【安全不僅僅是合規(guī)驅(qū)動(dòng)�����,更要為業(yè)務(wù)服務(wù)�,賦能業(yè)務(wù)發(fā)展�����,做好主動(dòng)防御】
作為新基建的重要組成部分�,云計(jì)算已經(jīng)成為很多企業(yè)進(jìn)行數(shù)字化轉(zhuǎn)型的重要推手�����,而云計(jì)算領(lǐng)域炙手可熱的技術(shù)“云原生”��,更是成了發(fā)揮云計(jì)算效能的最佳實(shí)踐路徑�����、打造數(shù)字經(jīng)濟(jì)發(fā)展新動(dòng)能的重要保障。隨著全行業(yè)上云逐步深化�����,云原生時(shí)代將成為云計(jì)算發(fā)展的必然階段���。據(jù)中國信息通信研究院統(tǒng)計(jì)�,近年來����,云原生產(chǎn)業(yè)一直保持著強(qiáng)勁的發(fā)展態(tài)勢,年均增速已超過30%����。
然而,在云原生市場迅猛發(fā)展的同時(shí)���,云原生的安全問題也日益凸顯��。根據(jù)中國信息通信研究院在2020年發(fā)布的《中國云原生用戶調(diào)查報(bào)告》:由于安全性問題���, 61%以上的用戶都對(duì)云原生架構(gòu)存在顧慮。而且����,企業(yè)傳統(tǒng)的安全體系和運(yùn)營思路根本無法應(yīng)對(duì)云原生架構(gòu)下的安全威脅�。
走在運(yùn)營商行業(yè)前列的中國移動(dòng)通信集團(tuán)浙江有限公司(簡稱“浙江移動(dòng)”)�����,不僅早就踏上了云原生之路�����,還以“實(shí)戰(zhàn)化���、體系化�、常態(tài)化”為指導(dǎo)構(gòu)建云安全防護(hù)體系�����,守護(hù)億萬用戶安全��。近日��,中國移動(dòng)浙江公司信息技術(shù)部安全部經(jīng)理徐良與記者分享了他在容器安全防護(hù)方面的心得體會(huì)�。
中國移動(dòng)浙江公司信息技術(shù)部安全部經(jīng)理 徐良
|容器化的喜與憂|
徐良告訴記者�,自2014年開始���,浙江移動(dòng)就陸續(xù)展開了在云化、容器化���、微服務(wù)化等領(lǐng)域的探索����,一直走在集團(tuán)的前列�。
對(duì)于容器化的好處,徐良介紹���,第一���,相比虛擬機(jī)及傳統(tǒng)環(huán)境,通過容器鏡像�����,將應(yīng)用程序及運(yùn)行依賴環(huán)境配置進(jìn)行封裝���,通過標(biāo)準(zhǔn)化的鏡像封裝及使用流程�����,消除環(huán)境差異���,使得應(yīng)用程序的開發(fā)和交付更加高效�����;第二�����,由于容器沒有管理程序的額外開銷��,與底層共享操作系統(tǒng),性能更加優(yōu)良�,系統(tǒng)負(fù)載更低,在同等條件下可以運(yùn)行更多的應(yīng)用實(shí)例�����,可以更充分地利用系統(tǒng)資源���。
容器化也帶來了一些安全挑戰(zhàn):
其一,以往系統(tǒng)漏洞檢測一般采用網(wǎng)絡(luò)掃描�,通過問題IP定位到具體主機(jī)和應(yīng)用系統(tǒng)��。在應(yīng)用容器化部署以后�����,由于容器資源的動(dòng)態(tài)變化����,增加了安全威脅檢測��、監(jiān)控和保護(hù)的難度��。
其二���,傳統(tǒng)軟件架構(gòu)下����,應(yīng)用之間通過物理機(jī)或虛擬機(jī)進(jìn)行隔離����,可以將安全事件的影響限制在可控的范圍內(nèi)。在容器環(huán)境下��,多個(gè)服務(wù)實(shí)例共享操作系統(tǒng)�,一個(gè)存在漏洞服務(wù)被攻陷����,可能會(huì)導(dǎo)致運(yùn)行在同主機(jī)上其他服務(wù)受到影響�。
|選擇技術(shù)實(shí)干型合作伙伴|
為做好重大活動(dòng)安全保障,提升系統(tǒng)安全風(fēng)險(xiǎn)防范能力��,浙江移動(dòng)在集團(tuán)公司的指導(dǎo)下�����,開展容器云安全試點(diǎn)����,包括容器資產(chǎn)檢測、容器鏡像安全����、容器邊界安全管控、容器安全威脅監(jiān)測等方面���,經(jīng)過多次技術(shù)交流和產(chǎn)品POC測試��,選擇了青藤蜂巢·云原生安全平臺(tái)��。
