【安全洞察·大咖说】老虎集团张杰：混合云打破合规阻碍，为金融出海保驾护航

2024年是网络强国战略提出10周年，也是完成“十四五”规划目标任务的关键年。为积极发挥行业示范引领作用，助力各行业用户提升安全防护策略，光明网网络安全频道携手中国信息通信研究院云计算与大数据研究所、《信息安全研究》杂志社，在浙江大学网络空间安全学院、《中国金融电脑》杂志社、青藤云安全等单位支持下，联合推出《安全洞察·大咖说》系列访谈活动，老虎国际安全总监张杰接受记者专访。

张杰：伴随新技术的不断演进及网络安全环境日益复杂，为应对新技术应用带来的安全风险与挑战，我们也在联合青藤等优秀的安全生态伙伴，在内网安全、攻击链路可视化、自动化安全运营等方向探索更加先进、有效的防护策略。

　　在内网安全方面，我们在每台服务器上都安装了万相安全感知系统的agent，通过实时监测，可以及时发现成功入侵到内网的可疑行为。通过网络网格化管理，不同网格间配置ACL隔离策略，大大缓解了黑客内网横向移动渗透的风险。

在攻击链路可视化方面，我们基于青藤agent的覆盖优势，通过其对流量或网络连接数据做采集分析，实现网络通信和攻击链路可视化，最终实现以上帝视角观察内网黑客攻击路径，使内网攻击看得见摸得着。

在安全运营方面，虽然我们建设了很多安全系统，但是这些系统需要配置各种合理的安全规则和策略才能发挥最大的功效，另外每个系统都会产生大量告警，对告警的深入分析和优化降低误报，也是需要消耗大量人力且要长期去做的工作，当然我们也在探索更加先进的、智能的、自动化的安全运营平台，以减少日常运营工作的人力开销。换个角度来讲，安全系统本身也不是100%可信的，不能完全相信系统的结果，同样需要投入人工定期的去review核对各种资产、配置、风险，确保安全控制无死角无遗漏且有效高效。

张杰：这两年我们公司的产品技术架构正在大步向云原生容器化方向演进，而云原生安全和传统安全在工具和技术上都有很大差异，这一度造成了我们安全建设的困难和空白。通过与青藤的共同努力，我们结合复杂多变的业务环境及合规要求，建立了一套覆盖云原生整个生命周期的云原生安全平台。以下几个方面我觉得也是云原生环境中需要重点关注的核心要素。

一是通过与CI、CD工具联动，当业务将代码发布到镜像仓库时自动触发平台的安全扫描，上线前第一时间发现安全漏洞和镜像风险，并提供阻断高风险发布的能力。

二是通过平台的镜像仓库扫描插件，每周对所有镜像仓库中的增量镜像自动开展安全扫描，及时发现不安全的高风险镜像，我们的安全中心系统与其联动会自动触发OA工单将发现的漏洞推送给研发和运维及时处理。

三是通过平台的基线扫描能力，我们实现了对所有容器和kubernetes的安全配置与CIS标准进行对比检查，及时发现配置上的安全缺陷，有效提升K8S集群的安全免疫力和合规能力。

四是通过平台的资产清点功能，可查看所有镜像里的进程、端口、账号、软件和开源工具等资产信息，这大大提升了我们对高风险资产的发现能力，能够高效快速的响应最新的重大漏洞，例如log4j漏洞事件。

五是通过平台的运行时安全监测，我们更是可以实时发现每个容器里面的异常进程、异常命令等黑客操作，使K8S环境中的入侵行为无所遁形，也能够快速帮助我们确定攻击事件影响范围，及时做出响应封禁隔离沦陷的容器。