剛剛過去的五月，全球知名的電動車及能源公司發(fā)生了大規(guī)模的數(shù)據(jù)泄露，再次給安全行業(yè)敲響了警鐘。數(shù)字化時代，云原生技術(shù)在發(fā)揮數(shù)字業(yè)務(wù)快速交付與迭代優(yōu)勢的同時，帶來了新的安全風(fēng)險和挑戰(zhàn)。

對此，企業(yè)應(yīng)該如何應(yīng)對？近日，SUSE 安全產(chǎn)品戰(zhàn)略副總裁黃飛進行了深度分享。

黃飛，SUSE 安全產(chǎn)品戰(zhàn)略副總裁

(資料圖)

新技術(shù)帶來新風(fēng)險

虛擬機、容器、服務(wù)網(wǎng)格、多集群間通信、多云和混合云、Serverless 等新技術(shù)不斷涌現(xiàn)，對安全邊界提出了越來越多的要求。

2014 年流行起來的容器技術(shù)算是跨時代的變革，它與 Kubernetes 等技術(shù)共同助力企業(yè)實現(xiàn)了應(yīng)用程序部署等諸多方面的自動化，但同時也帶來了新的安全挑戰(zhàn)。黃飛認為挑戰(zhàn)主要包括四個方面：首先容器更新迭代非常快，傳統(tǒng)的保護方式已經(jīng)不適用于容器環(huán)境；第二是軟件生產(chǎn)的流程自動化，容器開發(fā)階段每天可達上千次的軟件發(fā)布依賴整套 CI/CD 自動化流程控制；三是越來越多的企業(yè)開始在跨云多云環(huán)境部署容器；四是容器將單一的應(yīng)用變成了成百上千的微服務(wù)，導(dǎo)致服務(wù)內(nèi)部通信爆發(fā)式的增長。

Kubernetes 采用虛擬化技術(shù)，數(shù)據(jù)、網(wǎng)絡(luò)、計算等層面的全部虛擬化對于應(yīng)用程序開發(fā)者來講非常實用。然而，這卻讓運維安全人員無法了解容器的運行狀況，即虛擬化技術(shù)本身對安全管控形成了一定的屏障，這無疑升級了安全挑戰(zhàn)。

使用“零信任”升級傳統(tǒng)安全

2021 年底，“核彈級”的 Log4j 漏洞爆發(fā)，大量企業(yè)被波及。黃飛將 Log4j 比喻為洋蔥芯中的 bug，因為它被層層包裹、嵌入在其他軟件包中，很難被常見的掃描方法識別到。他認為對付此類漏洞，首先要從源頭進行有效的掃描和控制 CVE 安全漏洞；而對于無法下線進行修復(fù)的應(yīng)用程序，零信任安全則是最有效的保護方法。

像 Log4j 這樣的高危漏洞隨著開源軟件的廣泛使用而與日俱增，但傳統(tǒng)安全工具在云環(huán)境很難提供全面的保護。此外，隨著公有云的快速發(fā)展，業(yè)界對安全界限的認識也出現(xiàn)了分歧?！昂芏嗫蛻粽J為公有云的安全應(yīng)該完全交給供公有云廠商，但事實并非如此?！秉S飛強調(diào)，應(yīng)用程序級別的安全必須由各個企業(yè)用戶自己負責(zé)。這意味著，面對越來越多未知的安全風(fēng)險，企業(yè)的安全防護要從被動式的安全逐漸過渡到主動式安全。

主動安全是一個新的概念，無論處于云原生化的哪一個階段，企業(yè)都可以采取較為主動的零信任安全功能來提高效率?！傲阈湃伟踩⒉恍枰品磺袕牧汩_始，企業(yè)可以循序漸進地進行部署?！秉S飛認為，傳統(tǒng)安全能夠堵住已知的安全漏洞，而零信任安全能夠防范未知的安全風(fēng)險，傳統(tǒng)安全與零信任安全的疊加使用可以幫助企業(yè)實現(xiàn)多層防護。

同時，考慮到大部分企業(yè)已經(jīng)在傳統(tǒng)安全上投入了大量資源和金錢，根據(jù)企業(yè)的實際情況選擇最有效的方面開始針對性部署零信任安全也是最經(jīng)濟的方式。

黃飛把整個云原生零信任安全的實施劃分成四個階段：用戶和可視化；設(shè)備、網(wǎng)絡(luò)和環(huán)境；應(yīng)用程序、服務(wù)和編排管理；數(shù)據(jù)、自動化和合規(guī)檢查。企業(yè)無需推翻所有的安全投資和配置，可以從某一個單點開始介入和部署，逐步深化。

NeuVector 在創(chuàng)立之初就專注于容器安全，能夠提供端到端的安全服務(wù)以及從 DevOps 流水線漏洞保護到生產(chǎn)中的自動化安全和合規(guī)性，可以作為零信任安全模型的重要部分，實現(xiàn)對容器環(huán)境的實時安全保護和威脅檢測。

開源為云原生安全帶來更多可能

2022 年 1 月，在被 SUSE 收購 3 個月后，NeuVector宣布開源，成為業(yè)界首個端到端的開源容器安全平臺?！斑@是推動容器安全發(fā)展的重要里程碑?！弊鳛?NeuVector 的聯(lián)合創(chuàng)始人兼創(chuàng)始 CEO 的黃飛評價道。

