专访 | 安全为基，奔赴云原生的星辰大海——探真科技CEO张涛谈云原生安全 - 新鲜讯息

扫码订阅《中国信息安全》杂志

邮发代号 2-786

征订热线：010-82341063

探真科技CEO 张涛

数字时代，万物皆可云。从IT基础设施的虚拟化，到近些年火热的云原生（Cloud Native），企业开始把应用放在云中，让云计算的能力发挥到了一个新的阶段。

容器（Docker）、微服务、服务网格、开发运维一体化（DevOps）、持续集成/持续交付（CI/CD）......这些云原生的要素，让应用在架构设计、开发方式、部署维护等环节都利用云计算的特性，充分发挥云计算的弹性和分布式优势，以此让企业的业务更加敏捷灵活，且易于更新和维护。

可以说，云原生专为云而设计，让云计算的优势能力得到最大发挥。那么，云原生有哪些主要特点？云原生的安全该怎么做？其主要防护对象是哪些？适合在哪些场景落地？带着这些问题，我刊专访了主打云原生安全的探真科技，请CEO张涛告诉我们，在云原生时代，如何做好云原生这个全新架构的安全保障。

从云计算到云原生

记者：云计算当前发展到了一个什么样的阶段？呈现出哪些主要特点？

张涛：2006年，Google首次提出“云计算”概念，国内大约在2011年左右也开始跟进。2012年，容器技术开始出现，让软件在云中可以“开箱即用”。今天，云计算技术进入到2.0阶段，在向云管边端4个方向发展。

云计算1.0的特点是虚拟化、虚机化，以亚马逊的AWS（Amazon Web Services）为代表，以虚拟机、Openstack为技术标准，解决的是企业的信息化问题，让算力、存储、网络成为企业可以按需取用的“自来水”。

云计算的2.0阶段是云原生，云原生架构会成为未来5到10年的主流方向。云原生是围绕容器、Kubernetes等技术框架为底层的新一代架构，特点是容器化和无服务（Serverless）化。

记者：云原生给我们带来了哪些好处？

张涛：云原生解决的是企业数字化的问题，它通过海量的微服务和应用编程接口（API），将网络能力、服务治理能力、服务发现能力、管理和运维能力、安全能力，通过服务网格进行封装，以承载应用的现代化，让企业的应用和业务代码，可以像“自来水”一样的去使用，以释放更丰富的生产力。

云原生可以快速生成产品，触达用户，根据用户的反馈，快速响应，再生成新的符合用户需求的产品，这是云原生DevOps机制带来的产品快速迭代，是一个流程的变革，充分体现了数字化时代的“敏捷”特性，既让企业提升效率，又能快速提升各种用户体验。

此外，因为云原生分布式系统的特性，让服务对象和服务能力更加颗粒化，能够做更精准、更高效的服务匹配，从而满足每一个服务对象的个性化需求。

从云安全到云原生安全

记者：和云安全相比，云原生安全出现了哪些变化？主要特点是什么？

张涛：上一代云架构下的安全和传统的网络安全类似，首先关注基础架构安全，即基于边界的安全，再进一步是应用安全，然后是API和数据安全，最后是企业的业务安全。

传统架构下，基于边界，加上网络侧、端点侧、主机侧综合而成的纵深防御安全，这是当前最成熟的市场。更进一步的应用安全和数据安全，在传统IT架构或云的虚机架构下，其安全能力无法充分释放。这里存在一个机制上的悖论，当提升安全性能时，就会增加管理的复杂性、流程的复杂性，甚至让检测和响应的效率更低，也就是安全风险的误报和漏报更高。

云原生安全，首先也会有围绕基础架构的安全，但不会去基于物理硬件或者虚机的方式去做安全。云原生是一个第三方漂移的技术架构，围绕Kubernetes、集群、容器等，对云原生这个新的基础架构，需要一个全新的安全机制。

对安全来讲，云原生也有一个红利——不可变性。不可变基础架构是云原生的一个重要特性。例如，云原生环境下每个服务可能有多个容器来负载，但这些容器的部署、更新都是由一个镜像来完成，这就保证了基础架构的一致性和可靠性，以及更简单、可预测的部署过程。通过云原生去做应用安全和数据安全，由于其不可变性的特点，可以让安全检测和响应机制更加有效，降低误报率和漏报率。其次，由于云原生是一个完整的可编排调度的机制，有统一的数据源、统一的数据架构，所以能够更好地实现安全的闭环管理。

