查看原文
其他

17 年安全界老兵,专注打造容器安全能行吗?

CSDN云计算 2020-12-18

The following article is from CSDN Author 伍杏玲

作者 | 伍杏玲
出品 | CSDN(ID:CSDNnews)
容器作为云原生的代表技术,很多人认为是容器技术掀起云原生的变革:2004 年,谷歌开始使用容器技术,并在2006年发布进程容器,将容器虚拟化基础设施引入 Linux 内核。2013 年,Docker 正式发布,随即成为现象级的开源项目,同年,“云原生”概念提出。
当容器浪潮席卷而来之际,随着容器的广泛应用,开发者重视容器安全技术。因为据 Gartner 分析师表示,“容器使用共享操作系统(OS)模型对主机操作系统中的漏洞的攻击可能导致所有容器被影响,容器本身并不安全,但由开发人员以不安全的方式部署,安全团队很少或根本没有参与,安全架构师也没有指导。传统的网络和基于主机的安全解决方案对容器是无效的。容器安全解决方案保护容器的整个生命周期安全,从产生到生产。”
早在 2018 年,专注容器安全的小佑科技就看到其中机遇,自研 PaaS 容器安全防护产品,致力为开发者解决容器全生命周期的安全问题,推出“镜界”容器安全防护平台。为什么他们如此早就重视容器安全?对此,CSDN 采访到小佑科技创始人&CEO 袁曙光,一起聊聊云原生时代下安全的那点事儿。

袁曙光


17年安全界老兵,探路容器安全

袁曙光是原联众游戏CISO,负责联众运维及安全工作,具有17年安全行业经验,在甲方、乙方公司分别呆过很长时间,从事过安全研发、售前、服务咨询及管理岗位,可以说是安全界的“老炮”。他带领懂云计算和安全技术的4人团队开启云原生安全创业之路。
为什么当初袁曙光不选择发展已久的传统安全,而是探索刚发展的云计算安全?
袁曙光表示,企业上云是全球趋势,一是当企业上云后,面临的安全威胁将会增多,所以说云安全是企业的刚需。二是在上云过程中,由于IT基础设施逐渐云化,云改变企业的底层基础设施架构,安全也随之往云化,传统安全架构不再适用于云上,云上防护的方式变得更多元化、复杂化,云安全将重新定义企业的安全架构。
今年,Gartner发布《Solution Comparison for the Native Security Capabilities 》报告,首次全面评估全球 TOP 云厂商的整体安全能力,这从侧面说明云安全是业内需重点关注的 IT 技术潮流之一。
其中,容器作为云计算新一代技术,正是未来十年云计算的核心,容器在云计算的地位像是发动机的“引擎”,据调查统计,有 83% CTO 愿意采用容器技术。Gartner 在 2017、2019 年将容器安全列入年度安全趋势,容器安全大有可为。


