人類對(duì)于安全的追求與生俱來，長期以來，我們習(xí)慣于借助外力來保護(hù)脆弱系統(tǒng)，把易被侵害的部分包裹在一層層的防護(hù)堡壘里，比如古時(shí)候的戰(zhàn)士會(huì)穿上盔甲、舉起盾牌。當(dāng)然，當(dāng)代生活中這樣的例子也比比皆是，就像我們經(jīng)常要給貴重的手機(jī)加個(gè)“殼”。

網(wǎng)絡(luò)世界的情況是怎樣的？其實(shí)跟手機(jī)加個(gè)殼是相通的，由于網(wǎng)絡(luò)在設(shè)計(jì)之初是缺乏安全能力的，所以常常在網(wǎng)絡(luò)中額外部署防火墻、入侵防御來作為盔甲和盾牌。長期以來，這種“外掛”式安全似乎已經(jīng)成為安全的定式。

老技術(shù)是這樣，新技術(shù)亦是如此，拿最近幾年炙手可熱的“微隔離”來說，只需在工作負(fù)載上安裝一個(gè)Agent就能包打天下，而這又何嘗不是一種“穿衣戴帽”般的外掛式安全呢？

“穿衣戴帽”是否還能又靚又香？

事實(shí)上，對(duì)于給手機(jī)加個(gè)殼這件事，一直都存在著互相“看不上”的兩類人。

一類人認(rèn)為，動(dòng)輒上萬元的手機(jī)，一定要保護(hù)好，于是在各種防摔防碎防劃痕的手機(jī)殼加持下，變得或五彩斑斕、或特立獨(dú)行，但都難免顯得肥碩臃腫。當(dāng)然也有一些主打輕薄、透明的產(chǎn)品，但久而久之還是會(huì)變得油膩泛黃。

還有一類人，可謂“想得更開”，他們往往深切認(rèn)同設(shè)計(jì)師的靈感，認(rèn)為昂貴的背后實(shí)則是為靈秀的外觀和絲滑的手感在買單，本著“漂亮一秒算一秒”的心態(tài)，堅(jiān)決選擇讓手機(jī)“裸奔”?；氖牵八仡仭笔謾C(jī)往往會(huì)顯得更加與眾不同。當(dāng)然，要付出的代價(jià)也不言而喻。

像手機(jī)一樣，歷經(jīng)前仆后繼的創(chuàng)新，云計(jì)算終于來到了云原生的時(shí)代。相比過往，微服務(wù)、DevOps、持續(xù)交付、容器化讓云上新世界從未比今天更加接近敏捷、彈性的初心。

不得不說，云原生的靈敏，使容器網(wǎng)絡(luò)瀕臨失控，微隔離的需求已迫在眉睫。云原生環(huán)境的微隔離到底要如何實(shí)現(xiàn)？

有一點(diǎn)是確定的，安全不應(yīng)制約云原生本身的優(yōu)越特性。拒絕臃腫，保持靈敏，才能充分釋放云原生的技術(shù)紅利。

在過往，通過在容器節(jié)點(diǎn)上安裝Agent，當(dāng)然是可以提供容器微隔離能力的，但這種方式卻與云原生既有的編排特性產(chǎn)生了天然割裂，每當(dāng)容器集群需要擴(kuò)容新的節(jié)點(diǎn)，都必須首先為其安裝一個(gè)Agent，而安裝Agent這件事與容器本身的敏捷形成了鮮明的反差。

這樣的方式，就像給華麗的手機(jī)貼膜加殼，得到了安全，卻損失與生俱來的靈秀和絲滑。這種“穿衣戴帽”換來的保護(hù)，讓手機(jī)不那么“靚”了，也讓云原生不那么“香”了。

“穿衣戴帽”也并非無懈可擊

當(dāng)然，我們中的多數(shù)人還是會(huì)選擇給手機(jī)加個(gè)殼的，既然難以接受墜地碎屏帶來的的毀滅性損傷，那還是犧牲一些原生的美感吧，畢竟兜里的銀子不是大風(fēng)刮來的，況且手機(jī)殼還是可以做到五彩斑斕、賞心悅目的。然而，當(dāng)很多人發(fā)現(xiàn)，手機(jī)是抗摔了，但信號(hào)卻變差了，用久了還燙手時(shí)，就對(duì)手機(jī)殼再也愛不起來了。

微隔離也是如此，盡管Agent可以包打天下，適應(yīng)各種環(huán)境，但很多用戶還是談Agent色變。

還記得坊間曾經(jīng)流傳著一句“高級(jí)黑”，說"用了安全產(chǎn)品才知道，原來自己這么不安全"，遺憾的是這句話并非是在歌頌安全產(chǎn)品的有效性，反倒是在詬病安全產(chǎn)品也有可能引發(fā)新的安全風(fēng)險(xiǎn)。

講到這里，您應(yīng)該大概明白，為什么用戶對(duì)于Agent存在著天然的抗拒。

首先，Agent要運(yùn)行，就一定會(huì)對(duì)容器節(jié)點(diǎn)造成資源占用和性能損耗，用戶難免會(huì)為業(yè)務(wù)容器乃至整個(gè)平臺(tái)的穩(wěn)定可靠而擔(dān)心。另外，Agent自身在理論上也可能存在安全漏洞，更何況它往往具備深入操作系統(tǒng)內(nèi)核的權(quán)限，一旦發(fā)作可就不僅僅是“發(fā)熱燙手”層面的問題了。而且，從運(yùn)維場景的實(shí)際出發(fā)，比安裝Agent更加困難的是，萬一出現(xiàn)問題時(shí)如何通過快速排查、批量回退來保障業(yè)務(wù)。

