摩擦|传统_专访探真科技：云原生安全与业务迭代平衡术

篇首语：本文由编程笔记#小编为大家整理，主要介绍了专访探真科技：云原生安全与业务迭代平衡术相关的知识，希望对你有一定的参考价值。

IT 网络世界的安全攻防一直在发生。就在刚刚过去的 2022 年 2 月&＃xff0c;NVIDIA 被黑客组织盗取了内部数据与信息&＃xff0c;引发了安全行业广泛关注。而在 IT 基础设施和云计算领域&＃xff0c;云原生因为对资源更加弹性与灵活地应用&＃xff0c;激发了云底层资源的潜力&＃xff0c;正在成为云计算最重要的趋势与方向&＃xff0c;甚至被称为“云原生吞噬一切”。IDC 预测&＃xff0c;到 2022 年&＃xff0c;90% 的新企业应用程序将使用云原生应用程序开发流程、敏捷方法论和 API 驱动架构。

不过在 CSDN 近两年的《中国开发者调查报告》中&＃xff0c;有 47%的受访者认为云原生缺乏熟练技术人才。在云原生技术栈快速发展&＃xff0c;产生多个技术分支的同时&＃xff0c;也将暴露更多新型安全风险和潜在的漏洞源。技术人才的缺乏&＃xff0c;潜在风险的增加&＃xff0c;使得云原生的安全&＃xff0c;将成为安全与云计算两方都需重点研发与关注的领域。

在这样的背景下&＃xff0c;CSDN 专访了云原生安全厂商探真科技研发副总裁李祥乾&＃xff0c;从他与探真技术团队的实践中&＃xff0c;窥得云原生安全的现状与趋势。

云原生安全&＃xff1a;传统安全向云原生延伸 or 全栈内生安全&＃xff1f;

探真科技技术团队由安全和云原生两部分技术背景的研发人员组成&＃xff0c;在团队研发与实践的思考中&＃xff0c;李祥乾认为&＃xff0c;首先&＃xff0c;传统架构下的安全威胁&＃xff0c;如安全后门、逃逸漏洞&＃xff0c;在云原生框架下依然存在。以容器镜像为例&＃xff0c;Docker 在提供创建镜像快速搭建环境的同时&＃xff0c;也产生了潜在的漏洞与风险&＃xff0c;如镜像是否会被恶意植入后门&＃xff0c;快速搭建的环境是否有完备的安全防御能力&＃xff0c;不给攻击者留下可利用的漏洞等。再例如 k8s 对集群资源动态调度的运行态里&＃xff0c;黑客利用漏洞或管理配置的疏漏&＃xff0c;从容器环境中跳出&＃xff0c;获得宿主机权限&＃xff0c;即常见的逃逸漏洞。而且单个容器的逃逸漏洞&＃xff0c;甚至会引发集群的被攻陷。

其次&＃xff0c;传统安全方案已经不能解决云原生架构下的新问题。例如虚拟化、云原生下引入新的抽象和组件所产生的全新安全风险&＃xff0c;微服务化后安全管理逻辑与以往对比的不同需求&＃xff0c;即随时灵活生成的容器以及云原生架构下各层资源&＃xff08;服务、pod、容器等&＃xff09;的添加、删除、调度等动作&＃xff0c;高度的灵活与及时性&＃xff0c;使 IT 很难对资产实时盘点更新&＃xff0c;这些被遗忘和弃用的容器更易被黑客利用与攻击。

不过&＃xff0c;正如事物的正反两面一样&＃xff0c;李祥乾同时也看到&＃xff0c;云原生新架构的快速响应、灵活性&＃xff0c;也正在为安全提供新可能性。比如在云原生架构中&＃xff0c;蜜罐技术将变得更加灵活与隐蔽性。云原生蜜罐通过将包含漏洞和攻击可利用特征的容器隐藏在集群中&＃xff0c;吸引攻击者的注意。

所以&＃xff0c;在云原生安全技术研发和实践中&＃xff0c;探真看到&＃xff0c;云原生的安全&＃xff0c;并不是传统安全策略向云原生领域的延伸发展&＃xff0c;而是应在云原生各层架构中&＃xff0c;形成灵活、系统、全栈内生的安全策略&＃xff0c;即 DevSecOps&＃xff0c;在整个云原生应用生命周期中&＃xff0c;形成自动化高效率的安全内生机制。

AISecOps、零摩擦的云原生安全&＃xff1a;安全与业务迭代平衡术

李祥乾进一步对 CSDN 分享了云原生安全与传统安全最大的差别&＃xff0c;就是将 AISecOps 植根于云原生应用的整个生命周期之中&＃xff0c;通过数据赋能&＃xff0c;将安全能力自动嵌入 CI/CD 流程&＃xff0c;帮助客户实现 DevSecOps。在云场景威胁日益复杂的环境下&＃xff0c;帮助企业充分释放云原生优势&＃xff0c;实现云上资产、应用、数据生命周期安全&＃xff0c;护航企业数字化转型。更简单来说&＃xff0c;就是智能化 DevSecOps&＃xff0c;Sec 随着 DevOps 的迭代而不断迭代&＃xff0c;最终实现 AISecOps。

