剛剛過去的五月，全球知名的電動車及能源公司發(fā)生了大規(guī)模的數(shù)據(jù)泄露，再次給安全行業(yè)敲響了警鐘。數(shù)字化時(shí)代，云原生技術(shù)在發(fā)揮數(shù)字業(yè)務(wù)快速交付與迭代優(yōu)勢的同時(shí)，帶來了新的安全風(fēng)險(xiǎn)和挑戰(zhàn)。

對此，企業(yè)應(yīng)該如何應(yīng)對？帶著這樣的問題，我們與SUSE 安全產(chǎn)品戰(zhàn)略副總裁黃飛展開了一場深度對話。

新技術(shù)帶來新風(fēng)險(xiǎn)

虛擬機(jī)、容器、服務(wù)網(wǎng)格、多集群間通信、多云和混合云、Serverless 等新技術(shù)不斷涌現(xiàn)，對安全邊界提出了越來越多的要求。

2014 年流行起來的容器技術(shù)算是跨時(shí)代的變革，它與 Kubernetes 等技術(shù)共同助力企業(yè)實(shí)現(xiàn)了應(yīng)用程序部署等諸多方面的自動化，但同時(shí)也帶來了新的安全挑戰(zhàn)。黃飛認(rèn)為挑戰(zhàn)主要包括四個(gè)方面：首先容器更新迭代非常快，傳統(tǒng)的保護(hù)方式已經(jīng)不適用于容器環(huán)境；第二是軟件生產(chǎn)的流程自動化，容器開發(fā)階段每天可達(dá)上千次的軟件發(fā)布依賴整套 CI/CD 自動化流程控制；三是越來越多的企業(yè)開始在跨云多云環(huán)境部署容器；四是容器將單一的應(yīng)用變成了成百上千的微服務(wù)，導(dǎo)致服務(wù)內(nèi)部通信爆發(fā)式的增長。

Kubernetes 采用虛擬化技術(shù)，數(shù)據(jù)、網(wǎng)絡(luò)、計(jì)算等層面的全部虛擬化對于應(yīng)用程序開發(fā)者來講非常實(shí)用。然而，這卻讓運(yùn)維安全人員無法了解容器的運(yùn)行狀況，即虛擬化技術(shù)本身對安全管控形成了一定的屏障，這無疑升級了安全挑戰(zhàn)。

使用“零信任”升級傳統(tǒng)安全

2021 年底，“核彈級”的 Log4j 漏洞爆發(fā)，大量企業(yè)被波及。黃飛將Log4j 比喻為洋蔥芯中的bug，因?yàn)樗粚訉影?、嵌入在其他軟件包中，很難被常見的掃描方法識別到。他認(rèn)為對付此類漏洞，首先要從源頭進(jìn)行有效的掃描和控制CVE 安全漏洞；而對于無法下線進(jìn)行修復(fù)的應(yīng)用程序，零信任安全則是最有效的保護(hù)方法。

像Log4j 這樣的高危漏洞隨著開源軟件的廣泛使用而與日俱增，但傳統(tǒng)安全工具在云環(huán)境很難提供全面的保護(hù)。此外，隨著公有云的快速發(fā)展，業(yè)界對安全界限的認(rèn)識也出現(xiàn)了分歧。“很多客戶認(rèn)為公有云的安全應(yīng)該完全交給供公有云廠商，但事實(shí)并非如此?！秉S飛強(qiáng)調(diào)，應(yīng)用程序級別的安全必須由各個(gè)企業(yè)用戶自己負(fù)責(zé)。這意味著，面對越來越多未知的安全風(fēng)險(xiǎn)，企業(yè)的安全防護(hù)要從被動式的安全逐漸過渡到主動式安全。

主動安全是一個(gè)新的概念，無論處于云原生化的哪一個(gè)階段，企業(yè)都可以采取較為主動的零信任安全功能來提高效率。“零信任安全并不需要推翻一切從零開始，企業(yè)可以循序漸進(jìn)地進(jìn)行部署?！秉S飛認(rèn)為，傳統(tǒng)安全能夠堵住已知的安全漏洞，而零信任安全能夠防范未知的安全風(fēng)險(xiǎn)，傳統(tǒng)安全與零信任安全的疊加使用可以幫助企業(yè)實(shí)現(xiàn)多層防護(hù)。

同時(shí)，考慮到大部分企業(yè)已經(jīng)在傳統(tǒng)安全上投入了大量資源和金錢，根據(jù)企業(yè)的實(shí)際情況選擇最有效的方面開始針對性部署零信任安全也是最經(jīng)濟(jì)的方式。

黃飛把整個(gè)云原生零信任安全的實(shí)施劃分成四個(gè)階段：用戶和可視化；設(shè)備、網(wǎng)絡(luò)和環(huán)境；應(yīng)用程序、服務(wù)和編排管理；數(shù)據(jù)、自動化和合規(guī)檢查。企業(yè)無需推翻所有的安全投資和配置，可以從某一個(gè)單點(diǎn)開始介入和部署，逐步深化。

NeuVector 在創(chuàng)立之初就專注于容器安全，能夠提供端到端的安全服務(wù)以及從 DevOps 流水線漏洞保護(hù)到生產(chǎn)中的自動化安全和合規(guī)性，可以作為零信任安全模型的重要部分，實(shí)現(xiàn)對容器環(huán)境的實(shí)時(shí)安全保護(hù)和威脅檢測。

