【安全不仅仅是合规驱动,更要为业务服务,赋能业务发展,做好主动防御】
作为新基建的重要组成部分,云计算已经成为很多企业进行数字化转型的重要推手,而云计算领域炙手可热的技术“云原生”,更是成了发挥云计算效能的最佳实践路径、打造数字经济发展新动能的重要保障。随着全行业上云逐步深化,云原生时代将成为云计算发展的必然阶段。据中国信息通信研究院统计,近年来,云原生产业一直保持着强劲的发展态势,年均增速已超过30%。
然而,在云原生市场迅猛发展的同时,云原生的安全问题也日益凸显。根据中国信息通信研究院在2020年发布的《中国云原生用户调查报告》:由于安全性问题, 61%以上的用户都对云原生架构存在顾虑。而且,企业传统的安全体系和运营思路根本无法应对云原生架构下的安全威胁。
走在运营商行业前列的中国移动通信集团浙江有限公司(简称“浙江移动”),不仅早就踏上了云原生之路,还以“实战化、体系化、常态化”为指导构建云安全防护体系,守护亿万用户安全。近日,中国移动浙江公司信息技术部安全部经理徐良与记者分享了他在容器安全防护方面的心得体会。
中国移动浙江公司信息技术部安全部经理 徐良
|容器化的喜与忧|
徐良告诉记者,自2014年开始,浙江移动就陆续展开了在云化、容器化、微服务化等领域的探索,一直走在集团的前列。
对于容器化的好处,徐良介绍,第一,相比虚拟机及传统环境,通过容器镜像,将应用程序及运行依赖环境配置进行封装,通过标准化的镜像封装及使用流程,消除环境差异,使得应用程序的开发和交付更加高效;第二,由于容器没有管理程序的额外开销,与底层共享操作系统,性能更加优良,系统负载更低,在同等条件下可以运行更多的应用实例,可以更充分地利用系统资源。
容器化也带来了一些安全挑战:
其一,以往系统漏洞检测一般采用网络扫描,通过问题IP定位到具体主机和应用系统。在应用容器化部署以后,由于容器资源的动态变化,增加了安全威胁检测、监控和保护的难度。
其二,传统软件架构下,应用之间通过物理机或虚拟机进行隔离,可以将安全事件的影响限制在可控的范围内。在容器环境下,多个服务实例共享操作系统,一个存在漏洞服务被攻陷,可能会导致运行在同主机上其他服务受到影响。
|选择技术实干型合作伙伴|
为做好重大活动安全保障,提升系统安全风险防范能力,浙江移动在集团公司的指导下,开展容器云安全试点,包括容器资产检测、容器镜像安全、容器边界安全管控、容器安全威胁监测等方面,经过多次技术交流和产品POC测试,选择了青藤蜂巢·云原生安全平台。
徐良表示,在国内安全市场上做容器安全的供应商数量相对较少,而青藤云安全在这方面做得是比较优秀的。让徐良印象颇深的是,“青藤云安全是一家偏技术型的公司,他们的创始人、合作人都很关注技术层面的问题,经常以实际案例和实际需求来沟通,非常关注产品的改进提升,而且行动很迅速。”
|让心里有底的积极防御|
“青藤蜂巢·云原生安全平台的效果非常明显。”徐良告诉记者,首先它有效提升了开源组件资产的识别和漏洞检测能力,通过系统层信息采集和分析,能够快速地完成资产和漏洞的核查,很好地解决了网络扫描器资产探测不全、误报漏报及耗时长的问题,效果非常明显。
第二是青藤蜂巢·云原生安全平台的威胁监测能力非常实用。网络安全威胁监测产品主要基于特征识别判断攻击行为,但对攻击尝试和攻击成功的区分能力存在不足,对0day或NDay漏洞的攻击行为无法及时有效监测。而青藤聚焦在系统层的威胁监测,关注系统层的入侵行为及影响,较网络层威胁监测具有更高的准确性和有效性。
“青藤云安全提供的web后门、提权、反弹监测分析能力,对防守方来说非常重要。” 徐良强调,没有攻不破的系统,关键是在系统被攻破后能快速发现、快速处置。
谈到对青藤云安全的评价,徐良总结了三点:第一是创新性很强,它找准了云原生安全的方向做技术研发和创新;第二是产品研发的效率很高、迭代很快,基本上每个季度都有更新;第三是服务好,青藤云安全能通过产品+服务的形式为客户提供支持,这是很难得的。
作为在安全领域从业近20年的资深IT人,徐良也谈了一些自己对安全的理解和看法。
他强调,安全不仅仅是合规驱动,更要为业务服务,赋能业务发展,做好主动防御。因此,安全要拥抱变化,安全能力建设和安全管理要跟上新技术、新业务的发展变化。另外,安全运营不只是合规管理、静态防护,而是要根据业务需要,建立智能、泛在、协同的积极安全防御体系,做好安全威胁检测、防护、监测、应急处置协同。在资源投入有限的情况下,首先要做好威胁监测和应急处置。
第二,国家对网络安全非常重视,极大地促进了安全行业的发展。作为安全能力供应商,不可能在每个领域、每样产品上都做得很精很深,即便是大厂也是如此,因此要发挥各自的长处,形成协同机制,建立良好的行业生态很重要。(计算机世界 刘沙)