作者 | 伍杏玲

出品 | CSDN（ID:CSDNnews）

容器作為云原生的代表技術(shù)，很多人認(rèn)為是容器技術(shù)掀起云原生的變革：2004 年，谷歌開(kāi)始使用容器技術(shù)，并在2006年發(fā)布進(jìn)程容器，將容器虛擬化基礎(chǔ)設(shè)施引入 Linux 內(nèi)核。2013 年，Docker 正式發(fā)布，隨即成為現(xiàn)象級(jí)的開(kāi)源項(xiàng)目，同年，“云原生”概念提出。

當(dāng)容器浪潮席卷而來(lái)之際，隨著容器的廣泛應(yīng)用，開(kāi)發(fā)者重視容器安全技術(shù)。因?yàn)閾?jù) Gartner 分析師表示，“容器使用共享操作系統(tǒng)(OS)模型對(duì)主機(jī)操作系統(tǒng)中的漏洞的攻擊可能導(dǎo)致所有容器被影響，容器本身并不安全，但由開(kāi)發(fā)人員以不安全的方式部署，安全團(tuán)隊(duì)很少或根本沒(méi)有參與，安全架構(gòu)師也沒(méi)有指導(dǎo)。傳統(tǒng)的網(wǎng)絡(luò)和基于主機(jī)的安全解決方案對(duì)容器是無(wú)效的。容器安全解決方案保護(hù)容器的整個(gè)生命周期安全，從產(chǎn)生到生產(chǎn)。”

早在 2018 年，專注容器安全的小佑科技就看到其中機(jī)遇，自研 PaaS 容器安全防護(hù)產(chǎn)品，致力為開(kāi)發(fā)者解決容器全生命周期的安全問(wèn)題，推出“鏡界”容器安全防護(hù)平臺(tái)。為什么他們?nèi)绱嗽缇椭匾暼萜靼踩?#xff1f;對(duì)此，CSDN 采訪到小佑科技創(chuàng)始人&CEO 袁曙光，一起聊聊云原生時(shí)代下安全的那點(diǎn)事兒。

袁曙光

17年安全界老兵，探路容器安全

袁曙光是原聯(lián)眾游戲CISO，負(fù)責(zé)聯(lián)眾運(yùn)維及安全工作，具有17年安全行業(yè)經(jīng)驗(yàn)，在甲方、乙方公司分別呆過(guò)很長(zhǎng)時(shí)間，從事過(guò)安全研發(fā)、售前、服務(wù)咨詢及管理崗位，可以說(shuō)是安全界的“老炮”。他帶領(lǐng)懂云計(jì)算和安全技術(shù)的4人團(tuán)隊(duì)開(kāi)啟云原生安全創(chuàng)業(yè)之路。

為什么當(dāng)初袁曙光不選擇發(fā)展已久的傳統(tǒng)安全，而是探索剛發(fā)展的云計(jì)算安全？

袁曙光表示，企業(yè)上云是全球趨勢(shì)，一是當(dāng)企業(yè)上云后，面臨的安全威脅將會(huì)增多，所以說(shuō)云安全是企業(yè)的剛需。二是在上云過(guò)程中，由于IT基礎(chǔ)設(shè)施逐漸云化，云改變企業(yè)的底層基礎(chǔ)設(shè)施架構(gòu)，安全也隨之往云化，傳統(tǒng)安全架構(gòu)不再適用于云上，云上防護(hù)的方式變得更多元化、復(fù)雜化，云安全將重新定義企業(yè)的安全架構(gòu)。

今年，Gartner發(fā)布《Solution Comparison for the Native Security Capabilities 》報(bào)告，首次全面評(píng)估全球 TOP 云廠商的整體安全能力，這從側(cè)面說(shuō)明云安全是業(yè)內(nèi)需重點(diǎn)關(guān)注的 IT 技術(shù)潮流之一。

其中，容器作為云計(jì)算新一代技術(shù)，正是未來(lái)十年云計(jì)算的核心，容器在云計(jì)算的地位像是發(fā)動(dòng)機(jī)的“引擎”，據(jù)調(diào)查統(tǒng)計(jì)，有 83% CTO 愿意采用容器技術(shù)。Gartner 在 2017、2019 年將容器安全列入年度安全趨勢(shì)，容器安全大有可為。

“鏡像”容器平臺(tái)