所以，由于管理对象的容器化、颗粒化，生命周期的不可变性，云原生安全能够更精准的识别风险，更好地建立行为白名单机制，提升安全的性效比，这是云原生和传统架构下云安全的主要区别。

记者：云原生安全的主要防护对象是什么？

张涛：主要的防护对象是容器。但云原生安全包括两个概念，首先是用云原生的架构所提供的安全能力，服务于云原生架构下的容器、微服务、API等场景，去实现这些云原生场景的安全，这也是目前创业公司的主要聚焦方向。到明年，当Serverless云服务模型发展起来，有更多的用户使用Serverless架构时，探真会及时跟进，实现Serverless架构的安全。

另外，传统的安全能力中台，也可以用容器、K8s等去改造成为一个云原生的架构，接管传统架构下的流量，做数据的关联分析、专家规则库、异常威胁检测等，去服务传统IT架构和云架构的安全问题。

记者：云原生安全面对主要的风险有哪些？呈现出哪些新的特点？

张涛：云原生的新特性，不仅带来了便捷、高效，也相应地带来了很多新的安全隐患。传统的木马、蠕虫、病毒、漏洞、webshell等这些威胁，在云原生下同样会有，只是攻击的场景、对象产生了变化。这个变化既有攻击能力的挑战，还由于云原生容器的敏捷性、漂移性，会产生更为严重的后果。

首先，因为容器的弱隔离性，很容易产生容器逃逸，因为容器虚拟了整个的底层内核，一旦被攻破，攻击者可以很快拿到承载这个容器的主机的根权限，结果就出现我们熟悉的横向越权和纵向提权。

第二，传统IT在测试、研发、运维之间有隔离墙，而企业要做到敏捷，就要打破这个隔离墙，云原生的机制是DevOps，开发运维一体化的自动化流水线，研发人员在开源社区拉取开源镜像，还有第三方合作伙伴提供的镜像，来构建自己的镜像。但据第三方数据统计，超过30%的 Docker Hub官方镜像存在高危漏洞，超过18%的GitHub开源项目包含恶意代码，这些风险会通过开发侧渗透到生产侧和运维侧，造成软件的供应链安全问题。

第三，云原生下都是微服务和API，如果一个微服务被攻陷，产生的风险很容易传染给基于API连接的其他众多微服务，造成更严重的后果。

总结来看，容器逃逸更容易导致攻击者获取根权限的高危风险。传统的安全威胁，由于云原生的DevOps机制，加快了传播速度；微服务的发展是基于 API，一旦被攻陷产生的风险影响半径更大。

记者：云原生安全当前是一个什么样的态势？哪些企业在用云原生安全？

张涛：由于容器是一个较新的技术，在实际攻防中，针对容器场景的攻击还不是特别突出，但今年国家级的实网攻防演练，已经加入了针对容器的得分项。

在用户层面，云原生还是一个早期市场，用户正在把一些关键业务和数字资产逐步迁移到容器上，未来3到5年后，容器会成为企业主要IT资产和业务的载体。同时，云原生架构对企业的IT成熟度，对团队的能力有很高的要求。当前率先拥抱云原生的用户，首先是IT技术成熟度较高的公司，如金融行业。其次是关键信息基础设施，如能源、通信等这些IT投入大的行业。另外，一些新兴的面向未来的产业，例如芯片、机器人、创新药、智能制造、车联网等，也在使用云原生。所以，受技术驱动和场景驱动，更需要敏态业务的企业，会全力拥抱云原生架构。

这些企业也是云原生安全的用户。云原生上承载的业务越多，瞄准云原生的攻击者和威胁就会越多，但多数云原生还是一个近乎“裸奔”的场景，需要行业共同去呼吁去努力，让企业认识到云原生是一个高风险场景，要大力加强对云原生场景的安全防护。

