刚刚过去的五月,全球知名的电动车及能源公司发生了大规模的数据泄露,再次给安全行业敲响了警钟。数字化时代,云原生技术在发挥数字业务快速交付与迭代优势的同时,带来了新的安全风险和挑战。
对此,企业应该如何应对?带着这样的问题,我们与SUSE 安全产品战略副总裁黄飞展开了一场深度对话。
新技术带来新风险
虚拟机、容器、服务网格、多集群间通信、多云和混合云、Serverless 等新技术不断涌现,对安全边界提出了越来越多的要求。
2014 年流行起来的容器技术算是跨时代的变革,它与 Kubernetes 等技术共同助力企业实现了应用程序部署等诸多方面的自动化,但同时也带来了新的安全挑战。黄飞认为挑战主要包括四个方面:首先容器更新迭代非常快,传统的保护方式已经不适用于容器环境;第二是软件生产的流程自动化,容器开发阶段每天可达上千次的软件发布依赖整套 CI/CD 自动化流程控制;三是越来越多的企业开始在跨云多云环境部署容器;四是容器将单一的应用变成了成百上千的微服务,导致服务内部通信爆发式的增长。
Kubernetes 采用虚拟化技术,数据、网络、计算等层面的全部虚拟化对于应用程序开发者来讲非常实用。然而,这却让运维安全人员无法了解容器的运行状况,即虚拟化技术本身对安全管控形成了一定的屏障,这无疑升级了安全挑战。
使用“零信任”升级传统安全
2021 年底,“核弹级”的 Log4j 漏洞爆发,大量企业被波及。黄飞将Log4j 比喻为洋葱芯中的bug,因为它被层层包裹、嵌入在其他软件包中,很难被常见的扫描方法识别到。他认为对付此类漏洞,首先要从源头进行有效的扫描和控制CVE 安全漏洞;而对于无法下线进行修复的应用程序,零信任安全则是最有效的保护方法。
像Log4j 这样的高危漏洞随着开源软件的广泛使用而与日俱增,但传统安全工具在云环境很难提供全面的保护。此外,随着公有云的快速发展,业界对安全界限的认识也出现了分歧。“很多客户认为公有云的安全应该完全交给供公有云厂商,但事实并非如此。”黄飞强调,应用程序级别的安全必须由各个企业用户自己负责。这意味着,面对越来越多未知的安全风险,企业的安全防护要从被动式的安全逐渐过渡到主动式安全。
主动安全是一个新的概念,无论处于云原生化的哪一个阶段,企业都可以采取较为主动的零信任安全功能来提高效率。“零信任安全并不需要推翻一切从零开始,企业可以循序渐进地进行部署。”黄飞认为,传统安全能够堵住已知的安全漏洞,而零信任安全能够防范未知的安全风险,传统安全与零信任安全的叠加使用可以帮助企业实现多层防护。
同时,考虑到大部分企业已经在传统安全上投入了大量资源和金钱,根据企业的实际情况选择最有效的方面开始针对性部署零信任安全也是最经济的方式。
黄飞把整个云原生零信任安全的实施划分成四个阶段:用户和可视化;设备、网络和环境;应用程序、服务和编排管理;数据、自动化和合规检查。企业无需推翻所有的安全投资和配置,可以从某一个单点开始介入和部署,逐步深化。
NeuVector 在创立之初就专注于容器安全,能够提供端到端的安全服务以及从 DevOps 流水线漏洞保护到生产中的自动化安全和合规性,可以作为零信任安全模型的重要部分,实现对容器环境的实时安全保护和威胁检测。
开源为云原生安全带来更多可能
2022 年1 月,在被 SUSE 收购3 个月后,NeuVector 宣布开源,成为业界首个端到端的开源容器安全平台。“这是推动容器安全发展的重要里程碑。”作为 NeuVector 的联合创始人兼创始 CEO 的黄飞评价道。
NeuVector 本身拥有十几项技术专利,包括深层数据包检查和行为学习,可识别适当的容器行为,并且仅允许在容器环境中经过批准的白名单进行网络链接、进程访问和文件存取。NeuVector 在运行时提供完整的攻击检测和预防,主动保护生产环境;作为容器部署,具有高度扩展能力。NeuVector 开源之后,所有加入开源专利联盟的企业都可以开诚布公地合作,共享专利与技术,这对整个软件平台产业的发展至关重要。
NeuVector:Kubernetes 安全与合规一体化平台
黄飞表示加入 SUSE 后学到的最重要的东西是开放性。NeuVector 虽然是SUSE 的安全产品,但其开源容器镜像可以安装在任何流行的 Kubernetes 集群上,可以支持包括红帽 OpenShift、VMWare Tanzu 等在内的众多企业级容器管理平台,以及Google GKE、Amazon EKS、Microsoft Azure AKS 等K8s 发行版。秉承开放战略,NeuVector 将始终致力于成为所有云原生环境的优秀安全解决方案。
打造全栈云原生平台能力,全方位守护云安全
“SUSE 的愿景不仅仅是打通 Linux 操作系统,而是提供从操作系统到容器管理平台再到云安全方案的一整套解决方案,这也是业界发展的一个趋势。”黄飞介绍,随着 Rancher 和NeuVector 的加入,SUSE 快速增长,现在逐渐拥有了几乎是全栈的云原生平台能力。
目前,SUSE 是唯一一家通过最高级别加密认证 FIPS 的 Linux 平台,新一代 SUSE Linux 操作系统开始集成机密计算技术,各个产品都在持续开发各种各样的安全功能。
黄飞介绍,企业级的操作系统管理平台 SUSE Manager 能统一管控安全扫描以及补丁功能;SUSE 为 CNCF 贡献的重要安全工具 Kubewarden,能够帮助 Kubernetes 集中管理安全策略;企业容器管理平台 Rancher Prime 提供集群的全生命周期管理,不仅可以跨云统一创建集群,还可以统一管理、升级和配置集群。此外,Rancher Prime 与零信任容器安全平台 NeuVector 的集成,让Rancher Prime 能够满足整个应用生命周期中的主要安全场景的需求。
面对云原生的快速发展与广泛应用,SUSE 也在持续投资和发展安全生产线,来帮助企业应对云原生安全挑战。黄飞透露,SUSE 安全产品未来会侧重于四个方面:一是会持续引领新一代的零信任安全技术;二是将安全自动化技术合理地嵌入到更多的平台和流程中;三是致力于为客户降低云原生安全管理的复杂性;最后,SUSE 也会持续拓展安全边界,根据客户的需求去支持更多、更大规模的超级分布式计算系统环境和场景。
受访嘉宾:黄飞,SUSE 安全产品战略副总裁
黄飞在企业安全、虚拟化、云计算和嵌入式软件方面拥有超过 25 年的工作经验,是 CloudVolumes (被 VMware 收购)创始团队成员,DLP 安全公司 Provilla 的联合创始人,是新一代 Kubernetes 安全公司 NeuVector (2021 年被 SUSE 收购)的联合创始人和创始 CEO。在安全、虚拟化和软件架构方面拥有 10 多项美国技术专利。