安全出身的袁曙光，在打造云時(shí)代安全產(chǎn)品時(shí)也遇到不少挫折。由于容器網(wǎng)絡(luò)的虛擬化方式和傳統(tǒng)完全不同，傳統(tǒng)安全技術(shù)解決不了云時(shí)代下的安全問(wèn)題。例如傳統(tǒng)防火墻無(wú)法使用；防病毒網(wǎng)關(guān)在容器的虛擬化網(wǎng)絡(luò)中無(wú)法使用；容器鏡像分層存儲(chǔ)，傳統(tǒng)的漏洞掃描僅僅在OS和網(wǎng)絡(luò)進(jìn)行掃描；無(wú)論網(wǎng)絡(luò)還是主機(jī)的IDS都無(wú)法檢測(cè)到容器內(nèi)的數(shù)據(jù)包……

云時(shí)代下，企業(yè)需要怎樣的新型容器安全技術(shù)來(lái)防護(hù)呢？

袁曙光在探索的過(guò)程中，還發(fā)現(xiàn)以下容器安全痛點(diǎn)：

一、隔離性較弱。容器基于進(jìn)程的隔離，其隔離性不如虛擬機(jī)強(qiáng)，可能導(dǎo)致容器逃逸攻擊宿主機(jī)，為云計(jì)算的多租戶安全提出挑戰(zhàn)。

二、鏡像漏洞多。鏡像是容器運(yùn)行的基礎(chǔ)、官方的鏡像有30%的鏡像存在高危安全漏洞。

三、資產(chǎn)理不清。容器平均的存在時(shí)間為3分鐘，快建快消的特點(diǎn)導(dǎo)致容器資產(chǎn)變化快。

四、安全控制難。容器集群k8s只提供了編排框架，額外的一切安全控制需要插件實(shí)現(xiàn)。

在打造“鏡界”產(chǎn)品時(shí)，袁曙光坦言遇到的難點(diǎn)不少：

一是當(dāng)時(shí)這個(gè)方向較前沿，可參考案例較少，只能一點(diǎn)點(diǎn)地去摸索和嘗試；

二是由于云原生涉及方方面面技術(shù)，不能說(shuō)“指哪打哪”，僅單點(diǎn)解決某個(gè)問(wèn)題，而是提供容器從鏡像端到容器運(yùn)行的完整生命周期防護(hù)。

由于云原生是一個(gè)較大的體系，擁有非常多的項(xiàng)目，國(guó)內(nèi)沒(méi)有很成熟的標(biāo)準(zhǔn)統(tǒng)一。云原生都是基于開(kāi)源的構(gòu)造，K8S、Docker等。云原生技術(shù)品類、插件版本分裂，開(kāi)發(fā)者和企業(yè)使用的可能均不相同，“鏡界”平臺(tái)都需要覆蓋和兼容到。

假如僅靠原有安全攻防知識(shí)來(lái)研發(fā)的話，袁曙光表示，“難度還是很大，光是把云原生環(huán)境搭起來(lái)就要從入門(mén)到放棄了，因?yàn)樘珡?fù)雜了。”

在他們充分深入研究云原生技術(shù)后，將其中的安全需求抽離出來(lái)，再結(jié)合團(tuán)隊(duì)扎實(shí)的安全技術(shù)，融合打造出“鏡界”平臺(tái)。

對(duì)此，小佑科技搭建一套容器云原生安全防護(hù)平臺(tái)——鏡界容器安全防護(hù)平臺(tái)。“鏡界”不僅對(duì)容器做全流程防護(hù)，還可無(wú)縫集成DevOps。提供容器資產(chǎn)管理、鏡像深度掃描、容器運(yùn)行監(jiān)控與控制、微服務(wù)及API安全、容器及集群的合規(guī)審計(jì)。該平臺(tái)保證容器從鏡像生成、存儲(chǔ)到容器運(yùn)行的全生命周期防護(hù)。且安裝部署方便，與Kubernetes兼容，可用性較高。

?