记者：现在一些新的安全理念和架构，如EDR、SASE，和云原生安全之间有什么关系？彼此能相互结合吗？

张涛：EDR的定义是终端安全响应，最早是端点侧威胁的检测和响应，随着网络体系的发展，EDR的端点扩展成了广义的端点，在网络侧有传统的IDS/IPS的检测和响应，在主机侧有HIDS。在云原生环境下，EDR的检测和响应能力会成为云原生安全的重要补充，这也是安全公司应该具备的核心能力。

SASE的定义是安全方位服务边缘。随着物联网和终端类型的发展，今天有很多边缘侧、端点侧分布式的云。这些远端点的业务，例如无人巡检、无人驾驶、工厂的自动化生产，对实时性和容错的要求特别高，这种情况下，远端点更应该容器化和Serverless化，以满足敏捷、韧性和弹性。真正的SASE是远端点的管控接入服务治理，远端点通过容器化和微服务化的机制，既能释放算力，实现接入和业务，还能实现安全认证和服务代理，SASE在云原生的架构下才能产生真正的生产力和效率。

所以，云原生安全的终极有两个服务能力，一个是围绕中心侧云原生架构下的云原生场景的安全，另外一个是边缘侧的SASE的安全，它们共同形成了一个大的云原生安全接入的概念。

选择云原生，领跑云原生安全

记者：您为什么选择云原生这个赛道？

张涛：之所以选择云原生安全，是因为我认为云原生是一次架构的变革，也是一次安全场景的变革，云原生不仅具有一个星辰大海般的广阔未来，也是一次技术赶超的难得机遇。

作为一个做过很多国内第一代安全产品的老网安人，我见证了国内这些年安全产业的发展。过去在传统架构下做安全，企业各自为战，内卷现象严重，目前网络安全市场可以说处于一个叫好不叫座的局面，安全厂商的实际盈利指标较弱。

面对这种形势，一个成熟的创业者要有终局思维，就是以终为始，思考为什么要创业？客观的说，和国外的技术能力相比，国内还有很大的差距。在技术创新上，国内也一直是亦步亦趋的跟随态势。

但今天云原生的开源共享机制，让我们可以站在巨人的肩膀上去做特定场景下的应用安全。在云原生上，我们可能比国外晚一点，但差距不大，有可能借着开源浪潮实现弯道超车。和国内外的云原生安全创业者相比，探真在一些领域保持着同步的领先。例如，云原生安全有一个创新产品叫偏移防御，以色列的Aqua 公司第一个发布，探真是全世界第二家发布偏移防御产品的公司。

探真还有着一支优秀的团队。To B市场周期很长，要求团队不能有短板，和大厂巨头相比，创业公司必须有自己的“金刚钻”。探真的团队里既有擅长云原生技术，面向多架构多能力跨界的研发团队，也有熟悉To B市场的IT“老司机”，充分了解用户需求，了解产品和市场成熟的周期，做好资源的匹配。这样的组合，让探真从产品到市场到销售都将短板敞口收敛到最小，在云原生安全市场中，成为一个有力的竞争者。

记者：探真科技的发展路径是如何规划的？产品技术有哪些优势和特点？

张涛：探真先从容器安全着手（包括镜像安全、容器的运行时安全），开始进入云原生安全的赛道。但在云原生广阔的发展周期里，除了容器安全以外，我们还需要关注应用安全、数据安全和终极的业务安全。

应用安全，是由于云原生服务网格化，会产生传统WAF等应用安全解决不了的问题，需用云原生架构才能去解决。数据已经成为企业的核心资产，云原生上的数据安全因此至关重要。业务安全，不只是传统意义上的攻防对抗，还包括业务系统的可持续性，基础架构的可持续性，所以云原生安全还必须具备可观测性，也就是云原生上的资产、业务和应用的可持续性的管理问题。

广义的云原生安全还包括运维，即DevSecOps，研发驱动的安全和运维，这是云原生安全的终极目标。但是目前探真会脚踏实地，先做好镜像安全和容器运行时安全。

探真的产品可以分为南北向和东西向。南北向，指传统意义上的威胁对抗，即在生产环境下实时对抗威胁的能力，我们把它叫做容器运行时的安全能力。东西向，是企业DevOps流程的安全管理能力，也就是软件供应链的安全能力。

