剛剛過去的五月，全球知名的電動車及能源公司發(fā)生了大規(guī)模的數(shù)據(jù)泄露，再次給安全行業(yè)敲響了警鐘。數(shù)字化時代，云原生技術(shù)在發(fā)揮數(shù)字業(yè)務快速交付與迭代優(yōu)勢的同時，帶來了新的安全風險和挑戰(zhàn)。

對此，企業(yè)應該如何應對？帶著這樣的問題，我們與SUSE 安全產(chǎn)品戰(zhàn)略副總裁黃飛展開了一場深度對話。

新技術(shù)帶來新風險

虛擬機、容器、服務網(wǎng)格、多集群間通信、多云和混合云、Serverless 等新技術(shù)不斷涌現(xiàn)，對安全邊界提出了越來越多的要求。

2014 年流行起來的容器技術(shù)算是跨時代的變革，它與 Kubernetes 等技術(shù)共同助力企業(yè)實現(xiàn)了應用程序部署等諸多方面的自動化，但同時也帶來了新的安全挑戰(zhàn)。黃飛認為挑戰(zhàn)主要包括四個方面：首先容器更新迭代非?？?，傳統(tǒng)的保護方式已經(jīng)不適用于容器環(huán)境；第二是軟件生產(chǎn)的流程自動化，容器開發(fā)階段每天可達上千次的軟件發(fā)布依賴整套 CI/CD 自動化流程控制；三是越來越多的企業(yè)開始在跨云多云環(huán)境部署容器；四是容器將單一的應用變成了成百上千的微服務，導致服務內(nèi)部通信爆發(fā)式的增長。

Kubernetes 采用虛擬化技術(shù)，數(shù)據(jù)、網(wǎng)絡、計算等層面的全部虛擬化對于應用程序開發(fā)者來講非常實用。然而，這卻讓運維安全人員無法了解容器的運行狀況，即虛擬化技術(shù)本身對安全管控形成了一定的屏障，這無疑升級了安全挑戰(zhàn)。

使用“零信任”升級傳統(tǒng)安全

2021 年底，“核彈級”的 Log4j 漏洞爆發(fā)，大量企業(yè)被波及。黃飛將Log4j 比喻為洋蔥芯中的bug，因為它被層層包裹、嵌入在其他軟件包中，很難被常見的掃描方法識別到。他認為對付此類漏洞，首先要從源頭進行有效的掃描和控制CVE 安全漏洞；而對于無法下線進行修復的應用程序，零信任安全則是最有效的保護方法。

像Log4j 這樣的高危漏洞隨著開源軟件的廣泛使用而與日俱增，但傳統(tǒng)安全工具在云環(huán)境很難提供全面的保護。此外，隨著公有云的快速發(fā)展，業(yè)界對安全界限的認識也出現(xiàn)了分歧。“很多客戶認為公有云的安全應該完全交給供公有云廠商，但事實并非如此。”黃飛強調(diào)，應用程序級別的安全必須由各個企業(yè)用戶自己負責。這意味著，面對越來越多未知的安全風險，企業(yè)的安全防護要從被動式的安全逐漸過渡到主動式安全。

主動安全是一個新的概念，無論處于云原生化的哪一個階段，企業(yè)都可以采取較為主動的零信任安全功能來提高效率。“零信任安全并不需要推翻一切從零開始，企業(yè)可以循序漸進地進行部署?！秉S飛認為，傳統(tǒng)安全能夠堵住已知的安全漏洞，而零信任安全能夠防范未知的安全風險，傳統(tǒng)安全與零信任安全的疊加使用可以幫助企業(yè)實現(xiàn)多層防護。

同時，考慮到大部分企業(yè)已經(jīng)在傳統(tǒng)安全上投入了大量資源和金錢，根據(jù)企業(yè)的實際情況選擇最有效的方面開始針對性部署零信任安全也是最經(jīng)濟的方式。

黃飛把整個云原生零信任安全的實施劃分成四個階段：用戶和可視化；設備、網(wǎng)絡和環(huán)境；應用程序、服務和編排管理；數(shù)據(jù)、自動化和合規(guī)檢查。企業(yè)無需推翻所有的安全投資和配置，可以從某一個單點開始介入和部署，逐步深化。

NeuVector 在創(chuàng)立之初就專注于容器安全，能夠提供端到端的安全服務以及從 DevOps 流水線漏洞保護到生產(chǎn)中的自動化安全和合規(guī)性，可以作為零信任安全模型的重要部分，實現(xiàn)對容器環(huán)境的實時安全保護和威脅檢測。

