刚刚过去的五月,世界出名的电动车及动力公司出现了大规模的数据暴露,再次给安保行业敲响了警钟。数字化时代,云原生技术在施展数字业务极速交付与迭代长处的同时,带来了新的安保危险和应战。
对此,企业应该如何应答?带着这样的疑问,咱们与SUSE 安保产品战略副总裁黄飞展开了一场深度对话。
服务网格、多集群间通讯、多云和混合云、Serverless 等新技术不时涌现,对安保边界提出了越来越多的要求。
2014年盛行起来的容器技术算是跨时代的改革,它与 Kubernetes 等技术独特助力企业成功了运行程序部署等诸多方面的智能化,但同时也带来了新的安保应战。黄飞以为应战关键包含四个方面:首先容器更新迭代十分快,传统的包全模式曾经不适用于容器环境;第二是软件消费的流程智能化,容器开发阶段每天可达上千次的软件颁布依赖整套 CI/CD 智能化流程控制;三是越来越多的企业开局在跨云多云环境部署容器;四是容器将繁多的运行变成了成千盈百的微服务,造成服务外部通讯迸发式的增长。
Kubernetes 驳回虚构化技术,数据、网络、计算等层面的所有虚构化关于运行程序开发者来讲十分适用。但是,这却让运维安保人员不可了解容器的运转状况,即虚构化技术自身对安保存控构成了必定的屏障,这无疑更新了安保应战。
经常使用“零信赖”更新传统安保
2021年底,“核弹级”的 Log4j 破绽迸发,少量企业被涉及。黄飞将Log4j 比喻为洋葱芯中的bug,由于它被层层包裹、嵌入在其余软件包中,很难被经常出现的扫描方法识别到。他以为对付此类破绽,首先要从源头启动有效的扫描和控制CVE 安保破绽;而关于不可下线启动修复的运行程序,零信赖安保则是最有效的包全方法。
像Log4j 这样的高危破绽随着开源软件的宽泛经常使用而日积月累,但传统安保工具在云环境很难提供片面的包全。此外,随着私有云的极速开展,业界对安保界限的意识也出现了一致。“很多客户以为私有云的安保应该齐全交给供私有云厂商,但理想并非如此。”黄飞强调,运行程序级别的安保必定由各个企业用户自己担任。这象征着,面对越来越多未知的安保危险, 企业的安保防护要从主动式的安保逐渐过渡到主动式安保。
主动安保是一个新的概念,无论处于云原生化的哪一个阶段,企业都可以采取较为主动的零信赖安保性能来提高效率。“零信赖安保并不须要颠覆一切从零开局,企业可以墨守成规地启动部署。”黄飞以为, 传统安保能够堵住已知的安保破绽,而零信赖安保能够防范未知的安保危险,传统安保与零信赖安保的叠加经常使用可以协助企业成功多层防护。
同时,思考到大局部企业曾经在传统安保上投入了少量资源和金钱,依据企业的实践状况选用最有效的方面开局针对性部署零信赖安保也是最经济的模式。
黄飞把整个云原生零信赖安保的实施划分红四个阶段:用户和可视化;设施、网络和环境;运行程序、服务和编排治理;数据、智能化和合规审核。 企业无需颠覆一切的安保投资和性能,可以从某一个单点开局参与和部署,逐渐深化。
NeuVector在创立之初就专一于容器安保,能够提供端到端的安保服务以及从 DevOps 流水线破绽包全到消费中的智能化安保和合规性,可以作为零信赖安保模型的关键局部,成功对容器环境的实时安保包全和要挟检测。
开源为云原生安保带来更多或者
2022年1 月,在被 SUSE 收买3 个月后,NeuVector 发表开源,成为业界首个端到端的开源容器安保平台 。“这是推进容器安保开展的关键里程碑。”作为 NeuVector 的联结开创人兼开创 CEO 的黄飞评估道。
NeuVector自身领有十几项技术专利,包含深层数据包审核和行为学习,可识别适当的容器行为,并且仅准许在容器环境中经过同意的白名单启动网络链接、进程访问和文件存取。NeuVector 在运转时提供完整的攻打检测和预防,主动包全消费环境;作为容器部署,具备高度扩展才干。NeuVector 开源之后,一切添加开源专利联盟的企业都可以推心置腹地协作,共享专利与技术,这对整个软件平台产业的开展至关关键。
NeuVector:Kubernetes 安保与合规一体化平台
黄飞示意添加SUSE 后学到的最关键的物品是放开性。NeuVector 只管是SUSE 的安保产品,但其开源容器镜像可以装置在任何盛行的 Kubernetes 集群上,可以支持包含红帽 OpenShift、VMWare Tanzu 等在内的泛滥企业级容器治理平台,以及Google GKE、Amazon EKS、Microsoft Azure AKS 等K8s 发行版。 秉承放开战略,NeuVector 将一直努力于成为一切云原生环境的低劣安保处置打算。
打造全栈云原生平台才干,全方位守护云安保
“SUSE的愿景不只仅是买通 Linux 操作系统,而是提供从操作系统到容器治理平台再到云安保打算的一整套处置打算,这也是业界开展的一个趋向。”黄飞引见,随着 Rancher 和NeuVector 的添加,SUSE 极速增长,如今逐渐领有了简直是全栈的云原生平台才干。
目前,SUSE 是惟逐一家经过最初级别加密认证 FIPS 的 Linux 平台,新一代 SUSE Linux 操作系统开局集成秘密计算技术,各个产品都在继续开发各种各样的安保性能。
黄飞引见,企业级的操作系统治理平台 SUSE Manager 能一致管控安保扫描以及补丁性能;SUSE 为 CNCF 奉献的关键安保工具 Kubewarden,能够协助 Kubernetes 集中治理安保战略;企业容器治理平台 Rancher Prime 提供集群的全生命周期治理,不只可以跨云一致创立集群,还可以一致治理、更新和性能集群。此外, Rancher Prime 与零信赖容器安保平台 NeuVector 的集成,让Rancher Prime 能够满足整个运行生命周期中的关键安保场景的需求。
面对云原生的极速开展与宽泛运行,SUSE 也在继续投资和开展安保消费线,来协助企业应答云原生安保应战。黄飞泄漏,SUSE 安保产品未来会并重于四个方面:一是会继续引领新一代的零信赖安保技术;二是将安保智能化技术正当地嵌入到更多的平台和流程中;三是努力于为客户下降云原生安保治理的复杂性;最后,SUSE 也会继续拓展安保边界,依据客户的需求去支持更多、更大规模的超级散布式计算系统环境和场景。
受访嘉宾:黄飞,SUSE 安保产品战略副总裁
黄飞在企业安保、虚构化、云计算和嵌入式软件方面领有超越 25 年的上班阅历,是 CloudVolumes 开创团队成员,DLP 安保公司 Provilla 的联结开创人,是新一代 Kubernetes 安保公司 NeuVector (2021 年被 SUSE 收买)的联结开创人和开创 CEO。在安保、虚构化和软件架构方面领有 10 多项美国技术专利。