前言
當第五次信息技術革命浪潮涌向人類后,人類社會伴隨著計算機的發展而快速向前。隨之而來的云計算、大數據、5G等一系列新技術如噴井式發展也推動各行各業進一步發展,也帶動云原生(Cloud Native)技術的產生。
誕生多年的云原生技術也面臨著全球化的網絡攻擊,而用戶在利用云原生技術優勢的同時,云原生技術與傳統開發模式之間無法兼容所帶來的問題也在挑戰云原生安全技術的可靠性。為了滿足數字經濟轉型新時代下用戶們對更加快速、敏捷、具有彈性的云安全需求,云原生安全領域亟需一場新變革。
12月29日,在安全狗云原生安全及數據安全新品發布會的現場上,安全狗產品總監何春根也結合自身8年的云安全和云原生安全技術研究、研發和產品設計經驗,為大家分享云原生安全行業的一線實踐經驗和趨勢觀察。
一、云原生安全步入“2.X”新時代
1、不合時宜的云原生安全“1.X”
在發布會上,何春根剖析了現有云原生安全解決方案的特點,即,依照傳統IT安全模型分層的理念,鏡像安全、容器安全、網絡微隔離、CSPM等單個產品只專注于解決對應層面的風險與威脅。這樣基于分層理念的單點安全能力我們將其定義為云原生安全1.X。
當政府、金融、通信和能源等眾多大型機構和企業用戶面臨著更加復雜且多變的基礎設施防護與業務生命周期時,不得不疊加使用多個云原生應用產品。在這樣的云原生安全1.X方案的堆砌防護下,大、中小企業用戶和機構單位們又重新回到了臃腫、升級緩慢、無法實現快速迭代的傳統老路上。
不僅如此,根據何春根的觀察,云原生安全1.X方案在實戰中還會給用戶帶來更多的工作負擔和維護成本,無法為應用提供一致性的保護,同時因為安全產品分散容易造成安全盲點以及縫隙等弊端。整體上來看,云原生安全1.X方案不符合數字經濟轉型時代下對安全的高要求。
2、順應時代的云原生安全“2.X”
云原生安全要進行革新、向前演進的話,則需要優先解決云原生安全1.X里的最大弊病:安全能力單點、無法一體化。
通過觀察,可以看到Gartner近幾年先后提出的云原生安全模型的變化趨勢:從單點安全能力向云原生應用保護平臺(CNAPP)的一體化。這與安全狗在探索云原生安全未來演進路線的過程中給出的“一體化覆蓋全棧安全”答案不謀而合。
作為沿襲Gartner CNAPP概念的“一體化”全棧云原生安全模型方案,安全狗推出的云原生安全解決方案覆蓋了從代碼到云的全棧整體安全,是滿足全生命周期的五大安全一體化特征的云原生安全平臺。
云原生安全2.X
與云原生安全1.X相比,安全狗打造的云原生安全解決方案通過“五個一體化”的能力,不僅規避了1.X單點安全能力無法一體化、帶來安全盲區、人力成本維護高等難題,還有利于用戶充分利用云計算彈性、敏捷、資源池和服務化等特性。因此,安全狗打造的“一體化”全棧云原生安全模型方案,也可稱為云原生安全2.X。
二、落地云原生安全2.X
作為國內云安全領域的先行者,安全狗在此次發布會上正式推出基于CNAPP、一體化概念的云甲V5.0 一體化云原生安全平臺。
1、5+X一體化落地架構模型實現云原生安全2.X
任何概念的提出,都要回答如何落地這一命題。
在發布會上,何春根也具體分享了安全狗是如何落地并實現其提出的云原生安全2.X。通過對Gartner CNAPP的分析與總結,可以發現Gartner CNAPP模型從安全架構的角度來看,可以歸納為覆蓋全生命周期的五個安全一體化。
為了落地云原生安全2.X,安全狗提出了5+X一體化落地架構模型(即,軟件資產管理和安全一體化,環境安全一體化,運行時工作負載安全一體化,網絡層安全一體化,應用安全一體化)。模型中所提及的5個安全一體化是實現云原生安全2.X的基礎,也是必須要實現的內容,而X代表擴展力。
對于5個一體化的具體落地,何春根也做了分享:
①軟件資產管理和安全一體化目標:
覆蓋宿主機、鏡像、容器、IaC的精細化靜態、動態資產采集和安全檢測,支撐“底數清、信息全、狀態明、響應快”的軟件資產及軟件供應鏈安全管理需求,源頭早期預防和深度分析的一體化需求。
②環境安全一體化目標
針對國內關基類云原生架構“ 異構多芯 混合調度 ”特性,為了減輕用戶安裝、運維云原生安全產品的工作負擔,提供環境自適應一體化的功能,支撐統一的安全策略管理、實施、分析和無縫隙完整覆蓋。
③工作負載安全一體化目標
構建基于容器側、主機側的“全棧式”一體化多維度云原生高級威脅檢測技術體系,具有聯合發現、協同抵抗的體系化作戰的效果。
④網絡安全一體化目標
基于零信任模型和eBPF一體化高性能云原生防火墻實現主機、容器網絡安全一體化。
⑤應用安全一體化目標
“里應外合”一體化方案。
2、云甲實現5個一體化、2個拓展一體化
在發布會上何春根介紹到,云甲實現了云原生安全2.x的五個一體化,以及兩個擴展一體化。
首先是將容器云平臺通用安全能力下沉到一個“N合1”安全基座上。不僅避免單品堆疊部署,一個Agent還可同時覆蓋到主機安全、容器安全、網絡微隔離、多租戶、安全策略聯邦、云原生安全合規、資產精細化采集等云原生全棧安全需求,且安全組件穩定、資源占用少、不影響業務。云甲以安全大基座的方式支撐了資產管理與安全一體化,環境安全一體化,工作負載安全一體化、網絡安全一體化等落地。
第二,在賦能應用安全方面,云甲可依托外聯WAF、API安全網關和內聯RASP虛擬補丁引擎形成“里應外合”一體化方案,將具有漏洞預防、業務訪問授權、數據脫敏、應用合規基線等普遍性、共性需求應用安全能力下沉到PASS層的安全基座,賦能對象包括傳統單體應用,也包括微服務應用。這樣不僅降低了應用自身安全類功能的開發成本,還整體性地提高應用開發效率和安全性,同時解決了老舊應用安全加固免改造難題。
最后,可同時推送數據和開放威脅阻斷類、排查驗證類的API接口,與容器云平臺、數字化安全運營平臺無縫銜接,數據共享和聯防聯抗,滿足了安全集成協同需求。
在演講的最后,針對云原生安全未來的拓展發展方向與趨勢,何春根也結合自身的安全經驗,預測了云原生“零信任”擴展方案、云原生5G邊緣計算擴展方案、云原生蜜罐等3個擴展方向,期待能為業界安全專家們在探索云原生安全的新發展提供一些思路與方向。
新品
安全狗此次云原生安全及數據安全新品發布會上除了出彩的云原生安全2.X發布,還有數據安全新品的正式亮相。在數字經濟轉型的新時代下,面對數不勝數的數據安全產品,安全狗成立了一支數據安全研發團隊打造了數據安全新品·數壘。
數壘FortData旨在為用戶打造“合規、靈活、高效、易用”的數據安全治理解決方案。