而探真云原生解决方案&＃xff0c;就是基于 Gartner 提出的自适应安全架构和信通院的 DevSecOps 成熟度通用模型&＃xff0c;以 DevOps 流程为中心&＃xff0c;覆盖云原生的整个开发、测试、运行过程&＃xff0c;将安全防护能力嵌入到 DevOps 流程中的每个步骤中。探真产品设计核心与最小权限原则的零信任相同&＃xff0c;将安全能力融入 DevOps 各关键阶段&＃xff0c;在企业向 DevSecOps 转型&＃xff0c;提供安全防护闭环。

探真科技云原生安全架构

李祥乾对 CSDN 强调了云原生安全的另一个准则是&＃xff1a;安全在用户企业环境中的“零摩擦”。安全防护虽然长久以来一直存在&＃xff0c;但绝不是不计成本地提高安全水准。在对抗的博弈中&＃xff0c;探真的云原生安全希望做到安全与业务迭代的良好平衡&＃xff0c;合理、持续地提升安全水位线&＃xff0c;提升安全的同时&＃xff0c;降低运营成本。

想要达到上面的目标并非易事&＃xff0c;探真团队经历了很多技术挑战&＃xff0c;李祥乾对 CSDN 分享了探真研发过程中的真实经历。在初期&＃xff0c;探真的思路是在镜像构建时对其进行加固与学习&＃xff0c;这是需要侵入客户的镜像构建流程中的&＃xff0c;并不是零摩擦&＃xff0c;同时也无法对存量的镜像进行学习与加固。探真在研发中&＃xff0c;选择和争取到了到真实客户的研发场景中去&＃xff0c;以驻场开发的模式&＃xff0c;加速迭代开发速度&＃xff0c;两周甚至一周就迭代一版&＃xff0c;同时也提高了获取用户反馈的频率。在不停的验证技术思路后&＃xff0c;现在的探真团队可以不再依赖镜像构建的侵入方式&＃xff0c;而是透明化地对容器进行学习与加固&＃xff0c;从而真正将产品打磨成为“零摩擦”的云原生安全方案。

现在&＃xff0c;探真已经进入了互联网金融、电信、房地产、酒店、银行等行业头部客户云原生相关的安全防护领域中&＃xff0c;并取得了良好的客户口碑。李祥乾看到&＃xff0c;虽然不同行业云原生安全需求的重点与优先级各有侧重&＃xff0c;但在底层架构层面&＃xff0c;由于 Kubernetes、Docker 已经逐步成为事实标准&＃xff0c;行业间的差异性趋同&＃xff0c;云原生在架构层的安全防护技术与方案&＃xff0c;可以相对更低的成本&＃xff0c;复制到更多行业的用户中。他也表示&＃xff0c;云原生安全与探真的产品路线图&＃xff0c;都是从底层向应用层、自下而上逐步发展的过程&＃xff0c;目前的重点是先做好云原生底层的安全防护。

在采访中&＃xff0c;我们也能看到&＃xff0c;云原生的安全是纵深、多层级的防护&＃xff0c;现在仍处于初级阶段。也正因此&＃xff0c;涌现出了探真科技这样的创新型云原生安全公司&＃xff0c;而没有形成一两家厂商独大的局面。加入云原生的 CNCF 基金会后&＃xff0c;探真在社区与其他厂商展开了更多的适配研发与合作&＃xff0c;例如与 HARBOR 的认证与集成&＃xff0c;与极狐 GitLab 的市场技术合作等等。

安全是技术界的一个永恒主题&＃xff0c;在新的云原生架构下&＃xff0c;选择“All in”专注投入云原生安全研发的探真科技&＃xff0c;未来可期。

受访者简介&＃xff1a;李祥乾&＃xff0c;探真科技研发副总裁。毕业于南京大学&＃xff0c;获计算机专业硕士学位。在探真科技领导整体产品研发&＃xff0c;技术路线规划&＃xff0c;完成技术突破。作为合伙人协助规划公司战略和中长期规划&＃xff0c;参与公司运营决策。曾任字节跳动风控研发团队创始成员和API安全负责人&＃xff0c;负责安全与风控体系的架构演进与落地&＃xff0c;包括容灾体系与资源优化体系的建设。曾落地了端监控平台&＃xff0c;全链路压测系统&＃xff0c;反爬取产品和基于云原生的安全防火墙等产品。并在多次春节活动的反作弊对抗中发挥重要作用&＃xff0c;止损业务活动累计经费高达8亿RMB。

探真科技公司简介&＃xff1a;探真科技专注于提供全栈内生的云原生安全解决方案。探真方案植根于云原生应用的整个生命周期之中&＃xff0c;通过人工智能赋能如&＃xff1a;镜像安全&＃xff0c;容器运行时异常检测&＃xff0c;容器自动加固&＃xff0c;智能微隔离&＃xff0c;应用安全等安全能力&＃xff0c;并将这些安全能力自动嵌入CI/CD流程&＃xff0c;帮助客户实现DevSecOps。在云场景威胁日益复杂的环境下&＃xff0c;帮助企业充分释放云原生优势&＃xff0c;实现云上资产、应用、数据生命周期安全&＃xff0c;护航企业数字化转型。