发射载人飞船和打弹道导弹有什么关系?
某种程度上,它们还真挺像的:一样使用三级火箭,一样要飞出大气层然后再进来,一样需要比较准确地落在一个地方。唯一的区别在于,落下来的结果不太一样。
不难看出,决定火箭具体功能的,不是火箭本身,而是它携带的 “载荷”——云工作负载也是这样。在云计算出现以前,工作负载指的就是服务器,但是在云计算环境下,业务程序、数据、(云)主机、容器……这些本来不同的东西全都可以成为云的工作负载的一部分。决定云能做什么的,归根结底还是云所承载的工作负载究竟是什么。
新的技术产生了新的安全问题,随着越来越多企业将包含敏感数据的工作负载放上云端,如何高效维护云端工作负载的安全成为了亟需解决的问题。Gartner 在 17 年提出了一种名为云工作负载安全平台 (Cloud Workload Protection Platforms) 的技术方案,作为一种专门针对云工作负载的方案,它和在网络边界上部署安全产品的传统方案不一样的是,云工作负载安全平台部署在操作系统层,因此可以横跨物理机、公有云、私有云、混合云等多种数据中心环境,部署方式更加灵活、防护层面更加丰富。
随着技术的不断演进,Gartner 对这类技术方案的具体内容和表述也有不小的变化。17 年时,包括了工作负载外的服务和云基础架构的安全评估,解决了一些数据层面的问题,同时加入了控制层面的安全措施,保证云使用上的安全,其中包括 IAM 配置、网络配置以及管理员访问等;由于容器技术的广泛应用,彼时用户无法对线上系统进行处理,因此将应用控制和锁定容器作为手段。
2018 年,机器学习的加成能力得到了重视,它可以加强能力金字塔的各个层面,如微隔离等,通过学习和监测,机器学习可以尝试建立白名单,并不断更新和修正策略以达到自动化设置安全策略的目标;在 EDR 领域,使用这项技术发现未知安全威胁和监控异常行为已经成为了一种趋势。
2019 年是变化最大的一年,安全能力图中可以看到从原来的 11 个能力删减到 8 个,并且将最底层的 “运维习惯” 与 “加固、配置与漏洞管理” 进行了整合,删掉了 “欺骗防御” 能力,同时数据的静态加密大部分情况下都由云厂商提供。与此同时,新的安全能力图加强了对威胁检测和响应的要求,更加强调了 EDR 的作用和能力。
从云工作负载安全平台的技术要求来看,(云)主机的安全防护应当从过去以杀毒、漏洞补丁和加固为核心功能,转变为以监测、检测、快速响应以及可视化微隔离为核心的新一代轻量化 Agent,才能满足企业应对新型安全威胁的能力和构建主动安全的能力,在这方面,EDR 的技术要求非常吻合。一方面,轻量化的 Agent 可以尽可能避免对用户业务的影响,另一方面,在检测方面的长处有助于更高效地发现入侵和违规行为,最后,在快速响应方面,主机 Agent 可以满足阻断、隔离、还原等快速响应的要求。安全狗的云安全产品和云眼就提供了这样的功能,目前已经在国内不少的政务云、金融云以及大型数据中心上进行了应用。
在云的内部,东西向流量的安全问题也逐渐凸显。传统安全设备也可以加强东西向防护,但对安全性要求较高的环境可能就要牺牲云的动态、弹性、按需分配的优势,基本云化也就变成了无用功,微隔离技术也由此应运而生。微隔离是一种能适应虚拟化部署环境,识别并管理云平台隔离和流量的安全手段,最早由Gartner在软件定义数据中心(SDDC) 相关技术体系中提出,提供主机(容器)间安全访问控制,并对东西向流量进行可视化管理。安全狗微隔离是面向云化数据中心的跨平台统一安全管理软件,能够对数据中心的内部流量进行全面精细的可视化分析,和细粒度的安全策略管理。能够帮助用户快速便捷地实现环境隔离、域间隔离以及端到端隔离。
容器安全在 Garnter 发布的 2017 年和 2019 年年度安全技术榜单中 (Container Security) 榜上有名,除了自身因为软件漏洞或者配置不当造成的安全问题外,还存在着镜像安全和运行安全等方面的安全问题。在今年早些时候,安全狗发布了云甲—— “主机容器安全解决方案”,采用主机安全 Agent 和安全容器相结合的技术,既能做到对容器的全面保护又能灵活的跟容器编排体系相结合,属于业内首创的容器安全解决方案。通过云甲—— “主机容器安全解决方案” 实现对对容器全生命周期安全管控,涉及到容器的各个环节,即对容器镜像文件的制作过程、容器运行的过程以及容器内应用进行全自动的安全检测、 预警与防护。
随着云计算采用的不断深化,企业IT系统会更加复杂,企业将更深刻地认识到云安全体系化升级势在必行,云工作负载安全平台类型的产品将逐渐成为企业选择安全产品的标配。攻防不止,我们将依托强有力的技术和服务能力,继续为用户提供可靠的云安全服务!
相关阅读