因此，即便Agent被設(shè)計(jì)的多么精妙，用戶在選擇時(shí)依然會(huì)慎之又慎，不得不投入更大的精力來逐個(gè)驗(yàn)證那些想得到或想不到、有答案或沒答案的“副作用”可能，并等待廠商做出澄清和整改。

從用戶的核心關(guān)切來看，即便暫且不論“穿衣戴帽”是否還能保住云原生的美感，但至少要求不能再引入新的風(fēng)險(xiǎn)。

“穿衣戴帽”不是一個(gè)人的戰(zhàn)斗

如果說要不要給手機(jī)加個(gè)殼，可以由個(gè)人的喜好來選擇，那么能不能在工作負(fù)載上裝個(gè)Agent，還真不是一個(gè)人的戰(zhàn)斗。

在DevSecOps的大旗下，開發(fā)、安全和運(yùn)維三大團(tuán)隊(duì)，就像三組精密齒輪一樣緊緊的咬合在一起，相互牽引、持續(xù)運(yùn)轉(zhuǎn)。盡管如此，現(xiàn)實(shí)環(huán)境中三個(gè)團(tuán)隊(duì)依然有著各自的業(yè)務(wù)目標(biāo)和職責(zé)分配。

于是，為了能在容器各個(gè)節(jié)點(diǎn)上都安裝一個(gè)Agent，就必須進(jìn)行跨團(tuán)隊(duì)協(xié)同和集體決策了。

安全團(tuán)隊(duì)的主責(zé)當(dāng)然是確保整個(gè)系統(tǒng)的安全，所以他們通常是微隔離需求的提出者和項(xiàng)目的發(fā)起者，未來也大概率是使用者，他們最關(guān)注方案的效果和實(shí)際落地的可行性。

開發(fā)團(tuán)隊(duì)是直接服務(wù)于業(yè)務(wù)部門的，他們基于業(yè)務(wù)需求開發(fā)出支撐業(yè)務(wù)開展的應(yīng)用系統(tǒng)，關(guān)注點(diǎn)都聚焦在業(yè)務(wù)應(yīng)用本身的實(shí)現(xiàn)上。因此，任何外掛式的安全和管控，可能對(duì)他們來說都是影響業(yè)務(wù)應(yīng)用的風(fēng)險(xiǎn)和負(fù)擔(dān)。

運(yùn)維團(tuán)隊(duì)的主責(zé)是為業(yè)務(wù)開展提供并持續(xù)維護(hù)一個(gè)穩(wěn)定、可靠、高效的運(yùn)行環(huán)境，要說關(guān)注點(diǎn)，當(dāng)然是系統(tǒng)穩(wěn)定、不背鍋了，為了達(dá)成這個(gè)目標(biāo)，他們會(huì)制定一系列的運(yùn)行和管理規(guī)范，按照SOP標(biāo)準(zhǔn)化作業(yè)。當(dāng)然，運(yùn)維團(tuán)隊(duì)往往掌握著工作負(fù)載的root權(quán)限，也就是說，要想安裝一個(gè)Agent下去，還必須要經(jīng)過人家的同意、獲得他們的支持。

由此看來，想要在容器節(jié)點(diǎn)上裝一個(gè)Agent，好像還真的不像把大象裝冰箱那么簡單。項(xiàng)目的發(fā)起方必須打消相關(guān)團(tuán)隊(duì)的顧慮、適應(yīng)他們的要求、還得獲得他們的資源和支撐，才有可能把項(xiàng)目推進(jìn)落地。

以上都在表明，技術(shù)上可實(shí)現(xiàn)與工程上可落地完全是兩回事，“穿衣戴帽”的Agent方式是不太適用于在云原生環(huán)境實(shí)施微隔離的。

近年來，安全能力內(nèi)生、內(nèi)嵌于系統(tǒng)之中的呼聲愈發(fā)強(qiáng)烈，在這一點(diǎn)上，手機(jī)界一直在努力，高強(qiáng)度且輕盈的材料被不斷用于一代代的手機(jī)新品，相信手機(jī)迎來“脫殼”之日已不會(huì)太久。

相比而言，微隔離界的進(jìn)展還要更快一些。近日，長期專注微隔離領(lǐng)域的薔薇靈動(dòng)，基于其在大規(guī)模云原生環(huán)境實(shí)施微隔離的經(jīng)實(shí)操驗(yàn)，適時(shí)發(fā)布了面向云原生環(huán)境的微隔離新品，創(chuàng)新性的通過守護(hù)容器方式實(shí)現(xiàn)了“無代理”的微隔離能力落地，做到了專業(yè)微隔離能力向云原生環(huán)境的內(nèi)嵌融合。目前，新品已在多個(gè)數(shù)萬點(diǎn)級(jí)規(guī)模的云原生環(huán)境投產(chǎn)運(yùn)行，從今天開始，薔薇靈動(dòng)微隔離可以讓您少裝一個(gè)Agent……

附：業(yè)界首發(fā)：薔薇靈動(dòng)發(fā)布《云原生環(huán)境微隔離解決方案白皮書》（含免費(fèi)下載鏈接），了解詳細(xì)信息。（鏈接地址：https://mp.weixin.qq.com/s/9eVauFbTnw__F2rzCthfag）