【安全不僅僅是合規驅動(dòng)����,更要為業(yè)務(wù)服務(wù)���,賦能業(yè)務(wù)發(fā)展����,做好主動(dòng)防御】
作為新基建的重要組成部分��,云計算已經(jīng)成為很多企業(yè)進(jìn)行數字化轉型的重要推手�,而云計算領(lǐng)域炙手可熱的技術(shù)“云原生”����,更是成了發(fā)揮云計算效能的最佳實(shí)踐路徑���、打造數字經(jīng)濟發(fā)展新動(dòng)能的重要保障����。隨著(zhù)全行業(yè)上云逐步深化���,云原生時(shí)代將成為云計算發(fā)展的必然階段���。據中國信息通信研究院統計�,近年來(lái)����,云原生產(chǎn)業(yè)一直保持著(zhù)強勁的發(fā)展態(tài)勢����,年均增速已超過(guò)30%��。
然而�,在云原生市場(chǎng)迅猛發(fā)展的同時(shí)����,云原生的安全問(wèn)題也日益凸顯��。根據中國信息通信研究院在2020年發(fā)布的《中國云原生用戶(hù)調查報告》:由于安全性問(wèn)題���, 61%以上的用戶(hù)都對云原生架構存在顧慮�����。而且�����,企業(yè)傳統的安全體系和運營(yíng)思路根本無(wú)法應對云原生架構下的安全威脅��。
走在運營(yíng)商行業(yè)前列的中國移動(dòng)通信集團浙江有限公司(簡(jiǎn)稱(chēng)“浙江移動(dòng)”)���,不僅早就踏上了云原生之路����,還以“實(shí)戰化��、體系化��、常態(tài)化”為指導構建云安全防護體系�,守護億萬(wàn)用戶(hù)安全����。近日�����,中國移動(dòng)浙江公司信息技術(shù)部安全部經(jīng)理徐良與記者分享了他在容器安全防護方面的心得體會(huì )�。
中國移動(dòng)浙江公司信息技術(shù)部安全部經(jīng)理 徐良
|容器化的喜與憂(yōu)|
徐良告訴記者�����,自2014年開(kāi)始���,浙江移動(dòng)就陸續展開(kāi)了在云化����、容器化�����、微服務(wù)化等領(lǐng)域的探索��,一直走在集團的前列���。
對于容器化的好處���,徐良介紹��,第一���,相比虛擬機及傳統環(huán)境����,通過(guò)容器鏡像�����,將應用程序及運行依賴(lài)環(huán)境配置進(jìn)行封裝��,通過(guò)標準化的鏡像封裝及使用流程�,消除環(huán)境差異����,使得應用程序的開(kāi)發(fā)和交付更加高效�;第二���,由于容器沒(méi)有管理程序的額外開(kāi)銷(xiāo)���,與底層共享操作系統�,性能更加優(yōu)良�,系統負載更低����,在同等條件下可以運行更多的應用實(shí)例�����,可以更充分地利用系統資源���。
容器化也帶來(lái)了一些安全挑戰:
其一����,以往系統漏洞檢測一般采用網(wǎng)絡(luò )掃描����,通過(guò)問(wèn)題IP定位到具體主機和應用系統����。在應用容器化部署以后��,由于容器資源的動(dòng)態(tài)變化�����,增加了安全威脅檢測��、監控和保護的難度�。
其二����,傳統軟件架構下��,應用之間通過(guò)物理機或虛擬機進(jìn)行隔離�����,可以將安全事件的影響限制在可控的范圍內���。在容器環(huán)境下���,多個(gè)服務(wù)實(shí)例共享操作系統��,一個(gè)存在漏洞服務(wù)被攻陷����,可能會(huì )導致運行在同主機上其他服務(wù)受到影響����。
|選擇技術(shù)實(shí)干型合作伙伴|
為做好重大活動(dòng)安全保障�,提升系統安全風(fēng)險防范能力�,浙江移動(dòng)在集團公司的指導下�,開(kāi)展容器云安全試點(diǎn)���,包括容器資產(chǎn)檢測���、容器鏡像安全����、容器邊界安全管控����、容器安全威脅監測等方面�,經(jīng)過(guò)多次技術(shù)交流和產(chǎn)品POC測試�����,選擇了青藤蜂巢·云原生安全平臺����。
