此篇文章发布距今已超过803天,您需要注意文章的内容或图片是否可用!
邮发代号 2-786
征订热线:010-82341063
数字时代,万物皆可云。从IT基础设施的虚拟化,到近些年火热的云原生(Cloud Native),企业开始把应用放在云中,让云计算的能力发挥到了一个新的阶段。容器(Docker)、微服务、服务网格、开发运维一体化(DevOps)、持续集成/持续交付(CI/CD)......这些云原生的要素,让应用在架构设计、开发方式、部署维护等环节都利用云计算的特性,充分发挥云计算的弹性和分布式优势,以此让企业的业务更加敏捷灵活,且易于更新和维护。可以说,云原生专为云而设计,让云计算的优势能力得到最大发挥。那么,云原生有哪些主要特点?云原生的安全该怎么做?其主要防护对象是哪些?适合在哪些场景落地?带着这些问题,我刊专访了主打云原生安全的探真科技,请CEO张涛告诉我们,在云原生时代,如何做好云原生这个全新架构的安全保障。
记者:云计算当前发展到了一个什么样的阶段?呈现出哪些主要特点?张涛:2006年,Google首次提出“云计算”概念,国内大约在2011年左右也开始跟进。2012年,容器技术开始出现,让软件在云中可以“开箱即用”。今天,云计算技术进入到2.0阶段,在向云管边端4个方向发展。云计算1.0的特点是虚拟化、虚机化,以亚马逊的AWS(Amazon Web Services)为代表,以虚拟机、Openstack为技术标准,解决的是企业的信息化问题,让算力、存储、网络成为企业可以按需取用的“自来水”。云计算的2.0阶段是云原生,云原生架构会成为未来5到10年的主流方向。云原生是围绕容器、Kubernetes等技术框架为底层的新一代架构,特点是容器化和无服务(Serverless)化。
张涛:云原生解决的是企业数字化的问题,它通过海量的微服务和应用编程接口(API),将网络能力、服务治理能力、服务发现能力、管理和运维能力、安全能力,通过服务网格进行封装,以承载应用的现代化,让企业的应用和业务代码,可以像“自来水”一样的去使用,以释放更丰富的生产力。云原生可以快速生成产品,触达用户,根据用户的反馈,快速响应,再生成新的符合用户需求的产品,这是云原生DevOps机制带来的产品快速迭代,是一个流程的变革,充分体现了数字化时代的“敏捷”特性,既让企业提升效率,又能快速提升各种用户体验。此外,因为云原生分布式系统的特性,让服务对象和服务能力更加颗粒化,能够做更精准、更高效的服务匹配,从而满足每一个服务对象的个性化需求。
记者:和云安全相比,云原生安全出现了哪些变化?主要特点是什么?张涛:上一代云架构下的安全和传统的网络安全类似,首先关注基础架构安全,即基于边界的安全,再进一步是应用安全,然后是API和数据安全,最后是企业的业务安全。传统架构下,基于边界,加上网络侧、端点侧、主机侧综合而成的纵深防御安全,这是当前最成熟的市场。更进一步的应用安全和数据安全,在传统IT架构或云的虚机架构下,其安全能力无法充分释放。这里存在一个机制上的悖论,当提升安全性能时,就会增加管理的复杂性、流程的复杂性,甚至让检测和响应的效率更低,也就是安全风险的误报和漏报更高。云原生安全,首先也会有围绕基础架构的安全,但不会去基于物理硬件或者虚机的方式去做安全。云原生是一个第三方漂移的技术架构,围绕Kubernetes、集群、容器等,对云原生这个新的基础架构,需要一个全新的安全机制。对安全来讲,云原生也有一个红利——不可变性。不可变基础架构是云原生的一个重要特性。例如,云原生环境下每个服务可能有多个容器来负载,但这些容器的部署、更新都是由一个镜像来完成,这就保证了基础架构的一致性和可靠性,以及更简单、可预测的部署过程。通过云原生去做应用安全和数据安全,由于其不可变性的特点,可以让安全检测和响应机制更加有效,降低误报率和漏报率。其次,由于云原生是一个完整的可编排调度的机制,有统一的数据源、统一的数据架构,所以能够更好地实现安全的闭环管理。所以,由于管理对象的容器化、颗粒化,生命周期的不可变性,云原生安全能够更精准的识别风险,更好地建立行为白名单机制,提升安全的性效比,这是云原生和传统架构下云安全的主要区别。
