人类对于安全的追求与生俱来,长期以来,我们习惯于借助外力来保护脆弱系统,把易被侵害的部分包裹在一层层的防护堡垒里,比如古时候的战士会穿上盔甲、举起盾牌。当然,当代生活中这样的例子也比比皆是,就像我们经常要给贵重的手机加个“壳”。
网络世界的情况是怎样的?其实跟手机加个壳是相通的,由于网络在设计之初是缺乏安全能力的,所以常常在网络中额外部署防火墙、入侵防御来作为盔甲和盾牌。长期以来,这种“外挂”式安全似乎已经成为安全的定式。
老技术是这样,新技术亦是如此,拿最近几年炙手可热的“微隔离”来说,只需在工作负载上安装一个Agent就能包打天下,而这又何尝不是一种“穿衣戴帽”般的外挂式安全呢?
“穿衣戴帽”是否还能又靓又香?
事实上,对于给手机加个壳这件事,一直都存在着互相“看不上”的两类人。
一类人认为,动辄上万元的手机,一定要保护好,于是在各种防摔防碎防划痕的手机壳加持下,变得或五彩斑斓、或特立独行,但都难免显得肥硕臃肿。当然也有一些主打轻薄、透明的产品,但久而久之还是会变得油腻泛黄。
还有一类人,可谓“想得更开”,他们往往深切认同设计师的灵感,认为昂贵的背后实则是为灵秀的外观和丝滑的手感在买单,本着“漂亮一秒算一秒”的心态,坚决选择让手机“裸奔”。滑稽的是,“素颜”手机往往会显得更加与众不同。当然,要付出的代价也不言而喻。
像手机一样,历经前仆后继的创新,云计算终于来到了云原生的时代。相比过往,微服务、DevOps、持续交付、容器化让云上新世界从未比今天更加接近敏捷、弹性的初心。
不得不说,云原生的灵敏,使容器网络濒临失控,微隔离的需求已迫在眉睫。云原生环境的微隔离到底要如何实现?
有一点是确定的,安全不应制约云原生本身的优越特性。拒绝臃肿,保持灵敏,才能充分释放云原生的技术红利。
在过往,通过在容器节点上安装Agent,当然是可以提供容器微隔离能力的,但这种方式却与云原生既有的编排特性产生了天然割裂,每当容器集群需要扩容新的节点,都必须首先为其安装一个Agent,而安装Agent这件事与容器本身的敏捷形成了鲜明的反差。
这样的方式,就像给华丽的手机贴膜加壳,得到了安全,却损失与生俱来的灵秀和丝滑。这种“穿衣戴帽”换来的保护,让手机不那么“靓”了,也让云原生不那么“香”了。
“穿衣戴帽”也并非无懈可击
当然,我们中的多数人还是会选择给手机加个壳的,既然难以接受坠地碎屏带来的的毁灭性损伤,那还是牺牲一些原生的美感吧,毕竟兜里的银子不是大风刮来的,况且手机壳还是可以做到五彩斑斓、赏心悦目的。然而,当很多人发现,手机是抗摔了,但信号却变差了,用久了还烫手时,就对手机壳再也爱不起来了。
微隔离也是如此,尽管Agent可以包打天下,适应各种环境,但很多用户还是谈Agent色变。
还记得坊间曾经流传着一句“高级黑”,说"用了安全产品才知道,原来自己这么不安全",遗憾的是这句话并非是在歌颂安全产品的有效性,反倒是在诟病安全产品也有可能引发新的安全风险。
讲到这里,您应该大概明白,为什么用户对于Agent存在着天然的抗拒。
首先,Agent要运行,就一定会对容器节点造成资源占用和性能损耗,用户难免会为业务容器乃至整个平台的稳定可靠而担心。另外,Agent自身在理论上也可能存在安全漏洞,更何况它往往具备深入操作系统内核的权限,一旦发作可就不仅仅是“发热烫手”层面的问题了。而且,从运维场景的实际出发,比安装Agent更加困难的是,万一出现问题时如何通过快速排查、批量回退来保障业务。
因此,即便Agent被设计的多么精妙,用户在选择时依然会慎之又慎,不得不投入更大的精力来逐个验证那些想得到或想不到、有答案或没答案的“副作用”可能,并等待厂商做出澄清和整改。
从用户的核心关切来看,即便暂且不论“穿衣戴帽”是否还能保住云原生的美感,但至少要求不能再引入新的风险。
“穿衣戴帽”不是一个人的战斗
如果说要不要给手机加个壳,可以由个人的喜好来选择,那么能不能在工作负载上装个Agent,还真不是一个人的战斗。
在DevSecOps的大旗下,开发、安全和运维三大团队,就像三组精密齿轮一样紧紧的咬合在一起,相互牵引、持续运转。尽管如此,现实环境中三个团队依然有着各自的业务目标和职责分配。
于是,为了能在容器各个节点上都安装一个Agent,就必须进行跨团队协同和集体决策了。
安全团队的主责当然是确保整个系统的安全,所以他们通常是微隔离需求的提出者和项目的发起者,未来也大概率是使用者,他们最关注方案的效果和实际落地的可行性。
开发团队是直接服务于业务部门的,他们基于业务需求开发出支撑业务开展的应用系统,关注点都聚焦在业务应用本身的实现上。因此,任何外挂式的安全和管控,可能对他们来说都是影响业务应用的风险和负担。
运维团队的主责是为业务开展提供并持续维护一个稳定、可靠、高效的运行环境,要说关注点,当然是系统稳定、不背锅了,为了达成这个目标,他们会制定一系列的运行和管理规范,按照SOP标准化作业。当然,运维团队往往掌握着工作负载的root权限,也就是说,要想安装一个Agent下去,还必须要经过人家的同意、获得他们的支持。
由此看来,想要在容器节点上装一个Agent,好像还真的不像把大象装冰箱那么简单。项目的发起方必须打消相关团队的顾虑、适应他们的要求、还得获得他们的资源和支撑,才有可能把项目推进落地。
以上都在表明,技术上可实现与工程上可落地完全是两回事,“穿衣戴帽”的Agent方式是不太适用于在云原生环境实施微隔离的。
近年来,安全能力内生、内嵌于系统之中的呼声愈发强烈,在这一点上,手机界一直在努力,高强度且轻盈的材料被不断用于一代代的手机新品,相信手机迎来“脱壳”之日已不会太久。
相比而言,微隔离界的进展还要更快一些。近日,长期专注微隔离领域的蔷薇灵动,基于其在大规模云原生环境实施微隔离的经实操验,适时发布了面向云原生环境的微隔离新品,创新性的通过守护容器方式实现了“无代理”的微隔离能力落地,做到了专业微隔离能力向云原生环境的内嵌融合。目前,新品已在多个数万点级规模的云原生环境投产运行,从今天开始,蔷薇灵动微隔离可以让您少装一个Agent……