容器运行时的安全，包括已知威胁检测和未知威胁检测。对未知威胁，就不得不提到刚才所说的偏移防御技术。偏移防御是利用容器的不可变性，来实现安全保障。偏移防御贯穿于容器的整个生命周期，从镜像构建开始，偏移防御就持续不断地扫描，基于行为画像进行偏移侦测，自动化地为每个应用创建明确的访问白名单和行为白名单, 如果发现容器运行存有白名单以外的恶意进程、异常网路链接、服务端口和对外访问，偏移防御技术就及时阻断这些未知威胁。

另外，容器在运行时会产生相互之间的访问，需要像传统防火墙一样的技术去做隔离，否则容易发生容器逃逸、宿主机内核遭受攻击的风险。容器环境下的微隔离是基于进程的隔离，和传统的虚拟机环境下基于系统的隔离有较大区别。探真有一个优秀的微隔离产品，可以实现云原生网络中精准的东西向流量访问权限控制，让每个应用服务之间都有最合适的隔离策略。即将发布的产品新版本做到了4层微隔离，明年初我们会发布7层的微隔离产品

对软件供应链安全问题，我们需要做到安全左移。运行时下的很多安全威胁，如果在开发阶段就把漏洞等潜在风险检测出来，获得的安全收益是指数级的增长。今天企业的业务基本都是软件定义，这种趋势把研发运维和安全拉到了一个流水线上。对此，我们提出一个重要理念，叫做“零摩擦”（Zero Friction ），其理念是减少安全和其他部门、其他需求的摩擦，让安全不再成为研发和业务的阻碍，而是用安全赋能研发和业务。从一开始的代码构建开始，就实现安全保障，提升研发的效率和产品迭代的能力。“零摩擦”不仅降低安全风险和安全运营成本，同时提升了运营效率和用户体验。对此，探真集成了多种漏洞威胁情报源，对容器镜像和镜像仓库的漏洞、病毒、木马、恶意插件、后门程序进行告警，在开发阶段就解决镜像安全问题。

探真安全左移里还有一个重要能力，我们叫做可信镜像的分发体系。这里的关键是大并发的流水线管理，要能够支撑上万个镜像的大规模分布式扫描处理。探真是目前国内唯一具备支撑上万个镜像流水检测能力的公司，当下很多大型用户都需要这种能力。

近期探真还发布了云原生的蜜罐防御体系，实现了云原生环境下的主动防御。蜜罐是一个被证明实际有效的机制，有很好的欺骗性和流量诱捕的作用。偏移防御和云原生的主动防御蜜罐，都是探真独有的能力，针对容器运行时状态下未知威胁的安全防护。

记者：当前对网络安全的监管、合规要求日益严格，用户该如何做好安全管理？

张涛：安全永远是道高一尺，魔高一丈，安全对抗没有终极，永远都是在路上。作为安全人，应该考虑怎么去提升安全的效率和效益，提升安全的投入产出比。

同时，我们还要考虑如何“治未病”，能够提前预防问题，也就是做好供应链管理。如果真的发生安全事件，要做到实时的检测和响应，快速止损，还要有溯源的能力。未来的安全可能把大部分工作交给机器、软件去完成，例如云上的弱配置、弱口令检测。真正的高级对抗还需要专家的参与。

就合规来说，探真可以对云原生环境下的容器、主机、K8s定期进行合规性检查，支持多个安全合规基线检查项，提供检测报告与态势评分机制，帮助企业通过安全合规基线检查。

记者：未来云原生安全的发展趋势是什么？

张涛：很多企业仍处于传统IT架构下，云原生安全可以形成一种独立的能力，去赋能传统架构，从而用云原生的架构去接管传统架构的安全。其次，云原生场景下安全会和其他领域融合，例如容器云的运维和安全有可能融合，即DevSecOps，将来可能连基础架构都会融合。

应用上云已经是不可逆转的趋势，对这种高度敏捷、实时、有弹性有韧性的云原生场景，必须用云原生的架构来实现安全。探真目前围绕容器架构，打造各种云原生下的安全能力，未来还会去实现运维的可观测性，在云原生上接管安全和运维，做到真正意义上的DevSecOps。

《中国信息安全》杂志倾情推出

“企业成长计划”

点击下图了解详情