张涛:主要的防护对象是容器。但云原生安全包括两个概念,首先是用云原生的架构所提供的安全能力,服务于云原生架构下的容器、微服务、API等场景,去实现这些云原生场景的安全,这也是目前创业公司的主要聚焦方向。到明年,当Serverless云服务模型发展起来,有更多的用户使用Serverless架构时,探真会及时跟进,实现Serverless架构的安全。另外,传统的安全能力中台,也可以用容器、K8s等去改造成为一个云原生的架构,接管传统架构下的流量,做数据的关联分析、专家规则库、异常威胁检测等,去服务传统IT架构和云架构的安全问题。
记者:云原生安全面对主要的风险有哪些?呈现出哪些新的特点?张涛:云原生的新特性,不仅带来了便捷、高效,也相应地带来了很多新的安全隐患。传统的木马、蠕虫、病毒、漏洞、webshell等这些威胁,在云原生下同样会有,只是攻击的场景、对象产生了变化。这个变化既有攻击能力的挑战,还由于云原生容器的敏捷性、漂移性,会产生更为严重的后果。首先,因为容器的弱隔离性,很容易产生容器逃逸,因为容器虚拟了整个的底层内核,一旦被攻破,攻击者可以很快拿到承载这个容器的主机的根权限,结果就出现我们熟悉的横向越权和纵向提权。第二,传统IT在测试、研发、运维之间有隔离墙,而企业要做到敏捷,就要打破这个隔离墙,云原生的机制是DevOps,开发运维一体化的自动化流水线,研发人员在开源社区拉取开源镜像,还有第三方合作伙伴提供的镜像,来构建自己的镜像。但据第三方数据统计,超过30%的 Docker Hub官方镜像存在高危漏洞,超过18%的GitHub开源项目包含恶意代码,这些风险会通过开发侧渗透到生产侧和运维侧,造成软件的供应链安全问题。第三,云原生下都是微服务和API,如果一个微服务被攻陷,产生的风险很容易传染给基于API连接的其他众多微服务,造成更严重的后果。总结来看,容器逃逸更容易导致攻击者获取根权限的高危风险。传统的安全威胁,由于云原生的DevOps机制,加快了传播速度;微服务的发展是基于 API,一旦被攻陷产生的风险影响半径更大。
记者:云原生安全当前是一个什么样的态势?哪些企业在用云原生安全?张涛:由于容器是一个较新的技术,在实际攻防中,针对容器场景的攻击还不是特别突出,但今年国家级的实网攻防演练,已经加入了针对容器的得分项。在用户层面,云原生还是一个早期市场,用户正在把一些关键业务和数字资产逐步迁移到容器上,未来3到5年后,容器会成为企业主要IT资产和业务的载体。同时,云原生架构对企业的IT成熟度,对团队的能力有很高的要求。当前率先拥抱云原生的用户,首先是IT技术成熟度较高的公司,如金融行业。其次是关键信息基础设施,如能源、通信等这些IT投入大的行业。另外,一些新兴的面向未来的产业,例如芯片、机器人、创新药、智能制造、车联网等,也在使用云原生。所以,受技术驱动和场景驱动,更需要敏态业务的企业,会全力拥抱云原生架构。这些企业也是云原生安全的用户。云原生上承载的业务越多,瞄准云原生的攻击者和威胁就会越多,但多数云原生还是一个近乎“裸奔”的场景,需要行业共同去呼吁去努力,让企业认识到云原生是一个高风险场景,要大力加强对云原生场景的安全防护。
