如何釋放云原生的“彈性”優(yōu)勢(shì)

喬高馳

根據(jù)云原生計(jì)算基金會(huì)（CNCF）對(duì)云原生概念的定義，云原生是讓應(yīng)用更有彈性、容錯(cuò)性、觀測(cè)性的基礎(chǔ)技術(shù)，讓應(yīng)用更容易部署、管理基礎(chǔ)軟件，讓應(yīng)用更容易編寫、編排運(yùn)行框架等。

面對(duì)當(dāng)前云計(jì)算、5G、大數(shù)據(jù)等新型技術(shù)的發(fā)展，云原生技術(shù)的落地，使千行百業(yè)用戶在單一或多種云環(huán)境中更具彈性擴(kuò)展的優(yōu)勢(shì)，上了云的用戶能更加靈敏地在云上“沖浪”。

可以說，“云原生”3個(gè)字本身就飽含了用戶對(duì)其寄托的使命：讓軟件在誕生之際就從云端出發(fā)，在遵循新的軟件開發(fā)、發(fā)布和運(yùn)維模式等前提下，能夠最大程度地發(fā)揮云的優(yōu)勢(shì)效益。

云原生的代表技術(shù)琳瑯滿目，主要包含了容器、微服務(wù)、DevOps、服務(wù)網(wǎng)格、聲明式API和不可變基礎(chǔ)設(shè)施等。容器作為微服務(wù)的最佳載體，隨著越來(lái)越多組織向微服務(wù)或者DevOps轉(zhuǎn)型，容器在計(jì)算環(huán)境中扮演了越來(lái)重要的角色。以容器為代表的云原生技術(shù)在為用戶提供較大程度的彈性拓展優(yōu)勢(shì)時(shí)，也產(chǎn)生了一系列的問題。

層出不窮的云原生應(yīng)用漏洞威脅

面對(duì)越來(lái)越蓬勃的容器云原生市場(chǎng)，相關(guān)組織在2021年發(fā)布的容器和Kubernetes安全態(tài)勢(shì)報(bào)告顯示，針對(duì)云原生應(yīng)用的威脅已越來(lái)越多。在過去的12個(gè)月里，有94 %的組織在其容器環(huán)境中遇到過安全問題，其中69 %的組織檢測(cè)到錯(cuò)誤配置，27 %的組織在運(yùn)行時(shí)遇到安全事件，還有24 %的組織發(fā)現(xiàn)了嚴(yán)重的安全漏洞。

容器運(yùn)行時(shí)階段高級(jí)威脅不絕

從縱向威脅層面上來(lái)看，由于Docker容器與宿主機(jī)共用內(nèi)核，在內(nèi)核層面的隔離性不足。這使得攻擊者可通過利用漏洞“逃逸”出自身?yè)碛械臋?quán)限，實(shí)現(xiàn)對(duì)宿主機(jī)或者宿主機(jī)上其他容器的訪問。臟牛、Docker runC等眾多漏洞都有可能成為觸發(fā)容器逃逸的一環(huán)。從橫向威脅層面上來(lái)看，攻擊者可利用被攻擊方在啟動(dòng)容器時(shí)的不安全配置發(fā)起DDoS類型的攻擊。

過分占用業(yè)務(wù)系統(tǒng)資源

企業(yè)用戶通過堆疊多個(gè)安全Agent軟件以此應(yīng)對(duì)各種安全需求，在實(shí)際環(huán)境中產(chǎn)生了嚴(yán)重的性能消耗，影響業(yè)務(wù)應(yīng)用的正常運(yùn)行。若云原生安全產(chǎn)品過多地?fù)屨加脩糍Y源而侵害了用戶業(yè)務(wù)應(yīng)用的可用性，某種程度上來(lái)說，將使得安全失去意義。

總體上來(lái)說，云原生和云原生安全的出現(xiàn)確實(shí)為企業(yè)用戶業(yè)務(wù)系統(tǒng)的快速拓展提供了更加靈活的環(huán)境與方式，但帶來(lái)的問題也不容忽視。為了更好地抓住數(shù)字經(jīng)濟(jì)時(shí)代下的黃金發(fā)展風(fēng)口，助推業(yè)務(wù)系統(tǒng)快速更迭，用戶需積極應(yīng)對(duì)上述問題，以便抓住云原生的優(yōu)勢(shì)，搶占先機(jī)。