開源為云原生安全帶來更多可能

2022 年1 月，在被 SUSE 收購3 個月后，NeuVector 宣布開源，成為業(yè)界首個端到端的開源容器安全平臺?！斑@是推動容器安全發(fā)展的重要里程碑?！弊鳛?NeuVector 的聯(lián)合創(chuàng)始人兼創(chuàng)始 CEO 的黃飛評價道。

NeuVector 本身擁有十幾項技術(shù)專利，包括深層數(shù)據(jù)包檢查和行為學習，可識別適當?shù)娜萜餍袨?，并且僅允許在容器環(huán)境中經(jīng)過批準的白名單進行網(wǎng)絡鏈接、進程訪問和文件存取。NeuVector 在運行時提供完整的攻擊檢測和預防，主動保護生產(chǎn)環(huán)境；作為容器部署，具有高度擴展能力。NeuVector 開源之后，所有加入開源專利聯(lián)盟的企業(yè)都可以開誠布公地合作，共享專利與技術(shù)，這對整個軟件平臺產(chǎn)業(yè)的發(fā)展至關(guān)重要。

NeuVector：Kubernetes 安全與合規(guī)一體化平臺

黃飛表示加入 SUSE 后學到的最重要的東西是開放性。NeuVector 雖然是SUSE 的安全產(chǎn)品，但其開源容器鏡像可以安裝在任何流行的 Kubernetes 集群上，可以支持包括紅帽 OpenShift、VMWare Tanzu 等在內(nèi)的眾多企業(yè)級容器管理平臺，以及Google GKE、Amazon EKS、Microsoft Azure AKS 等K8s 發(fā)行版。秉承開放戰(zhàn)略，NeuVector 將始終致力于成為所有云原生環(huán)境的優(yōu)秀安全解決方案。

打造全棧云原生平臺能力，全方位守護云安全

“SUSE 的愿景不僅僅是打通 Linux 操作系統(tǒng)，而是提供從操作系統(tǒng)到容器管理平臺再到云安全方案的一整套解決方案，這也是業(yè)界發(fā)展的一個趨勢?！秉S飛介紹，隨著 Rancher 和NeuVector 的加入，SUSE 快速增長，現(xiàn)在逐漸擁有了幾乎是全棧的云原生平臺能力。

目前，SUSE 是唯一一家通過最高級別加密認證 FIPS 的 Linux 平臺，新一代 SUSE Linux 操作系統(tǒng)開始集成機密計算技術(shù)，各個產(chǎn)品都在持續(xù)開發(fā)各種各樣的安全功能。

黃飛介紹，企業(yè)級的操作系統(tǒng)管理平臺 SUSE Manager 能統(tǒng)一管控安全掃描以及補丁功能；SUSE 為 CNCF 貢獻的重要安全工具 Kubewarden，能夠幫助 Kubernetes 集中管理安全策略；企業(yè)容器管理平臺 Rancher Prime 提供集群的全生命周期管理，不僅可以跨云統(tǒng)一創(chuàng)建集群，還可以統(tǒng)一管理、升級和配置集群。此外，Rancher Prime 與零信任容器安全平臺 NeuVector 的集成，讓Rancher Prime 能夠滿足整個應用生命周期中的主要安全場景的需求。

面對云原生的快速發(fā)展與廣泛應用，SUSE 也在持續(xù)投資和發(fā)展安全生產(chǎn)線，來幫助企業(yè)應對云原生安全挑戰(zhàn)。黃飛透露，SUSE 安全產(chǎn)品未來會側(cè)重于四個方面：一是會持續(xù)引領(lǐng)新一代的零信任安全技術(shù)；二是將安全自動化技術(shù)合理地嵌入到更多的平臺和流程中；三是致力于為客戶降低云原生安全管理的復雜性；最后，SUSE 也會持續(xù)拓展安全邊界，根據(jù)客戶的需求去支持更多、更大規(guī)模的超級分布式計算系統(tǒng)環(huán)境和場景。

受訪嘉賓：黃飛，SUSE 安全產(chǎn)品戰(zhàn)略副總裁

黃飛在企業(yè)安全、虛擬化、云計算和嵌入式軟件方面擁有超過 25 年的工作經(jīng)驗，是 CloudVolumes （被 VMware 收購）創(chuàng)始團隊成員，DLP 安全公司 Provilla 的聯(lián)合創(chuàng)始人，是新一代 Kubernetes 安全公司 NeuVector （2021 年被 SUSE 收購）的聯(lián)合創(chuàng)始人和創(chuàng)始 CEO。在安全、虛擬化和軟件架構(gòu)方面擁有 10 多項美國技術(shù)專利。