记者:现在一些新的安全理念和架构,如EDR、SASE,和云原生安全之间有什么关系?彼此能相互结合吗?张涛:EDR的定义是终端安全响应,最早是端点侧威胁的检测和响应,随着网络体系的发展,EDR的端点扩展成了广义的端点,在网络侧有传统的IDS/IPS的检测和响应,在主机侧有HIDS。在云原生环境下,EDR的检测和响应能力会成为云原生安全的重要补充,这也是安全公司应该具备的核心能力。SASE的定义是安全方位服务边缘。随着物联网和终端类型的发展,今天有很多边缘侧、端点侧分布式的云。这些远端点的业务,例如无人巡检、无人驾驶、工厂的自动化生产,对实时性和容错的要求特别高,这种情况下,远端点更应该容器化和Serverless化,以满足敏捷、韧性和弹性。真正的SASE是远端点的管控接入服务治理,远端点通过容器化和微服务化的机制,既能释放算力,实现接入和业务,还能实现安全认证和服务代理,SASE在云原生的架构下才能产生真正的生产力和效率。所以,云原生安全的终极有两个服务能力,一个是围绕中心侧云原生架构下的云原生场景的安全,另外一个是边缘侧的SASE的安全,它们共同形成了一个大的云原生安全接入的概念。张涛:之所以选择云原生安全,是因为我认为云原生是一次架构的变革,也是一次安全场景的变革,云原生不仅具有一个星辰大海般的广阔未来,也是一次技术赶超的难得机遇。作为一个做过很多国内第一代安全产品的老网安人,我见证了国内这些年安全产业的发展。过去在传统架构下做安全,企业各自为战,内卷现象严重,目前网络安全市场可以说处于一个叫好不叫座的局面,安全厂商的实际盈利指标较弱。面对这种形势,一个成熟的创业者要有终局思维,就是以终为始,思考为什么要创业?客观的说,和国外的技术能力相比,国内还有很大的差距。在技术创新上,国内也一直是亦步亦趋的跟随态势。但今天云原生的开源共享机制,让我们可以站在巨人的肩膀上去做特定场景下的应用安全。在云原生上,我们可能比国外晚一点,但差距不大,有可能借着开源浪潮实现弯道超车。和国内外的云原生安全创业者相比,探真在一些领域保持着同步的领先。例如,云原生安全有一个创新产品叫偏移防御,以色列的Aqua 公司第一个发布,探真是全世界第二家发布偏移防御产品的公司。探真还有着一支优秀的团队。To B市场周期很长,要求团队不能有短板,和大厂巨头相比,创业公司必须有自己的“金刚钻”。探真的团队里既有擅长云原生技术,面向多架构多能力跨界的研发团队,也有熟悉To B市场的IT“老司机”,充分了解用户需求,了解产品和市场成熟的周期,做好资源的匹配。这样的组合,让探真从产品到市场到销售都将短板敞口收敛到最小,在云原生安全市场中,成为一个有力的竞争者。
记者:探真科技的发展路径是如何规划的?产品技术有哪些优势和特点?张涛:探真先从容器安全着手(包括镜像安全、容器的运行时安全),开始进入云原生安全的赛道。但在云原生广阔的发展周期里,除了容器安全以外,我们还需要关注应用安全、数据安全和终极的业务安全。应用安全,是由于云原生服务网格化,会产生传统WAF等应用安全解决不了的问题,需用云原生架构才能去解决。数据已经成为企业的核心资产,云原生上的数据安全因此至关重要。业务安全,不只是传统意义上的攻防对抗,还包括业务系统的可持续性,基础架构的可持续性,所以云原生安全还必须具备可观测性,也就是云原生上的资产、业务和应用的可持续性的管理问题。广义的云原生安全还包括运维,即DevSecOps,研发驱动的安全和运维,这是云原生安全的终极目标。但是目前探真会脚踏实地,先做好镜像安全和容器运行时安全。探真的产品可以分为南北向和东西向。南北向,指传统意义上的威胁对抗,即在生产环境下实时对抗威胁的能力,我们把它叫做容器运行时的安全能力。东西向,是企业DevOps流程的安全管理能力,也就是软件供应链的安全能力。容器运行时的安全,包括已知威胁检测和未知威胁检测。