雲端軟體端側安全防控新技術

Lydiasq發表於2022-10-25

近年來, 企業紛紛將數字化作為發展的首要戰略來應對市場的挑戰。2022年第一季度,全球雲基礎設施服務支出同比增長了34%,達到559億美元,據Canalys最新資料統計,雲服務總體支出較上一季度增加了20億美元,較2021年第一季度增加了140億美元。

Web 2.0向3.0的進發,去中心化愈發明顯,把業務實現成軟體,並放到一個“租賃”的第三方硬體與網路資源上執行,是大勢所趨。

那麼問題來了,你的程式碼和資料,就是你的數字資產,如何在一個並不完全受你控制的環境中安全執行,在安全、隱私方面得到保護呢?

另一方面,作為軟硬體平臺的提供商本身,上雲的客戶什麼人都有,又如何防範他們無意間引入了有安全漏洞的軟體、或者本身就是駭客或者黑產,惡意攻擊平臺、盜取其他租戶的資料、危害整個生態環境?這好比你開了一個大型寫字樓,裡面引進了各種商家,其中混入了幾家專做詐騙的“呼叫中心”,還有在寫字樓裡無下限營銷的,把你的寫字樓名聲搞壞。如何去防範害群之馬?

如何讓自己的程式碼安全的在他人的數字環境中執行並保障資料隱私保護,以及如何讓他人的程式碼在自己的數字空間執行並保障自身的安全,是近年來在安全領域老生常談的話題。

雲端軟體端側安全防控新技術

虛擬世界的信任關係?懷疑一切,並隔離之


零信任,首先是一種數字化時代的安全“哲學”、架構理念,然後才是一系列的科技產品與工具。其中種類繁多,不一而足;也沒有哪家廠商敢聲稱現在已經提供了所有的、最完整的解決方案。這是一個正在發展的領域,大家都在路上。在這裡,我們只探討其中一種型別的技術方案:軟體隔離(零信任的技術方案裡,還有一種Micro-segmentation網路微隔離技術,不在本文討論範圍)。


不錯,就是像隔離新冠病毒一樣的絕對隔離,只不過它是虛擬的 - 任何程式碼都是受懷疑物件,都可能感染病毒,都得被關在箱子裡跑,執行是可以執行的,但是不能被放出來。


事實上,隔離技術早已無處不在。在雲端,亞馬遜之所以能允許成千上萬的“租戶”把程式碼跑在自己的機房裡而不用擔心安全問題,其中至少有相當一部分原因是跟虛擬機器相關的 - 虛擬機器就是隔離環境,你的程式碼只能在這個隔離環境裡跑,記憶體、CPU、網路、儲存等等資源,都是安全隔離與受限的。你看不到其他“租戶”的程式碼與資源,他們也看不到你。在客戶端,微信之所以能承載幾百萬個小程式,讓網上各種企業用各種前端框架開發出來的程式碼跑在微信App裡面卻不用擔心微信自身被攻破、使用者資料被盜取,同樣也離不開以小程式為單位的隔離。

從雲端到瀏覽器端,都有隔離機制,這種機制就是:安全沙箱。

有理由相信,安全沙箱將無處不在,未來的軟體,幾乎就沒有不跑在某種形態的沙箱之內的。安全沙箱這種機制,應該是雙向隔離的,一方面它把任何程式碼關在箱子裡跑,免得它們潛在入侵、損害所在執行的“宿主”環境;另一方面它也保護執行在其中的程式碼,免得它被受汙染的“宿主”環境侵害。

隔離,是這個時代的主旋律,在數字世界更加逃不過...

企業應用軟體安全防控需要安全沙箱


企業的數字化轉型,就是企業員工、客戶、合作伙伴全部透過軟體進行生產協作、經營管理和交易買賣 - 人在哪裡無所謂、見不見面不重要,只要保障了資料安全、商業隱私,就可以在網上有效經營。數字化企業,就是建立在軟體上、並且管理制度與高效使用這些工具相匹配的企業。

支撐數字化的下一代企業軟體是什麼樣子的?在凡泰極客,我們認為“小程式化”、“安全沙箱化”是軟體安全防控供應鏈的其中一個基石(重端側安全防護)。邏輯如下:

  • 企業的一切業務內容,表現方式就是軟體化程式碼化。企業的數字內容資產,就是軟體

  • 軟體形態已經徹底脫離PC時代的“單機”,它天然是網路化的、連線型的、傳播式的,企業需要掌握軟體的出版權、分發權、流動權、使用權

  • 隨需隨用、用完即走的“輕應用”軟體形態,最符合上述要求。其中“小程式”又是輕應用型別技術中最有廣泛基礎、最貼近Web因此最有生命力的技術。

  • 使用者無需主動感知“軟體”概念的強存在,程式碼都是自動下載、看到就用到的,不再有傳統觀念下的安裝、升級,一切都是透明的

  • 透過網路分發傳播而下載執行的程式碼,永遠不可信賴,它只能被關在安全沙箱這樣的隔離環境裡面跑,沒有其他選擇

  • 傳統企業之間的資源交換與整合,它的數字化形態就是交換自己的“數字內容資產”,也就是我的平臺讓你的軟體放進來跑一跑服務我的客戶,我的軟體投放到你的環境裡觸達一下你的客戶。“你中有我,我中有你”,可是我們倆彼此在技術層面沒有任何信任基礎,只認技術安全,“零信任”。所以你的程式碼我只能放在沙箱裡跑,我投放到你那邊的程式碼,也用沙箱隔離著你的環境

  • 在所謂企業“內網”裡,執行的一切軟體,也不能保證安全,誰知道程式碼裡面用了什麼開源元件、供應鏈是不是已經被汙染、是否隨著員工隨身裝置“肉身 ”翻入了防火牆內部?都得被安全沙箱關著才能執行


凡泰極客的FinClip小程式安全沙箱技術,是一種雲端可控的裝置端(包括IoT)安全沙箱技術,它以可分發、可流通的小程式程式碼格式為軟體形態,充當下一代企業應用軟體的技術底座。 作為Web前端技術的“超集”,基於令牌(non-forgeable token)的安全模型,和當前“零信任架構”下的其他基礎技術在最貼近使用者、應用的地方能建立良好的配合。

雲端軟體端側安全防控新技術


網際網路病毒和種類只會不斷演變,層出不窮。“信任”關係似乎變得卻越來越難建立,技術讓病毒軟體化數字化,卻沒有讓信任數字化... “隔離在安全沙箱裡”,至少可以在端側以一種創新的嘗試降低對業務正常執行的入侵性。數字化時代,安全防控意識需要從技術角度,以新視野、新角度看待問題並找出更優的解決方法。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70023421/viewspace-2920261/,如需轉載,請註明出處,否則將追究法律責任。

相關文章