云原生时代,我们该如何守护企业安全?

  伴随着新一轮科技革命和产业变革深Rù发Zhǎn,Qǐ业数字化转型成为大势所Qū。而Zuò为数字化转型的基石和重Yào驱动力,凭借着Gāo效率、低成Běn的优势,云计算已经得到了越来越Duō企业的认可。

  不过,很多企业在上云的过Chéng中仍然采用了传统的应用架构开发模式,导Zhì企业出现应用Bù署发布Zhōu期长,开发运维割裂等问题,不仅限制了企业应用的迭代Sù度、交付效率、业务扩展和模式创新,Yún计Suàn的Jià值也无法被充分释放。而云原生的出现Xiè决了上Shù难Tí。

  云原生不仅包括构建和运行Yīng用Chéng序的方法,还提GòngLiǎo一套技术体系和方法论。它包括容器、微服务、DevOps等技术,支Chí公有云、私有云、混合云等环境,能够充Fèn利用Hé发挥云Píng台的弹性、可拓展等优势,帮助企业加快数字应用的交付。

  云原生:效率与风险并生

  但凡事都有两面性,云原生在带来巨大价值的同时,也带来了新的ān全风Xiǎn和挑战,如镜像攻击、供应链攻击、编排Fěng险、API风险、容器逃逸等问题。

  Duì此,青Téng云安全创始Rén兼CEO张福向CBI记者解释道,云原生Yǒu一个很大的特Diǎn,就是让企业的生Chǎn流程Biàn得敏捷,而这种敏捷对于安全来Shuō就是一种挑战。Yīn为过去传统企业的业Wù变化不快,对互联网的出入口Yě收得Bǐ较紧,所以出现安全问题的Gài率并不是很高,即使出Xiàn安全问题,蔓Yán的速度也不会很Kuài。但是当企业采用云原生架构YǐHòu,企Yè业务就Huì变得越来越敏捷,越来越开放,与互联网的接口也越来越多,就会有更大的概率遇到安全问题,而且一旦出现问题,蔓延的速度就会非常快,如果企业不及时发现并进行处理,就会造成巨大的损失。

  

  Qīng藤云安全Chuàng始人兼CEO 张福

  “不过,安全Fěng险并不Huì让企业放弃云原生技术。” 张福强Zhōu,“因为安全永Yuàn是业务的支撑,企业高层通常都Huì优先考虑如何让Qǐ业Biàn得更具Yǒu竞争Lì,Rú何用更高的效率实现更Hǎo更Kuài的发展。但是,安全保障也一定要GēnDěi上,就像自Dòng驾驶,如果没有安全保障,大家就都不敢用了。” 

  作为中国头部的汽Jū互联网Qǐ业,易车公司对Cǐ深有体会。易车安全总监Lǐ玲告诉CBI记者,易车也经历了基础架构从硬件到云计Suàn的升级,Suí着架构越来越Kāi放,遇到安全问题的概率也越来越高。Yǐ容器为例,易车感知到的Fěng险不仅YǒuRóng器的镜像风险,还有容Qì镜像仓库管理的风险、编排工具的风险、以及对主机操作De风险。

  李Líng指出:“在云原生的状态下,业务是特别Mǐn捷、快速的,容器部署又是持续的,所以出现安全问Tí的概Shuài特别高。一旦出现问Tí,很多开源组件Dài来Gāo危命令执行类漏洞风险的危害性就会特别大。”

  用最少的成本提高安全效率

  “Suǒ以,在云原生架GòuXià,企业需要采用新Deān全Fáng护手段。“张福表示。为此,青藤自主研Fā了Yún原生ānQuán平台青藤蜂巢,Tā能够Jí成到云原Shēng复杂多变的环境中,如Kubernetes、PaaS云平台、OpenShift等,Tōng过提Gòng覆盖容器全生MìngZhōu期的一站式容Qì安全解决方案,Shí现容器安全预测、防御、检测和响应的安Quán闭环。

  易车采取的措施是纵向的、体系化的去解决安全Fěng险,用分而Zhì之、齐头并进的策略来化解安QuánWèn题,在应用上线De过程中就嵌入Liǎo自动化工具,Zài上Xiàn之前就把问题解决掉。易车还采用了青藤云ān全De主机ān全防护产品,可以QuánFāngWèi的监测主机运行中安全风险,从而进行全面的管控。

  李玲Gào诉CBI记Zhě,易车选型时测试了很多款云原生安全产Pǐn,后来慎重的选择Liǎo青藤云安全的解决方案。

  