云甲可提供容器全生命周期安全防護(hù)。通過透明化分析鏡像容器資產(chǎn)信息、在鏡像倉(cāng)庫(kù)和運(yùn)行容器中，引入病毒檢測(cè)、異常檢測(cè)和合規(guī)掃描，截?cái)鄲阂獯a代入到運(yùn)行環(huán)境，檢測(cè)防護(hù)容器自身、部署環(huán)境及運(yùn)行時(shí)的安全。通過監(jiān)控POD、容器流量訪問，控制惡意流量入侵、配置網(wǎng)絡(luò)策略，全方位保障容器云安全。

做好多重安全，阻斷高危漏洞威脅

在持續(xù)集成/部署階段的安全防護(hù)中，可針對(duì)鏡像進(jìn)行漏洞風(fēng)險(xiǎn)、病毒木馬、敏感信息以及歷史記錄的風(fēng)險(xiǎn)檢查，通過特定策略阻止風(fēng)險(xiǎn)鏡像被實(shí)例化成容器。在運(yùn)行環(huán)境中，可采用雙線應(yīng)對(duì)運(yùn)行時(shí)安全，通過靜態(tài)檢測(cè)和動(dòng)態(tài)監(jiān)控檢測(cè)容器運(yùn)行時(shí)的已知風(fēng)險(xiǎn)和未知風(fēng)險(xiǎn)，同時(shí)對(duì)服務(wù)器進(jìn)行安全合規(guī)檢查。

威脅檢測(cè)模型構(gòu)建容器運(yùn)行時(shí)安全

基于威脅檢測(cè)模型所構(gòu)建的、基于規(guī)則的已知威脅檢測(cè)技術(shù)，以及基于行為模型的未知威脅檢測(cè)技術(shù)，賦予產(chǎn)品：容器Web進(jìn)程監(jiān)控、容器逃逸、內(nèi)存馬查殺、行為模型等多種功能，以實(shí)時(shí)有效地檢測(cè)和應(yīng)對(duì)高級(jí)威脅。

多種部署模式，有效解決資源占用顧慮

面對(duì)容器云越來(lái)越多的用戶環(huán)境，部署需求不盡相同。云甲采用平行容器和宿主機(jī)Agent兩套方案設(shè)計(jì)來(lái)支持容器云安全問題，包括：

平行容器部署模式

平行容器滿足更強(qiáng)的彈性伸縮，其利用容器的隔離性和良好的資源控制能力，在容器宿主機(jī)中部署防護(hù)容器以對(duì)主機(jī)文件系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控和處理響應(yīng)，對(duì)宿主機(jī)環(huán)境依賴小，管理方便。

宿主機(jī)Agent部署模式

實(shí)現(xiàn)宿主機(jī)安全、容器安全兩種防護(hù)效果，通過在宿主機(jī)部署代理程序的方式，提供基礎(chǔ)的安全防護(hù)能力以及容器的清點(diǎn)、監(jiān)控、防護(hù)及響應(yīng)能力。在支持宿主機(jī)防護(hù)的基礎(chǔ)上，可達(dá)到高效率、低損耗的效果，同時(shí)資源占用可管控，對(duì)業(yè)務(wù)影響小。

在云原生技術(shù)的帶動(dòng)下，容器等為代表的云原生安全也至關(guān)重要。安全向來(lái)是環(huán)環(huán)相扣，只有做好容器全生命周期的安全防護(hù)，才能讓用戶安全無(wú)憂。作為云安全&云原生安全領(lǐng)域的領(lǐng)導(dǎo)廠商，安全狗旗下的容器云原生安全產(chǎn)品·云甲也倍受國(guó)際權(quán)威機(jī)構(gòu)Gartner的認(rèn)可。未來(lái)，安全狗云甲也將向更加簡(jiǎn)單、易于用戶操作、有利于用戶業(yè)務(wù)穩(wěn)定發(fā)展的方向持續(xù)演進(jìn)。