为PDF或PNG格式,满足不同场景的求职需求。

  • Enchanted:与私有自托管语言模型对话的iOS/macOS应用

    Enchanted是一个开源的、兼容Ollama的macOS/iOS/visionOS应用,它允许用户与私有自托管的语言模型如Llama 2、Mistral、Vicuna等进行对话。它基本上是一个连接到私有模型的ChatGPT应用界面。Enchanted的目标是提供一个产品,允许在iOS生态系统(macOS、iOS、Watch、Vision Pro)的所有设备上提供无过滤、安全、私密和多模态的体验。

  • Logo Galleria:在线AI Logo制作,快速生成个性化标志。

    Logo Galleria是一个在线AI Logo制作平台,利用人工智能技术帮助用户快速生成个性化的标志设计。它通过用户输入的行业、风格等参数,提供定制化的标志设计方案,满足不同用户的设计需求。该平台的主要优点是操作简便、设计效率高,可广泛应用于品牌建设、产品包装等场景。

  • Afforai.com:AI驱动的参考文献管理助手

    Afforai是一个AI驱动的参考文献管理助手,旨在帮助研究人员管理、注释、引用论文,并以AI的可靠性进行文献综述。它提供了一个全新的研究材料存储方式,使用户能够专注于真正重要的事情。Afforai支持多种文档格式,包括DOI、URL、PDF等,并具有多种搜索模式,可以连接数百篇论文进行总结、比较和翻译。此外,Afforai还提供数据引用,使用户能够方便地核实信息来源,确保研究的可靠性。

  • Rodel Agent:集成聊天、文本转图像、文本转语音和机器翻译的桌面应用

    Rodel Agent 是一款集成了聊天、文本到图像、文本到语音以及机器翻译功能的Windows桌面应用程序。它支持当前主流的AI服务,为用户提供了卓越的桌面AI体验。该产品的主要优点包括强大的集成功能、用户友好的界面以及对主流AI服务的支持,能够显著提高用户的工作效率和创造力。

  • DictionaryByGPT4:一本由GPT4生成的英语单词书,覆盖8000+单词

    DictionaryByGPT4是一个由GPT4模型生成的英语单词学习工具,它通过分析超过8000个单词,为每个单词提供词义、例句、词根词缀、变形、文化背景、记忆技巧和小故事等全方位信息,帮助用户深入理解单词的来源、使用场景以及记忆方法。该产品特别适合需要提升英语词汇量和理解力的学习者。

  • gpt-frontend-code-gen:前端页面生成神器,提升开发效率

    gpt-frontend-code-gen 是一个基于 React 和 Vite 构建的前端项目,结合 Koa 后端服务,实现前端页面生成并预览的功能。它使用 GPT-4 模型,支持 Chakra UI 和 ShadcnUI 组件生成,允许开发者通过对话形式持续迭代和修改页面,直到达到满意的效果。

  • OpenDiLoCo:开源实现分布式低通信AI模型训练

    OpenDiLoCo是一个开源框架,用于实现和扩展DeepMind的分布式低通信(DiLoCo)方法,支持全球分布式AI模型训练。它通过提供可扩展的、去中心化的框架,使得在资源分散的地区也能高效地进行AI模型的训练,这对于推动AI技术的普及和创新具有重要意义。

  • SmartCrawl:将任何网站转化为AI驱动的API。

    SmartCrawl是一个创新的在线工具,它允许用户将任何网站转化为API,通过AI技术实现数据的自动化抓取和处理。这项技术对于需要从网站获取数据的开发者和企业来说非常重要,因为它简化了数据集成的过程,提高了效率。产品目前处于Beta测试阶段,用户可以通过加入等待名单来获取试用机会。

今日大家都在搜的词: