利用DevOps流程，技术和工具来提高业务价值或尝试新想法并将其推向市场已成为组织内部的主流。诸如容器，Kubernetes（容器协调器）、服务网格等云原生技术正越来越多地被采用为DevOps的推动力。随着企业级对云原生技术的采用的增加，这些技术的许多方面现在都受到审查。

在Thales，我们也在着手进行应用程序现代化之旅时，正在理解和解决利用这些技术带来的安全隐患。同时，与经历相同流程的外部客户的讨论揭示了一些共同的安全需求。由于云原生安全性可能是一个非常广泛的主题，因此我们将仅关注围绕两个特定领域的新兴需求：云原生基础结构安全性和容器软件供应链安全性。

云原生基础安全

DevOps的特征在于服务开发和部署的速度和规模。随着服务的部署更加频繁以及规模扩大/缩小以满足要求，这在确保工作负载身份方面带来了挑战。另外，随着许多较小的服务彼此交互，应用程序被重写，因此，越来越需要管理这些服务使用的秘密/凭证来访问其他服务/资源。由于工作负载标识和机密对于解决方案的整体安全性都是不可或缺的，因此让我们关注围绕保护这些高度敏感资产的一些趋势。

与虚拟化环境中的工作负载部署类似，云原生工作负载也依赖于公钥基础结构（PKI）来标识其身份。在开发人员社区采用的最初阶段，使用了云原生技术的内置证书颁发机构（CA）功能。但是，随着企业计划将这些工作负载转移到生产中，满足证书策略，集中式可见性，管理和保护敏感加密密钥等要求成为了最重要的挑战。这导致对诸如Kubernetes，Istio服务网格等云原生技术的证书颁发和/或管理解决方案的需求增加。结果，证书颁发和/或管理解决方案与Kubernetes和Istio CA的集成得以实现动量。

证书颁发/管理解决方案又依赖于硬件安全模块（HSM）作为信任根，这可以支撑整个解决方案的安全性，以安全地生成和/或存储敏感的加密材料。因此，已经增加了与本地和基于云的HSM的集成，并且这些证书颁发/管理解决方案提供了用于管理云原生工作负载身份的企业级解决方案。

Kubernetes机密管理是另一个用例，企业内部的安全组织正越来越多地对其进行审查。Kubernetes机密使用户可以使用Kubernetes API存储和管理敏感信息，例如密码，泊坞窗注册表凭据和TLS密钥。Kubernetes将所有秘密对象数据存储在etcd中（键值存储）。尽管可以在磁盘级别对etcd数据进行加密，但人们对于Kubernetes机密加密（也称为信封或应用程序级加密）的客户拥有/托管密钥的兴趣日益增加。根据Kubernetes软件/服务提供商以及Kubernetes部署的基础知识，密钥管理的选择范围从基于云的HSM或密钥管理到物理HSM。预计，客户对Kubernetes机密加密密钥所有权的支持将在Kubernetes软件和服务提供商中得到越来越广泛的应用。也可以选择使用针对Kubernetes工作负载的第三方秘密管理解决方案。无论选择哪种方式，HSM（基于云或基于内部部署）都被视为提供逻辑基础的信任选择，这是深度防御策略的一部分。

对于上述两个用例，尽管基于云的环境中的安全飞地等机密计算技术的采用还处于早期采用阶段，但这种技术也会不时出现。

容器软件供应链安全

与越来越多地采用容器和Kubernetes有关的另一个新兴趋势是用于自动部署和交付的容器软件供应链的安全性。独立软件开发商希望确保其客户已发布软件的完整性，同时在整个内部开发/测试/生产团队中以安全的方式自动发布和部署应用程序/服务，从而确保软件供应链的安全。人们越来越意识到，用于分发已签名容器映像和其他OCI工件（例如Helm，奇点和Cloud Native Application Bundle（CNAB））的现有机制（尤其是基于Update Framework的Notary v1）需要改进以提高可用性。此外，鉴于容器注册表供应商的数量不断增加，有必要确保跨提供者的容器工件签名的互操作性，以得到更广泛的采用。一个开源CNCF项目已经启动，以应对这些挑战。开源计划的主要内容之一是密钥管理的可用性。

这是什么意思呢？

随着云原生技术的采用超出了概念验证的范围，许多与安全性相关的方面将发展以满足企业安全性要求。因此，请继续跟踪这些演变和云原生生态系统集成，以部署具有企业级安全性的解决方案。同时，利用证书发行、证书管理与HSM / CoudHSM /密钥管理解决方案提供商之间的集成来保护高度敏感的资产（例如工作负载身份和Kubernetes机密）可以帮助实现安全目标，而不会减慢应用程序现代化的工作。

了解有关Thales HSM与云原生安全性合作伙伴解决方案的集成的更多信息：Thales+Venafi+HashiCorp解决方案简介和Thales-Hashi解决方案简介。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• Thales提前完成收购Imperva交易

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么

• 简化密钥和证书的审核和修复