徐良表示�,在國內安全市場(chǎng)上做容器安全的供應商數量相對較少����,而青藤云安全在這方面做得是比較優(yōu)秀的�。讓徐良印象頗深的是���,“青藤云安全是一家偏技術(shù)型的公司��,他們的創(chuàng )始人���、合作人都很關(guān)注技術(shù)層面的問(wèn)題���,經(jīng)常以實(shí)際案例和實(shí)際需求來(lái)溝通�,非常關(guān)注產(chǎn)品的改進(jìn)提升��,而且行動(dòng)很迅速����。”
|讓心里有底的積極防御|
“青藤蜂巢·云原生安全平臺的效果非常明顯�����。”徐良告訴記者���,首先它有效提升了開(kāi)源組件資產(chǎn)的識別和漏洞檢測能力�,通過(guò)系統層信息采集和分析��,能夠快速地完成資產(chǎn)和漏洞的核查�����,很好地解決了網(wǎng)絡(luò )掃描器資產(chǎn)探測不全�、誤報漏報及耗時(shí)長(cháng)的問(wèn)題�,效果非常明顯��。
第二是青藤蜂巢·云原生安全平臺的威脅監測能力非常實(shí)用�。網(wǎng)絡(luò )安全威脅監測產(chǎn)品主要基于特征識別判斷攻擊行為�,但對攻擊嘗試和攻擊成功的區分能力存在不足�,對0day或NDay漏洞的攻擊行為無(wú)法及時(shí)有效監測��。而青藤聚焦在系統層的威脅監測�,關(guān)注系統層的入侵行為及影響�����,較網(wǎng)絡(luò )層威脅監測具有更高的準確性和有效性����。
“青藤云安全提供的web后門(mén)��、提權��、反彈監測分析能力�����,對防守方來(lái)說(shuō)非常重要��。” 徐良強調��,沒(méi)有攻不破的系統�����,關(guān)鍵是在系統被攻破后能快速發(fā)現�����、快速處置����。
談到對青藤云安全的評價(jià)���,徐良總結了三點(diǎn):第一是創(chuàng )新性很強���,它找準了云原生安全的方向做技術(shù)研發(fā)和創(chuàng )新�����;第二是產(chǎn)品研發(fā)的效率很高�����、迭代很快��,基本上每個(gè)季度都有更新�����;第三是服務(wù)好�����,青藤云安全能通過(guò)產(chǎn)品+服務(wù)的形式為客戶(hù)提供支持�����,這是很難得的���。
作為在安全領(lǐng)域從業(yè)近20年的資深I(lǐng)T人��,徐良也談了一些自己對安全的理解和看法���。
他強調�����,安全不僅僅是合規驅動(dòng)����,更要為業(yè)務(wù)服務(wù)�,賦能業(yè)務(wù)發(fā)展���,做好主動(dòng)防御�����。因此��,安全要擁抱變化���,安全能力建設和安全管理要跟上新技術(shù)�����、新業(yè)務(wù)的發(fā)展變化���。另外��,安全運營(yíng)不只是合規管理�����、靜態(tài)防護�,而是要根據業(yè)務(wù)需要�,建立智能�����、泛在���、協(xié)同的積極安全防御體系�,做好安全威脅檢測����、防護���、監測��、應急處置協(xié)同��。在資源投入有限的情況下�,首先要做好威脅監測和應急處置���。
第二����,國家對網(wǎng)絡(luò )安全非常重視��,極大地促進(jìn)了安全行業(yè)的發(fā)展��。作為安全能力供應商�,不可能在每個(gè)領(lǐng)域����、每樣產(chǎn)品上都做得很精很深�,即便是大廠(chǎng)也是如此����,因此要發(fā)揮各自的長(cháng)處���,形成協(xié)同機制�,建立良好的行業(yè)生態(tài)很重要��。(計算機世界 劉沙)
新能源
京公網(wǎng)安備 11010802020613號