“镜像”容器平台


安全出身的袁曙光,在打造云时代安全产品时也遇到不少挫折。由于容器网络的虚拟化方式和传统完全不同,传统安全技术解决不了云时代下的安全问题。例如传统防火墙无法使用;防病毒网关在容器的虚拟化网络中无法使用;容器镜像分层存储,传统的漏洞扫描仅仅在OS和网络进行扫描;无论网络还是主机的IDS都无法检测到容器内的数据包……
云时代下,企业需要怎样的新型容器安全技术来防护呢?
袁曙光在探索的过程中,还发现以下容器安全痛点:
一、隔离性较弱。容器基于进程的隔离,其隔离性不如虚拟机强,可能导致容器逃逸攻击宿主机,为云计算的多租户安全提出挑战。
二、镜像漏洞多。镜像是容器运行的基础、官方的镜像有30%的镜像存在高危安全漏洞。
三、资产理不清。容器平均的存在时间为3分钟,快建快消的特点导致容器资产变化快。
四、安全控制难。容器集群k8s只提供了编排框架,额外的一切安全控制需要插件实现。
在打造“镜界”产品时,袁曙光坦言遇到的难点不少:
一是当时这个方向较前沿,可参考案例较少,只能一点点地去摸索和尝试;
二是由于云原生涉及方方面面技术,不能说“指哪打哪”,仅单点解决某个问题,而是提供容器从镜像端到容器运行的完整生命周期防护。
由于云原生是一个较大的体系,拥有非常多的项目,国内没有很成熟的标准统一。云原生都是基于开源的构造,K8S、Docker等。云原生技术品类、插件版本分裂,开发者和企业使用的可能均不相同,“镜界”平台都需要覆盖和兼容到。
假如仅靠原有安全攻防知识来研发的话,袁曙光表示,“难度还是很大,光是把云原生环境搭起来就要从入门到放弃了,因为太复杂了。”
在他们充分深入研究云原生技术后,将其中的安全需求抽离出来,再结合团队扎实的安全技术,融合打造出“镜界”平台。
对此,小佑科技搭建一套容器云原生安全防护平台——镜界容器安全防护平台。“镜界”不仅对容器做全流程防护,还可无缝集成DevOps。提供容器资产管理、镜像深度扫描、容器运行监控与控制、微服务及API安全、容器及集群的合规审计。该平台保证容器从镜像生成、存储到容器运行的全生命周期防护。且安装部署方便,与Kubernetes兼容,可用性较高。
 

安全厂商群立,专注容器安全的小佑科技如何突围而出?



尽管如此,两年的小佑科技面对的竞争一点不少:一是来自传统安全厂商,这些厂商的产品全涵盖边缘计算、终端安全等全产品线,因为企业采购时通常整体采购,小佑科技如何凸显优势?
二是大云厂商也提供一些容器安全服务,那么专门针对容器安全、成立两年的小佑科技如何“杀”出重围?
袁曙光表示,之前企业很喜欢一些大集成的解决方案,总希望一家厂商就能包揽所有安全解决方案。如今安全负责人的专业水平和认知的提升,对自身系统的安全需求较明确,知道自己缺什么再有针对性地去买。大而全的安全厂商尽管拥有自己的“拳头”产品,但仍存在没覆盖到的细分领域,此时企业更愿意要该细分领域做得最专业的产品。企业不在乎这个细分的产品提供者是谁,但该产品必须具备集成能力,这是如今云安全产品的趋势。
像小佑科技等的创业公司专注做细分产品,并不是为了和大厂商的整条产品线 PK,而是针对该细分产品。小佑科技专注在较前沿的容器安全上,一些大的安全厂商内部针对这条产品线可能没有像小佑科技投入大,从这看小佑科技具备优势的。
小佑科技主要是私有云的大型行业用户,大云厂商做安全产品和系统是深度耦合的,灵活性一般,可能满足不了客户复杂的个性化需求,倾向标准化的交付,不会给行业做个性化需求。在私有云上,客户企业倾向于把基础建设和安全分开,私有云企业用户甚至可能自建独立的安全管理平台,上层对接和开放接口,从而接入一些外部安全能力来满足自身需求。
例如安卓手机有安全功能,但是很多用户喜欢下载另外的安全管家来满足个性化需求,不是仅用自带功能,如此类推到云安全产品上,这正是我们的机遇。”袁曙光说。
 

如何选择云安全产品?


云安全产品众多,企业该如何选择适合自己的产品?袁曙光建议,不要选择无法适应未来IT架构发展的产品。
在容器安全产品上,尽量选择可弹性扩容或适应容器平台发展技术路线的的产品。因为IT架构不断在演进,用户以前规划的安全手段无法部署,所以安全产品需适应未来IT规划。小佑科技提供的“镜像”平台为全容器化部署,该平台本身适应云原生的特点,还可提供微服务化和丰富的 API。
如今经历两年多的探索,小佑科技前阵子完成千万级人民币的天使轮融资。谈及未来,袁曙光表示,将继续加大在云原生安全领域的技术研发投入,为云原生的容器、Kubernetes集群、微服务以及 DevOps 提供可落地的安全解决方案,形成较完整的产品矩阵,做行业“云原生安全专家”。

更多阅读推荐

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存