IT 网络世界的安全攻防一直在发生。就在刚刚过去的 2022 年 2 月,NVIDIA 被黑客组织盗取了内部数据与信息,引发了安全行业广泛关注。而在 IT 基础设施和云计算领域,云原生因为对资源更加弹性与灵活地应用,激发了云底层资源的潜力,正在成为云计算最重要的趋势与方向,甚至被称为“云原生吞噬一切”。IDC 预测,到 2022 年,90% 的新企业应用程序将使用云原生应用程序开发流程、敏捷方法论和 API 驱动架构。
不过在 CSDN 近两年的《中国开发者调查报告》中,有 47%的受访者认为云原生缺乏熟练技术人才。在云原生技术栈快速发展,产生多个技术分支的同时,也将暴露更多新型安全风险和潜在的漏洞源。技术人才的缺乏,潜在风险的增加,使得云原生的安全,将成为安全与云计算两方都需重点研发与关注的领域。
在这样的背景下,CSDN 专访了云原生安全厂商探真科技研发副总裁李祥乾,从他与探真技术团队的实践中,窥得云原生安全的现状与趋势。
云原生安全:传统安全向云原生延伸 or 全栈内生安全?
探真科技技术团队由安全和云原生两部分技术背景的研发人员组成,在团队研发与实践的思考中,李祥乾认为,首先,传统架构下的安全威胁,如安全后门、逃逸漏洞,在云原生框架下依然存在。以容器镜像为例,Docker 在提供创建镜像快速搭建环境的同时,也产生了潜在的漏洞与风险,如镜像是否会被恶意植入后门,快速搭建的环境是否有完备的安全防御能力,不给攻击者留下可利用的漏洞等。再例如 k8s 对集群资源动态调度的运行态里,黑客利用漏洞或管理配置的疏漏,从容器环境中跳出,获得宿主机权限,即常见的逃逸漏洞。而且单个容器的逃逸漏洞,甚至会引发集群的被攻陷。
其次,传统安全方案已经不能解决云原生架构下的新问题。例如虚拟化、云原生下引入新的抽象和组件所产生的全新安全风险,微服务化后安全管理逻辑与以往对比的不同需求,即随时灵活生成的容器以及云原生架构下各层资源(服务、pod、容器等)的添加、删除、调度等动作,高度的灵活与及时性,使 IT 很难对资产实时盘点更新,这些被遗忘和弃用的容器更易被黑客利用与攻击。
不过,正如事物的正反两面一样,李祥乾同时也看到,云原生新架构的快速响应、灵活性,也正在为安全提供新可能性。比如在云原生架构中,蜜罐技术将变得更加灵活与隐蔽性。云原生蜜罐通过将包含漏洞和攻击可利用特征的容器隐藏在集群中,吸引攻击者的注意。
所以,在云原生安全技术研发和实践中,探真看到,云原生的安全,并不是传统安全策略向云原生领域的延伸发展,而是应在云原生各层架构中,形成灵活、系统、全栈内生的安全策略,即 DevSecOps,在整个云原生应用生命周期中,形成自动化高效率的安全内生机制。
AISecOps、零摩擦的云原生安全:安全与业务迭代平衡术
李祥乾进一步对 CSDN 分享了云原生安全与传统安全最大的差别,就是将 AISecOps 植根于云原生应用的整个生命周期之中,通过数据赋能,将安全能力自动嵌入 CI/CD 流程,帮助客户实现 DevSecOps。在云场景威胁日益复杂的环境下,帮助企业充分释放云原生优势,实现云上资产、应用、数据生命周期安全,护航企业数字化转型。更简单来说,就是智能化 DevSecOps,Sec 随着 DevOps 的迭代而不断迭代,最终实现 AISecOps。
而探真云原生解决方案,就是基于 Gartner 提出的自适应安全架构和信通院的 DevSecOps 成熟度通用模型,以 DevOps 流程为中心,覆盖云原生的整个开发、测试、运行过程,将安全防护能力嵌入到 DevOps 流程中的每个步骤中。探真产品设计核心与最小权限原则的零信任相同,将安全能力融入 DevOps 各关键阶段,在企业向 DevSecOps 转型,提供安全防护闭环。
探真科技云原生安全架构
李祥乾对 CSDN 强调了云原生安全的另一个准则是:安全在用户企业环境中的“零摩擦”。安全防护虽然长久以来一直存在,但绝不是不计成本地提高安全水准。在对抗的博弈中,探真的云原生安全希望做到安全与业务迭代的良好平衡,合理、持续地提升安全水位线,提升安全的同时,降低运营成本。
想要达到上面的目标并非易事,探真团队经历了很多技术挑战,李祥乾对 CSDN 分享了探真研发过程中的真实经历。在初期,探真的思路是在镜像构建时对其进行加固与学习,这是需要侵入客户的镜像构建流程中的,并不是零摩擦,同时也无法对存量的镜像进行学习与加固。探真在研发中,选择和争取到了到真实客户的研发场景中去,以驻场开发的模式,加速迭代开发速度,两周甚至一周就迭代一版,同时也提高了获取用户反馈的频率。在不停的验证技术思路后,现在的探真团队可以不再依赖镜像构建的侵入方式,而是透明化地对容器进行学习与加固,从而真正将产品打磨成为“零摩擦”的云原生安全方案。
现在,探真已经进入了互联网金融、电信、房地产、酒店、银行等行业头部客户云原生相关的安全防护领域中,并取得了良好的客户口碑。李祥乾看到,虽然不同行业云原生安全需求的重点与优先级各有侧重,但在底层架构层面,由于 Kubernetes、Docker 已经逐步成为事实标准,行业间的差异性趋同,云原生在架构层的安全防护技术与方案,可以相对更低的成本,复制到更多行业的用户中。他也表示,云原生安全与探真的产品路线图,都是从底层向应用层、自下而上逐步发展的过程,目前的重点是先做好云原生底层的安全防护。
在采访中,我们也能看到,云原生的安全是纵深、多层级的防护,现在仍处于初级阶段。也正因此,涌现出了探真科技这样的创新型云原生安全公司,而没有形成一两家厂商独大的局面。加入云原生的 CNCF 基金会后,探真在社区与其他厂商展开了更多的适配研发与合作,例如与 HARBOR 的认证与集成,与极狐 GitLab 的市场技术合作等等。
安全是技术界的一个永恒主题,在新的云原生架构下,选择“All in”专注投入云原生安全研发的探真科技,未来可期。
受访者简介:李祥乾,探真科技研发副总裁。毕业于南京大学,获计算机专业硕士学位。在探真科技领导整体产品研发,技术路线规划,完成技术突破。作为合伙人协助规划公司战略和中长期规划,参与公司运营决策。曾任字节跳动风控研发团队创始成员和API安全负责人,负责安全与风控体系的架构演进与落地,包括容灾体系与资源优化体系的建设。曾落地了端监控平台,全链路压测系统,反爬取产品和基于云原生的安全防火墙等产品。并在多次春节活动的反作弊对抗中发挥重要作用,止损业务活动累计经费高达8亿RMB。
探真科技公司简介:探真科技专注于提供全栈内生的云原生安全解决方案。探真方案植根于云原生应用的整个生命周期之中,通过人工智能赋能如:镜像安全,容器运行时异常检测,容器自动加固,智能微隔离,应用安全等安全能力,并将这些安全能力自动嵌入CI/CD流程,帮助客户实现DevSecOps。在云场景威胁日益复杂的环境下,帮助企业充分释放云原生优势,实现云上资产、应用、数据生命周期安全,护航企业数字化转型。