云原生时代,开发者如何构筑容器安全?
隨著數字化轉型進入“深水區”,云原生改變傳統的開發模式,加快程序應用的開發、交付、運維效率,充分釋放云價值。容器作為云原生的代表技術,正成為資源調度和編排的標準,有效幫助企業降低 IT 實施和運維成本。
據 CNCF 發布《2020 中國云原生調查報告》顯示,容器持續迅猛增長,68% 的機構在生產過程中使用容器,比去年增長了 39%,比兩年前增長 240%。如今 Kubernetes 的使用已無處不在,生產中使用 Kubernetes 的比例從去年的 72% 增長到 82%。
與此同時,我們不可忽略的是容器及容器環境存在一定的安全威脅,據青藤云安全《101文檔:容器安全的關鍵指標》 容器安全需要關注構建環境安全、運行時安全、操作系統安全、編排管理安全等方面。
企業如何做好容器安全,從而建立更完善的云原生安全防護?對此,CSDN 采訪到水滴公司安全專家常春峰,聊聊云原生安全的那些事兒。
破解安全“盲盒”
常春峰表示,云原生可降低 IT 成本和提升效率,不受跨平臺影響。作為國內知名保險+健康服務科技平臺,水滴公司從 2018 年開始嘗試云原生安全實踐的建設,從原來的虛擬主機安全,完整地經歷了微服務化、容器化、服務網格化的建設,如今水滴公司的線上業務安全架構均實現了容器化落地。
在向云原生安全遷移的過程里并非一帆風順,我們需要考慮的有:一是原有的非容器化(如風險識別、資產指紋的識別與分類分布,基礎鏡像等)安全能力是否能平移到容器化上;二是在容器化后,一旦容器出現安全問題,或者基礎鏡像存在漏洞后門等,如果沒有相應的安全能力補充是很被動的,這情況類似于安全團隊面對一個“盲盒”,需要將這個盲盒拆解了,運維和安全人員可以清晰地了解到這里頭有哪些 IT應用資產、如何部署以及分布、現有的存在哪些問題、同時攻擊可能從哪里來,如何及時發現和處置風險等問題。
在“盲盒”下,一旦線上出現安全風險,團隊應急響應就會很被動:傳統的方式基本靠人工,通常做法是在發現情報后,大家通過 IM 軟件來拉群推動解決。這種方式有好處也有弊端,久而久之大家就麻木了。何況水滴公司的基礎鏡像有上萬個,管理起來也具有一定的成本,站在ROI角度,招聘團隊自研容器安全平臺的產出相對較低。在此背景下,水滴公司選擇青藤蜂巢·云原生安全平臺,來解決上述的安全“盲盒”問題,讓安全威脅可見。
蜂巢,一站式容器安全解決方案
常春峰表示,受疫情影響下,當前企業面臨新的安全挑戰,由于傳統內外網的安全邊界防護思路作用逐漸減弱,伴隨著遠程辦公的常態化,企業自身的信息化和安全建設需要一站式的全局解決方案,保證安全和用戶體驗。未來數據安全將會是安全的主要趨勢之一,企業自身的安全建設仍需要回歸到安全基礎設施建設上,我們需要有一個類似“數據地圖”的安全平臺,來管理和識別 IT 資產和部署分布,從而形成有效的聯動機制,例如蜂巢等云原生安全產品。
青藤蜂巢·云原生安全平臺是青藤自主研發的云原生安全平臺,可集成到云原生復雜多變的環境中,如 Kubernetes、PaaS 云平臺、OpenShift、Jenkins、Harbor、JFrog 等。通過提供覆蓋容器全生命周期的一站式容器安全解決方案,青藤蜂巢可實現容器安全預測、防御、檢測和響應的安全閉環。
常春峰如此形容蜂巢平臺“穩定安全”。蜂巢平臺從全生命周期角度思考,幫助企業建立起安全資產“地圖”,幫助企業理清安全資產、分布等需求,并提供鏡像安全檢查、容器運行風險檢查等功能,將安全檢查的能?以 API或者插件的形式集成到內部流程中去,打破開發運維和安全的?員之間的信息差。蜂巢可有效地幫助企業打造“看得清”“管得了”“防得住”“能融合”的安全平臺。
安全的“木桶原理”
在分享企業安全建設心得時,水滴公司不僅在技術上建設云原生安全體系,在安全文化建設上,還會開設網絡安全周,邀請各崗位的員工積極參與,學習基礎安全技術知識和增強網絡安全意識,同時聘請外部專業攻擊隊,與水滴公司一起開展攻防演練。
最后常春峰強調,安全最終還是要為業務服務,在安全于業務間取得平衡。但隨著云原生的發展,傳統的SDLC方式需要進一步升級,我們內部也在嘗試 DevSecOps的方案實踐。安全基線問題在時間管理四象限屬于重要不緊急的范疇,在這個維度投入更多精力和時間,才更好的規避或是緩解更多的救火場面。歸根到底,企業安全建設防護“木桶原理”同樣適用,風險敞口不斷的被收斂,對外的攻擊面可以有效管控,安全團隊才會更有信心。
嘉賓簡介:常春峰,曾先后任職于奇虎360,58到家安全技術負責人和美團-摩拜安全專家,具有10年以上的甲乙方安全建設經驗,北京航空航天大學MBA。2018年以聯合創始人身份參與創業,在區塊鏈金融方向領域,2019年加入水滴公司,經歷了安全團隊從0到1的建設,負責整體的信息安全建設工作。
總結
以上是生活随笔為你收集整理的云原生时代,开发者如何构筑容器安全?的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 一张图看懂阿里云智能媒体管理产品
- 下一篇: 云计算架构设计6大原则,你遵循了吗?|