【安全不僅僅是合規(guī)驅(qū)動,更要為業(yè)務(wù)服務(wù),賦能業(yè)務(wù)發(fā)展,做好主動防御】
作為新基建的重要組成部分,云計算已經(jīng)成為很多企業(yè)進行數(shù)字化轉(zhuǎn)型的重要推手,而云計算領(lǐng)域炙手可熱的技術(shù)“云原生”,更是成了發(fā)揮云計算效能的最佳實踐路徑、打造數(shù)字經(jīng)濟發(fā)展新動能的重要保障。隨著全行業(yè)上云逐步深化,云原生時代將成為云計算發(fā)展的必然階段。據(jù)中國信息通信研究院統(tǒng)計,近年來,云原生產(chǎn)業(yè)一直保持著強勁的發(fā)展態(tài)勢,年均增速已超過30%。
然而,在云原生市場迅猛發(fā)展的同時,云原生的安全問題也日益凸顯。根據(jù)中國信息通信研究院在2020年發(fā)布的《中國云原生用戶調(diào)查報告》:由于安全性問題, 61%以上的用戶都對云原生架構(gòu)存在顧慮。而且,企業(yè)傳統(tǒng)的安全體系和運營思路根本無法應(yīng)對云原生架構(gòu)下的安全威脅。
走在運營商行業(yè)前列的中國移動通信集團浙江有限公司(簡稱“浙江移動”),不僅早就踏上了云原生之路,還以“實戰(zhàn)化、體系化、常態(tài)化”為指導(dǎo)構(gòu)建云安全防護體系,守護億萬用戶安全。近日,中國移動浙江公司信息技術(shù)部安全部經(jīng)理徐良與記者分享了他在容器安全防護方面的心得體會。
中國移動浙江公司信息技術(shù)部安全部經(jīng)理 徐良
|容器化的喜與憂|
徐良告訴記者,自2014年開始,浙江移動就陸續(xù)展開了在云化、容器化、微服務(wù)化等領(lǐng)域的探索,一直走在集團的前列。
對于容器化的好處,徐良介紹,第一,相比虛擬機及傳統(tǒng)環(huán)境,通過容器鏡像,將應(yīng)用程序及運行依賴環(huán)境配置進行封裝,通過標(biāo)準(zhǔn)化的鏡像封裝及使用流程,消除環(huán)境差異,使得應(yīng)用程序的開發(fā)和交付更加高效;第二,由于容器沒有管理程序的額外開銷,與底層共享操作系統(tǒng),性能更加優(yōu)良,系統(tǒng)負載更低,在同等條件下可以運行更多的應(yīng)用實例,可以更充分地利用系統(tǒng)資源。
容器化也帶來了一些安全挑戰(zhàn):
其一,以往系統(tǒng)漏洞檢測一般采用網(wǎng)絡(luò)掃描,通過問題IP定位到具體主機和應(yīng)用系統(tǒng)。在應(yīng)用容器化部署以后,由于容器資源的動態(tài)變化,增加了安全威脅檢測、監(jiān)控和保護的難度。
其二,傳統(tǒng)軟件架構(gòu)下,應(yīng)用之間通過物理機或虛擬機進行隔離,可以將安全事件的影響限制在可控的范圍內(nèi)。在容器環(huán)境下,多個服務(wù)實例共享操作系統(tǒng),一個存在漏洞服務(wù)被攻陷,可能會導(dǎo)致運行在同主機上其他服務(wù)受到影響。
|選擇技術(shù)實干型合作伙伴|
為做好重大活動安全保障,提升系統(tǒng)安全風(fēng)險防范能力,浙江移動在集團公司的指導(dǎo)下,開展容器云安全試點,包括容器資產(chǎn)檢測、容器鏡像安全、容器邊界安全管控、容器安全威脅監(jiān)測等方面,經(jīng)過多次技術(shù)交流和產(chǎn)品POC測試,選擇了青藤蜂巢·云原生安全平臺。
徐良表示,在國內(nèi)安全市場上做容器安全的供應(yīng)商數(shù)量相對較少,而青藤云安全在這方面做得是比較優(yōu)秀的。讓徐良印象頗深的是,“青藤云安全是一家偏技術(shù)型的公司,他們的創(chuàng)始人、合作人都很關(guān)注技術(shù)層面的問題,經(jīng)常以實際案例和實際需求來溝通,非常關(guān)注產(chǎn)品的改進提升,而且行動很迅速。”
|讓心里有底的積極防御|
“青藤蜂巢·云原生安全平臺的效果非常明顯。”徐良告訴記者,首先它有效提升了開源組件資產(chǎn)的識別和漏洞檢測能力,通過系統(tǒng)層信息采集和分析,能夠快速地完成資產(chǎn)和漏洞的核查,很好地解決了網(wǎng)絡(luò)掃描器資產(chǎn)探測不全、誤報漏報及耗時長的問題,效果非常明顯。
第二是青藤蜂巢·云原生安全平臺的威脅監(jiān)測能力非常實用。網(wǎng)絡(luò)安全威脅監(jiān)測產(chǎn)品主要基于特征識別判斷攻擊行為,但對攻擊嘗試和攻擊成功的區(qū)分能力存在不足,對0day或NDay漏洞的攻擊行為無法及時有效監(jiān)測。而青藤聚焦在系統(tǒng)層的威脅監(jiān)測,關(guān)注系統(tǒng)層的入侵行為及影響,較網(wǎng)絡(luò)層威脅監(jiān)測具有更高的準(zhǔn)確性和有效性。
“青藤云安全提供的web后門、提權(quán)、反彈監(jiān)測分析能力,對防守方來說非常重要。” 徐良強調(diào),沒有攻不破的系統(tǒng),關(guān)鍵是在系統(tǒng)被攻破后能快速發(fā)現(xiàn)、快速處置。
談到對青藤云安全的評價,徐良總結(jié)了三點:第一是創(chuàng)新性很強,它找準(zhǔn)了云原生安全的方向做技術(shù)研發(fā)和創(chuàng)新;第二是產(chǎn)品研發(fā)的效率很高、迭代很快,基本上每個季度都有更新;第三是服務(wù)好,青藤云安全能通過產(chǎn)品+服務(wù)的形式為客戶提供支持,這是很難得的。
作為在安全領(lǐng)域從業(yè)近20年的資深I(lǐng)T人,徐良也談了一些自己對安全的理解和看法。
他強調(diào),安全不僅僅是合規(guī)驅(qū)動,更要為業(yè)務(wù)服務(wù),賦能業(yè)務(wù)發(fā)展,做好主動防御。因此,安全要擁抱變化,安全能力建設(shè)和安全管理要跟上新技術(shù)、新業(yè)務(wù)的發(fā)展變化。另外,安全運營不只是合規(guī)管理、靜態(tài)防護,而是要根據(jù)業(yè)務(wù)需要,建立智能、泛在、協(xié)同的積極安全防御體系,做好安全威脅檢測、防護、監(jiān)測、應(yīng)急處置協(xié)同。在資源投入有限的情況下,首先要做好威脅監(jiān)測和應(yīng)急處置。
第二,國家對網(wǎng)絡(luò)安全非常重視,極大地促進了安全行業(yè)的發(fā)展。作為安全能力供應(yīng)商,不可能在每個領(lǐng)域、每樣產(chǎn)品上都做得很精很深,即便是大廠也是如此,因此要發(fā)揮各自的長處,形成協(xié)同機制,建立良好的行業(yè)生態(tài)很重要。(計算機世界 劉沙)
責(zé)任編輯: 李穎