云原生面臨的安全問題

云原生面臨的安全問題可以從容器、編排系統、微服務、服務網格、無服務器計算五個層面分析其安全風險。

• 容器安全問題

  在云原生環境下，容器作為微服務的主要載體，是底層基礎設施，為適應應用的快速部署和迭代，容器具有數量龐大、生命周期短暫等特點，且在容器的新建和消失過程中用于標識容器IP地址 、名稱等均將發生變化，這對于傳統的基于IP的訪問控制策略是一種極大的挑戰。容器面臨的主要安全挑戰包括：容器鏡像的安全性、容器間流量和訪問控制的復雜性、共享操作系統內核情況下容器逃逸的安全風險、容器安全配置的復雜性、特權容器的權限控制等。

• 編排系統安全問題

  編排系統是容器的大腦，它可以提供用戶所需的容器部署，管理和擴縮容等編排功能。比如，Kubernetes就是被最為廣泛使用的容器編排系統。編排系統的安全問題同樣對云原生環境影響深遠，其需要考慮的問題主要包括不安全的配置、漏洞利用、敏感數據獲取、橫向移動、遠程控制和持久化駐留等。

• 微服務安全問題

  微服務就是將單體應用中的不同模塊拆分成微服務，這些微服務都可以獨立部署、運維、升級和擴展，微服務之間通過使用RESTful API進行通信。在云原生環境中，內外網邊界模糊，更多的API會暴露在互聯網上。隨著API暴露面的增加，其被攻擊的風險也大大增加，傳統的南北向防護體系在云原生環境下顯得力不從心。此外，微服務架構增加了服務間的訪問和調用，給東西向流量控制帶來了更大的挑戰。

• 服務網格安全問題

  服務網格被認為是下一代的微服務架構，其主要對服務進程間的通信進行管理，是云原生的發展和延伸。比如Istio就是一款典型的微服務管理和服務網格框架項目。引入新的技術必然也會帶來新的安全風險，服務網絡面臨的主要安全風險包括：不安全的通信導致的中間人攻擊、東西向和南北向的認證授權和訪問控制不當造成的越權攻擊等。

• 無服務器計算安全問題

  無服務器計算是指在不考慮服務器的情況下構建并運行應用程序和服務，使開發者無需關注底層基礎設施、設備的管理。無服務器計算并非指沒有服務器，而是指使用者無需關注服務器，而由服務商來對服務器進行管理。Serverless 是新的云原生模式，當然同樣面臨安全問題，主要包括復雜和流動的攻擊面、數據注入、非授權訪問、操作不可見、無法溯源等。

回答所涉及的環境：聯想天逸510S、Windows 10。