安全廠商群立，專注容器安全的小佑科技如何突圍而出？

盡管如此，兩年的小佑科技面對(duì)的競(jìng)爭(zhēng)一點(diǎn)不少：一是來(lái)自傳統(tǒng)安全廠商，這些廠商的產(chǎn)品全涵蓋邊緣計(jì)算、終端安全等全產(chǎn)品線，因?yàn)槠髽I(yè)采購(gòu)時(shí)通常整體采購(gòu)，小佑科技如何凸顯優(yōu)勢(shì)？

二是大云廠商也提供一些容器安全服務(wù)，那么專門(mén)針對(duì)容器安全、成立兩年的小佑科技如何“殺”出重圍？

袁曙光表示，之前企業(yè)很喜歡一些大集成的解決方案，總希望一家廠商就能包攬所有安全解決方案。如今安全負(fù)責(zé)人的專業(yè)水平和認(rèn)知的提升，對(duì)自身系統(tǒng)的安全需求較明確，知道自己缺什么再有針對(duì)性地去買。大而全的安全廠商盡管擁有自己的“拳頭”產(chǎn)品，但仍存在沒(méi)覆蓋到的細(xì)分領(lǐng)域，此時(shí)企業(yè)更愿意要該細(xì)分領(lǐng)域做得最專業(yè)的產(chǎn)品。企業(yè)不在乎這個(gè)細(xì)分的產(chǎn)品提供者是誰(shuí)，但該產(chǎn)品必須具備集成能力，這是如今云安全產(chǎn)品的趨勢(shì)。

像小佑科技等的創(chuàng)業(yè)公司專注做細(xì)分產(chǎn)品，并不是為了和大廠商的整條產(chǎn)品線 PK，而是針對(duì)該細(xì)分產(chǎn)品。小佑科技專注在較前沿的容器安全上，一些大的安全廠商內(nèi)部針對(duì)這條產(chǎn)品線可能沒(méi)有像小佑科技投入大，從這看小佑科技具備優(yōu)勢(shì)的。

小佑科技主要是私有云的大型行業(yè)用戶，大云廠商做安全產(chǎn)品和系統(tǒng)是深度耦合的，靈活性一般，可能滿足不了客戶復(fù)雜的個(gè)性化需求，傾向標(biāo)準(zhǔn)化的交付，不會(huì)給行業(yè)做個(gè)性化需求。在私有云上，客戶企業(yè)傾向于把基礎(chǔ)建設(shè)和安全分開(kāi)，私有云企業(yè)用戶甚至可能自建獨(dú)立的安全管理平臺(tái)，上層對(duì)接和開(kāi)放接口，從而接入一些外部安全能力來(lái)滿足自身需求。

“例如安卓手機(jī)有安全功能，但是很多用戶喜歡下載另外的安全管家來(lái)滿足個(gè)性化需求，不是僅用自帶功能，如此類推到云安全產(chǎn)品上，這正是我們的機(jī)遇。”袁曙光說(shuō)。

?

如何選擇云安全產(chǎn)品？

云安全產(chǎn)品眾多，企業(yè)該如何選擇適合自己的產(chǎn)品？袁曙光建議，不要選擇無(wú)法適應(yīng)未來(lái)IT架構(gòu)發(fā)展的產(chǎn)品。

在容器安全產(chǎn)品上，盡量選擇可彈性擴(kuò)容或適應(yīng)容器平臺(tái)發(fā)展技術(shù)路線的的產(chǎn)品。因?yàn)镮T架構(gòu)不斷在演進(jìn)，用戶以前規(guī)劃的安全手段無(wú)法部署，所以安全產(chǎn)品需適應(yīng)未來(lái)IT規(guī)劃。小佑科技提供的“鏡像”平臺(tái)為全容器化部署，該平臺(tái)本身適應(yīng)云原生的特點(diǎn)，還可提供微服務(wù)化和豐富的 API。

如今經(jīng)歷兩年多的探索，小佑科技前陣子完成千萬(wàn)級(jí)人民幣的天使輪融資。談及未來(lái)，袁曙光表示，將繼續(xù)加大在云原生安全領(lǐng)域的技術(shù)研發(fā)投入，為云原生的容器、Kubernetes集群、微服務(wù)以及 DevOps 提供可落地的安全解決方案，形成較完整的產(chǎn)品矩陣，做行業(yè)“云原生安全專家”。

更多閱讀推薦

• 下一代 IDE：Eclipse Che 究竟有什么奧秘？

• 竊隱私、放高利貸，輸入法的騷操作真不少！

• 進(jìn)入編譯器后，一個(gè)函數(shù)經(jīng)歷了什么？
  

• 程序員離職后收到原公司 2400 元，被告違反競(jìng)業(yè)協(xié)議賠 18 萬(wàn)

• 5年5億美金，華為昇騰如何爭(zhēng)奪AI開(kāi)發(fā)者？

總結(jié)

以上是生活随笔為你收集整理的17 年安全界老兵，专注打造容器安全能行吗？的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。