NeuVector 本身擁有十幾項技術(shù)專利，包括深層數(shù)據(jù)包檢查和行為學(xué)習(xí)，可識別適當?shù)娜萜餍袨椋⑶覂H允許在容器環(huán)境中經(jīng)過批準的白名單進行網(wǎng)絡(luò)鏈接、進程訪問和文件存取。NeuVector 在運行時提供完整的攻擊檢測和預(yù)防，主動保護生產(chǎn)環(huán)境；作為容器部署，具有高度擴展能力。NeuVector 開源之后，所有加入開源專利聯(lián)盟的企業(yè)都可以開誠布公地合作，共享專利與技術(shù)，這對整個軟件平臺產(chǎn)業(yè)的發(fā)展至關(guān)重要。

NeuVector：Kubernetes 安全與合規(guī)一體化平臺

黃飛表示加入 SUSE 后學(xué)到的最重要的東西是開放性。NeuVector 雖然是 SUSE 的安全產(chǎn)品，但其開源容器鏡像可以安裝在任何流行的 Kubernetes 集群上，可以支持包括紅帽 OpenShift、VMWare Tanzu 等在內(nèi)的眾多企業(yè)級容器管理平臺，以及 Google GKE、Amazon EKS、Microsoft Azure AKS 等 K8s 發(fā)行版。秉承開放戰(zhàn)略，NeuVector將始終致力于成為所有云原生環(huán)境的優(yōu)秀安全解決方案。

打造全棧云原生平臺能力，全方位守護云安全

“SUSE 的愿景不僅僅是打通 Linux 操作系統(tǒng)，而是提供從操作系統(tǒng)到容器管理平臺再到云安全方案的一整套解決方案，這也是業(yè)界發(fā)展的一個趨勢。”黃飛介紹，隨著 Rancher 和 NeuVector 的加入，SUSE 快速增長，現(xiàn)在逐漸擁有了幾乎是全棧的云原生平臺能力。

目前，SUSE 是唯一一家通過最高級別加密認證 FIPS 的 Linux 平臺，新一代 SUSE Linux 操作系統(tǒng)開始集成機密計算技術(shù)，各個產(chǎn)品都在持續(xù)開發(fā)各種各樣的安全功能。

黃飛介紹，企業(yè)級的操作系統(tǒng)管理平臺 SUSE Manager 能統(tǒng)一管控安全掃描以及補丁功能；SUSE 為 CNCF 貢獻的重要安全工具 Kubewarden，能夠幫助 Kubernetes 集中管理安全策略；企業(yè)容器管理平臺 Rancher Prime 提供集群的全生命周期管理，不僅可以跨云統(tǒng)一創(chuàng)建集群，還可以統(tǒng)一管理、升級和配置集群。此外，Rancher Prime與零信任容器安全平臺 NeuVector的集成，讓Rancher Prime能夠滿足整個應(yīng)用生命周期中的主要安全場景的需求。

面對云原生的快速發(fā)展與廣泛應(yīng)用，SUSE 也在持續(xù)投資和發(fā)展安全生產(chǎn)線，來幫助企業(yè)應(yīng)對云原生安全挑戰(zhàn)。黃飛透露，SUSE 安全產(chǎn)品未來會側(cè)重于四個方面：一是會持續(xù)引領(lǐng)新一代的零信任安全技術(shù)；二是將安全自動化技術(shù)合理地嵌入到更多的平臺和流程中；三是致力于為客戶降低云原生安全管理的復(fù)雜性；最后，SUSE 也會持續(xù)拓展安全邊界，根據(jù)客戶的需求去支持更多、更大規(guī)模的超級分布式計算系統(tǒng)環(huán)境和場景。

關(guān)于SUSE

SUSE 是全球范圍內(nèi)創(chuàng)新且可靠的企業(yè)級開源解決方案領(lǐng)導(dǎo)者，財富 500 強中有 60% 以上的企業(yè)依靠 SUSE 為其關(guān)鍵任務(wù)的工作負載賦能。SUSE 專注于企業(yè)級 Linux、企業(yè)容器管理和邊緣解決方案，通過與合作伙伴和社區(qū)合作，幫助客戶隨時隨地在任意場景進行創(chuàng)新——無論是在數(shù)據(jù)中心、云端還是邊緣環(huán)境。

SUSE 讓“開源”重新“開放”，使客戶能夠靈活地應(yīng)對當今的創(chuàng)新挑戰(zhàn)，并能夠自由地在未來發(fā)展其 IT 戰(zhàn)略和解決方案。SUSE 在全球擁有2000 余名員工，2021 年在法蘭克福證券交易所的監(jiān)管市場（Prime Standard）上市。

（免責(zé)聲明：此文內(nèi)容為廣告，相關(guān)素材由廣告主提供，廣告主對本廣告內(nèi)容的真實性負責(zé)。本網(wǎng)發(fā)布目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點和對其真實性負責(zé)，請自行核實相關(guān)內(nèi)容。廣告內(nèi)容僅供讀者參考。）

關(guān)鍵詞：