開源為云原生安全帶來更多可能

2022 年1 月，在被 SUSE 收購3 個(gè)月后，NeuVector 宣布開源，成為業(yè)界首個(gè)端到端的開源容器安全平臺?！斑@是推動容器安全發(fā)展的重要里程碑。”作為 NeuVector 的聯(lián)合創(chuàng)始人兼創(chuàng)始 CEO 的黃飛評價(jià)道。

NeuVector 本身擁有十幾項(xiàng)技術(shù)專利，包括深層數(shù)據(jù)包檢查和行為學(xué)習(xí)，可識別適當(dāng)?shù)娜萜餍袨?，并且僅允許在容器環(huán)境中經(jīng)過批準(zhǔn)的白名單進(jìn)行網(wǎng)絡(luò)鏈接、進(jìn)程訪問和文件存取。NeuVector 在運(yùn)行時(shí)提供完整的攻擊檢測和預(yù)防，主動保護(hù)生產(chǎn)環(huán)境；作為容器部署，具有高度擴(kuò)展能力。NeuVector 開源之后，所有加入開源專利聯(lián)盟的企業(yè)都可以開誠布公地合作，共享專利與技術(shù)，這對整個(gè)軟件平臺產(chǎn)業(yè)的發(fā)展至關(guān)重要。

NeuVector：Kubernetes 安全與合規(guī)一體化平臺

黃飛表示加入 SUSE 后學(xué)到的最重要的東西是開放性。NeuVector 雖然是SUSE 的安全產(chǎn)品，但其開源容器鏡像可以安裝在任何流行的 Kubernetes 集群上，可以支持包括紅帽 OpenShift、VMWare Tanzu 等在內(nèi)的眾多企業(yè)級容器管理平臺，以及Google GKE、Amazon EKS、Microsoft Azure AKS 等K8s 發(fā)行版。秉承開放戰(zhàn)略，NeuVector 將始終致力于成為所有云原生環(huán)境的優(yōu)秀安全解決方案。

打造全棧云原生平臺能力，全方位守護(hù)云安全

“SUSE 的愿景不僅僅是打通 Linux 操作系統(tǒng)，而是提供從操作系統(tǒng)到容器管理平臺再到云安全方案的一整套解決方案，這也是業(yè)界發(fā)展的一個(gè)趨勢?！秉S飛介紹，隨著 Rancher 和NeuVector 的加入，SUSE 快速增長，現(xiàn)在逐漸擁有了幾乎是全棧的云原生平臺能力。

目前，SUSE 是唯一一家通過最高級別加密認(rèn)證 FIPS 的 Linux 平臺，新一代 SUSE Linux 操作系統(tǒng)開始集成機(jī)密計(jì)算技術(shù)，各個(gè)產(chǎn)品都在持續(xù)開發(fā)各種各樣的安全功能。

黃飛介紹，企業(yè)級的操作系統(tǒng)管理平臺 SUSE Manager 能統(tǒng)一管控安全掃描以及補(bǔ)丁功能；SUSE 為 CNCF 貢獻(xiàn)的重要安全工具 Kubewarden，能夠幫助 Kubernetes 集中管理安全策略；企業(yè)容器管理平臺 Rancher Prime 提供集群的全生命周期管理，不僅可以跨云統(tǒng)一創(chuàng)建集群，還可以統(tǒng)一管理、升級和配置集群。此外，Rancher Prime 與零信任容器安全平臺 NeuVector 的集成，讓Rancher Prime 能夠滿足整個(gè)應(yīng)用生命周期中的主要安全場景的需求。

面對云原生的快速發(fā)展與廣泛應(yīng)用，SUSE 也在持續(xù)投資和發(fā)展安全生產(chǎn)線，來幫助企業(yè)應(yīng)對云原生安全挑戰(zhàn)。黃飛透露，SUSE 安全產(chǎn)品未來會側(cè)重于四個(gè)方面：一是會持續(xù)引領(lǐng)新一代的零信任安全技術(shù)；二是將安全自動化技術(shù)合理地嵌入到更多的平臺和流程中；三是致力于為客戶降低云原生安全管理的復(fù)雜性；最后，SUSE 也會持續(xù)拓展安全邊界，根據(jù)客戶的需求去支持更多、更大規(guī)模的超級分布式計(jì)算系統(tǒng)環(huán)境和場景。

受訪嘉賓：黃飛，SUSE 安全產(chǎn)品戰(zhàn)略副總裁

黃飛在企業(yè)安全、虛擬化、云計(jì)算和嵌入式軟件方面擁有超過 25 年的工作經(jīng)驗(yàn)，是 CloudVolumes （被 VMware 收購）創(chuàng)始團(tuán)隊(duì)成員，DLP 安全公司 Provilla 的聯(lián)合創(chuàng)始人，是新一代 Kubernetes 安全公司 NeuVector （2021 年被 SUSE 收購）的聯(lián)合創(chuàng)始人和創(chuàng)始 CEO。在安全、虛擬化和軟件架構(gòu)方面擁有 10 多項(xiàng)美國技術(shù)專利。