对未知威胁,就不得不提到刚才所说的偏移防御技术。偏移防御是利用容器的不可变性,来实现安全保障。偏移防御贯穿于容器的整个生命周期,从镜像构建开始,偏移防御就持续不断地扫描,基于行为画像进行偏移侦测,自动化地为每个应用创建明确的访问白名单和行为白名单, 如果发现容器运行存有白名单以外的恶意进程、异常网路链接、服务端口和对外访问,偏移防御技术就及时阻断这些未知威胁。另外,容器在运行时会产生相互之间的访问,需要像传统防火墙一样的技术去做隔离,否则容易发生容器逃逸、宿主机内核遭受攻击的风险。容器环境下的微隔离是基于进程的隔离,和传统的虚拟机环境下基于系统的隔离有较大区别。探真有一个优秀的微隔离产品,可以实现云原生网络中精准的东西向流量访问权限控制,让每个应用服务之间都有最合适的隔离策略。即将发布的产品新版本做到了4层微隔离,明年初我们会发布7层的微隔离产品对软件供应链安全问题,我们需要做到安全左移。运行时下的很多安全威胁,如果在开发阶段就把漏洞等潜在风险检测出来,获得的安全收益是指数级的增长。今天企业的业务基本都是软件定义,这种趋势把研发运维和安全拉到了一个流水线上。对此,我们提出一个重要理念,叫做“零摩擦”(Zero Friction ),其理念是减少安全和其他部门、其他需求的摩擦,让安全不再成为研发和业务的阻碍,而是用安全赋能研发和业务。从一开始的代码构建开始,就实现安全保障,提升研发的效率和产品迭代的能力。“零摩擦”不仅降低安全风险和安全运营成本,同时提升了运营效率和用户体验。对此,探真集成了多种漏洞威胁情报源,对容器镜像和镜像仓库的漏洞、病毒、木马、恶意插件、后门程序进行告警,在开发阶段就解决镜像安全问题。探真安全左移里还有一个重要能力,我们叫做可信镜像的分发体系。这里的关键是大并发的流水线管理,要能够支撑上万个镜像的大规模分布式扫描处理。探真是目前国内唯一具备支撑上万个镜像流水检测能力的公司,当下很多大型用户都需要这种能力。近期探真还发布了云原生的蜜罐防御体系,实现了云原生环境下的主动防御。蜜罐是一个被证明实际有效的机制,有很好的欺骗性和流量诱捕的作用。偏移防御和云原生的主动防御蜜罐,都是探真独有的能力,针对容器运行时状态下未知威胁的安全防护。
记者:当前对网络安全的监管、合规要求日益严格,用户该如何做好安全管理?张涛:安全永远是道高一尺,魔高一丈,安全对抗没有终极,永远都是在路上。作为安全人,应该考虑怎么去提升安全的效率和效益,提升安全的投入产出比。同时,我们还要考虑如何“治未病”,能够提前预防问题,也就是做好供应链管理。如果真的发生安全事件,要做到实时的检测和响应,快速止损,还要有溯源的能力。未来的安全可能把大部分工作交给机器、软件去完成,例如云上的弱配置、弱口令检测。真正的高级对抗还需要专家的参与。就合规来说,探真可以对云原生环境下的容器、主机、K8s定期进行合规性检查,支持多个安全合规基线检查项,提供检测报告与态势评分机制,帮助企业通过安全合规基线检查。
张涛:很多企业仍处于传统IT架构下,云原生安全可以形成一种独立的能力,去赋能传统架构,从而用云原生的架构去接管传统架构的安全。其次,云原生场景下安全会和其他领域融合,例如容器云的运维和安全有可能融合,即DevSecOps,将来可能连基础架构都会融合。应用上云已经是不可逆转的趋势,对这种高度敏捷、实时、有弹性有韧性的云原生场景,必须用云原生的架构来实现安全。探真目前围绕容器架构,打造各种云原生下的安全能力,未来还会去实现运维的可观测性,在云原生上接管安全和运维,做到真正意义上的DevSecOps。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com
还没有评论,来说两句吧...