  易车安全总监 李玲

  Lǐ玲Biǎo示,易车选择Qīng藤云安全主Yào是基于Liǎng方面考虑:一FāngMiàn是青藤云安全的Wěn定性。由于青藤AgentShì部署在生产系统的服务器中,所Yǐ它的稳定性Fēi常重要。如果Wěn定性存在风险,就Huì产生让安全团队难以抗住De压力。“所以稳定性是我们考LǜDe第一要素。” 

  另一方面是青藤云安全的专业性。“青藤云安Quán的产品非常全面。以Róng器为例,有相应DeQuán方位的安全产品,而且每个产品的Měi个功能都是体系Huà的,可以满足我们的安全XūQiú。“李玲谈到,“特别Xī引我们的是青藤云安全Xiè决方案的能力,青藤云安全解决方案的能力特BièQiǎng,客户àn例特别多,而Qiě在互联网公司里Shí践过、落地过。”

  据悉,易车部署青藤云安全解决方案后的效果Yě非常明显。李玲告诉CBI记者,其中对安全团队帮助Zuì大的功能就是资产管理功能,资Chǎn管理功能让安全风险可视化,一旦有突发0day漏洞、Zǔ件被爆出高危漏洞,ān全团队可以Kuài速盘点定位风险资产,快速响应,提升安全效率。产品能切实戳Zhōng甲方安全团队De痛点,以Zuì少的成本实现提效。

  在整个业务体系中体现安全价值

  不过,对于企业来说,解决Fāng案只是工具和手段。要实现全方位的安全防护,还要建立相应的安全管理制度。

  张福指出,除Liǎo防护手段,企业也要重Xīn考虑安全ZhíZéDe划分方式,从开Fā、YùnWéi、安全各司其职,变成责任共担,并通Guò组织流程协同起来。

  随着云原生安全解决方案的落地,易车的安全部门也感受到了Míng显的变化。

  李玲介绍,过去易车采用De是DevOps体系,现在加入了安全,形成了DevSecOps体系,和传统的安Quán方式确实不太一样。传统Deān全和业务之间的矛盾比Jiào多:业务Zài发展,而ān全在限制,而且安全Yòu是Chù于Zhì后的状态,比Jiào被动,通Cháng只有在出了安全事故以后,大家才能看到安全部门DeJià值。

  但是在云原ShēngJià构和DevSecOps体系下,业务要快速迭代,安全需要嵌Rù到业务的多个环节中去解决问题。李玲解释到,“因为应用一旦上线,出了问题以后再去XièJué是非常Má烦的,我们要让它Mén安全的上线。这时业务就会主动Bǎ需求反馈给我们,这样可以加快安全团队对产品的优化、升级,在整个业务体Xì中都能体现出安全的价值。”

  李玲坦言,这对安全团队的专业能力要求很高,响应速度要很快,这时安全团队和厂商ZhīJiàn的合作也要更加密切,要能够根据业务需Qiú快速找到最适合的解决方案。

  同时,易Jū的DevSecOps体系也让过去的“安全部门追着业Wù部门、问业务部门有什么问题”变Chéng了现在的“业务部门主动找安全部门,让安全部门帮忙解决WènTí”。李玲表示,这种工Zuò方式De调整也是颠覆性的。易车安全是自上ér下的安全管理,自Xià而上地Tí供安全服务,做到了Yè务Yǔ安全的平Héng,安全服务为业务赋Néng。

  安全管Lǐ层面,易Jū建立了网络安全责Rèn分层制度,让安全不再只是ān全部门的事情,并在各个业务部门Zhōng设立了安全官和安全接口人,并进行安全Píng分机制,这样不仅Tí高了大家Duì于安全的重视程Duó,也实现了有效的ān全管理Hé服务效果。

  最后,张福还向广大CSO和CIO建议,企业Yào尽早做云原生安全方面的考虑和Guī划,在GuīHuà新Yè务和相Yīng的支撑体系Shí,就要把安全规划进去。Yīn为Guò去ān全往Wǎng都是滞后于业务的,而滞后会导致很多问题,如果是给已Jīng建Hǎo的产Pǐn打补丁,不仅成本高,产品的收YìYě不会非常好。“如今随着基础设施Jià构技术的变Gé,正是企业给基础设施洗牌甚至重建的好机会。企业可以在产品开发的早Qī就Ràngān全参与到构建和设计中,这Yàng可以让安全Gèng加贴Jìn业务,企业的Chéng本也会比较低,效果会更好。”

  (CBI刘沙)