徐良表示��,在國內(nèi)安全市場上做容器安全的供應(yīng)商數(shù)量相對(duì)較少�,而青藤云安全在這方面做得是比較優(yōu)秀的����。讓徐良印象頗深的是,“青藤云安全是一家偏技術(shù)型的公司�����,他們的創(chuàng)始人���、合作人都很關(guān)注技術(shù)層面的問題,經(jīng)常以實(shí)際案例和實(shí)際需求來溝通�����,非常關(guān)注產(chǎn)品的改進(jìn)提升�,而且行動(dòng)很迅速。”
|讓心里有底的積極防御|
“青藤蜂巢·云原生安全平臺(tái)的效果非常明顯�。”徐良告訴記者��,首先它有效提升了開源組件資產(chǎn)的識(shí)別和漏洞檢測能力,通過系統(tǒng)層信息采集和分析���,能夠快速地完成資產(chǎn)和漏洞的核查����,很好地解決了網(wǎng)絡(luò)掃描器資產(chǎn)探測不全��、誤報(bào)漏報(bào)及耗時(shí)長的問題�,效果非常明顯�����。
第二是青藤蜂巢·云原生安全平臺(tái)的威脅監(jiān)測能力非常實(shí)用�����。網(wǎng)絡(luò)安全威脅監(jiān)測產(chǎn)品主要基于特征識(shí)別判斷攻擊行為����,但對(duì)攻擊嘗試和攻擊成功的區(qū)分能力存在不足��,對(duì)0day或NDay漏洞的攻擊行為無法及時(shí)有效監(jiān)測�����。而青藤聚焦在系統(tǒng)層的威脅監(jiān)測,關(guān)注系統(tǒng)層的入侵行為及影響���,較網(wǎng)絡(luò)層威脅監(jiān)測具有更高的準(zhǔn)確性和有效性�。
“青藤云安全提供的web后門����、提權(quán)��、反彈監(jiān)測分析能力�����,對(duì)防守方來說非常重要�����。” 徐良強(qiáng)調(diào)�����,沒有攻不破的系統(tǒng)����,關(guān)鍵是在系統(tǒng)被攻破后能快速發(fā)現(xiàn)����、快速處置。
談到對(duì)青藤云安全的評(píng)價(jià)���,徐良總結(jié)了三點(diǎn):第一是創(chuàng)新性很強(qiáng),它找準(zhǔn)了云原生安全的方向做技術(shù)研發(fā)和創(chuàng)新�����;第二是產(chǎn)品研發(fā)的效率很高��、迭代很快�,基本上每個(gè)季度都有更新;第三是服務(wù)好���,青藤云安全能通過產(chǎn)品+服務(wù)的形式為客戶提供支持����,這是很難得的�����。
作為在安全領(lǐng)域從業(yè)近20年的資深I(lǐng)T人,徐良也談了一些自己對(duì)安全的理解和看法�����。
他強(qiáng)調(diào)���,安全不僅僅是合規(guī)驅(qū)動(dòng)����,更要為業(yè)務(wù)服務(wù)��,賦能業(yè)務(wù)發(fā)展,做好主動(dòng)防御����。因此,安全要擁抱變化�����,安全能力建設(shè)和安全管理要跟上新技術(shù)��、新業(yè)務(wù)的發(fā)展變化。另外��,安全運(yùn)營不只是合規(guī)管理�、靜態(tài)防護(hù),而是要根據(jù)業(yè)務(wù)需要�����,建立智能�、泛在、協(xié)同的積極安全防御體系�,做好安全威脅檢測、防護(hù)�����、監(jiān)測��、應(yīng)急處置協(xié)同�����。在資源投入有限的情況下����,首先要做好威脅監(jiān)測和應(yīng)急處置���。
第二,國家對(duì)網(wǎng)絡(luò)安全非常重視�,極大地促進(jìn)了安全行業(yè)的發(fā)展。作為安全能力供應(yīng)商���,不可能在每個(gè)領(lǐng)域���、每樣產(chǎn)品上都做得很精很深,即便是大廠也是如此���,因此要發(fā)揮各自的長處����,形成協(xié)同機(jī)制����,建立良好的行業(yè)生態(tài)很重要�����。(計(jì)算機(jī)世界 劉沙)
新能源
京公網(wǎng)安備 11010802020613號(hào)
