人类对于安全的追求与生俱来,长期以来,我们习惯于借助外力来保护脆弱系统,把易被侵害的部分包裹在一层层的防护堡垒里,比如古时候的战士会穿上盔甲、举起盾牌。当然,当代生活中这样的例子也比比皆是,就像我们经常要给贵重的手机加个“壳”。

1

网络世界的情况是怎样的?其实跟手机加个壳是相通的,由于网络在设计之初是缺乏安全能力的,所以常常在网络中额外部署防火墙、入侵防御来作为盔甲和盾牌。长期以来,这种“外挂”式安全似乎已经成为安全的定式。

老技术是这样,新技术亦是如此,拿最近几年炙手可热的“微隔离”来说,只需在工作负载上安装一个Agent就能包打天下,而这又何尝不是一种“穿衣戴帽”般的外挂式安全呢?

“穿衣戴帽”是否还能又靓又香?

事实上,对于给手机加个壳这件事,一直都存在着互相“看不上”的两类人。

一类人认为,动辄上万元的手机,一定要保护好,于是在各种防摔防碎防划痕的手机壳加持下,变得或五彩斑斓、或特立独行,但都难免显得肥硕臃肿。当然也有一些主打轻薄、透明的产品,但久而久之还是会变得油腻泛黄。

还有一类人,可谓“想得更开”,他们往往深切认同设计师的灵感,认为昂贵的背后实则是为灵秀的外观和丝滑的手感在买单,本着“漂亮一秒算一秒”的心态,坚决选择让手机“裸奔”。滑稽的是,“素颜”手机往往会显得更加与众不同。当然,要付出的代价也不言而喻。

像手机一样,历经前仆后继的创新,云计算终于来到了云原生的时代。相比过往,微服务、DevOps、持续交付、容器化让云上新世界从未比今天更加接近敏捷、弹性的初心。

不得不说,云原生的灵敏,使容器网络濒临失控,微隔离的需求已迫在眉睫。云原生环境的微隔离到底要如何实现?

有一点是确定的,安全不应制约云原生本身的优越特性。拒绝臃肿,保持灵敏,才能充分释放云原生的技术红利

在过往,通过在容器节点上安装Agent,当然是可以提供容器微隔离能力的,但这种方式却与云原生既有的编排特性产生了天然割裂,每当容器集群需要扩容新的节点,都必须首先为其安装一个Agent,而安装Agent这件事与容器本身的敏捷形成了鲜明的反差

这样的方式,就像给华丽的手机贴膜加壳,得到了安全,却损失与生俱来的灵秀和丝滑。这种“穿衣戴帽”换来的保护,让手机不那么“靓”了,也让云原生不那么“香”了。

“穿衣戴帽”也并非无懈可击

当然,我们中的多数人还是会选择给手机加个壳的,既然难以接受坠地碎屏带来的的毁灭性损伤,那还是牺牲一些原生的美感吧,毕竟兜里的银子不是大风刮来的,况且手机壳还是可以做到五彩斑斓、赏心悦目的。然而,当很多人发现,手机是抗摔了,但信号却变差了,用久了还烫手时,就对手机壳再也爱不起来了。

微隔离也是如此,尽管Agent可以包打天下,适应各种环境,但很多用户还是谈Agent色变。

还记得坊间曾经流传着一句“高级黑”,说"用了安全产品才知道,原来自己这么不安全",遗憾的是这句话并非是在歌颂安全产品的有效性,反倒是在诟病安全产品也有可能引发新的安全风险。

讲到这里,您应该大概明白,为什么用户对于Agent存在着天然的抗拒。

首先,Agent要运行,就一定会对容器节点造成资源占用和性能损耗,用户难免会为业务容器乃至整个平台的稳定可靠而担心。另外,Agent自身在理论上也可能存在安全漏洞,更何况它往往具备深入操作系统内核的权限,一旦发作可就不仅仅是“发热烫手”层面的问题了。而且,从运维场景的实际出发,比安装Agent更加困难的是,万一出现问题时如何通过快速排查、批量回退来保障业务。

因此,即便Agent被设计的多么精妙,用户在选择时依然会慎之又慎,不得不投入更大的精力来逐个验证那些想得到或想不到、有答案或没答案的“副作用”可能,并等待厂商做出澄清和整改。

从用户的核心关切来看,即便暂且不论“穿衣戴帽”是否还能保住云原生的美感,但至少要求不能再引入新的风险。

“穿衣戴帽”不是一个人的战斗

如果说要不要给手机加个壳,可以由个人的喜好来选择,那么能不能在工作负载上装个Agent,还真不是一个人的战斗。

在DevSecOps的大旗下,开发、安全和运维三大团队,就像三组精密齿轮一样紧紧的咬合在一起,相互牵引、持续运转。尽管如此,现实环境中三个团队依然有着各自的业务目标和职责分配。

于是,为了能在容器各个节点上都安装一个Agent,就必须进行跨团队协同和集体决策了

安全团队的主责当然是确保整个系统的安全,所以他们通常是微隔离需求的提出者和项目的发起者,未来也大概率是使用者,他们最关注方案的效果和实际落地的可行性。

开发团队是直接服务于业务部门的,他们基于业务需求开发出支撑业务开展的应用系统,关注点都聚焦在业务应用本身的实现上。因此,任何外挂式的安全和管控,可能对他们来说都是影响业务应用的风险和负担。

运维团队的主责是为业务开展提供并持续维护一个稳定、可靠、高效的运行环境,要说关注点,当然是系统稳定、不背锅了,为了达成这个目标,他们会制定一系列的运行和管理规范,按照SOP标准化作业。当然,运维团队往往掌握着工作负载的root权限,也就是说,要想安装一个Agent下去,还必须要经过人家的同意、获得他们的支持。

由此看来,想要在容器节点上装一个Agent,好像还真的不像把大象装冰箱那么简单。项目的发起方必须打消相关团队的顾虑、适应他们的要求、还得获得他们的资源和支撑,才有可能把项目推进落地。

以上都在表明,技术上可实现与工程上可落地完全是两回事,“穿衣戴帽”的Agent方式是不太适用于在云原生环境实施微隔离的

近年来,安全能力内生、内嵌于系统之中的呼声愈发强烈,在这一点上,手机界一直在努力,高强度且轻盈的材料被不断用于一代代的手机新品,相信手机迎来“脱壳”之日已不会太久。

相比而言,微隔离界的进展还要更快一些。近日,长期专注微隔离领域的蔷薇灵动,基于其在大规模云原生环境实施微隔离的经实操验,适时发布了面向云原生环境的微隔离新品,创新性的通过守护容器方式实现了“无代理”的微隔离能力落地做到了专业微隔离能力向云原生环境的内嵌融合。目前,新品已在多个数万点级规模的云原生环境投产运行,从今天开始,蔷薇灵动微隔离可以让您少装一个Agent……

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2022-07-25 08:56:00
云资讯 “建云、上云、用云”:中国电信重磅发布五大云生态成果
未来,中国电信也将以云生态大会为契机,秉持国云合作理念,践行建设网络强国和数字中国、维护网信安全国家队的责任使命,聚焦国计民生主要领域,强化基础设施优势,加大科 <详情>
2022-06-20 13:28:00
云资讯 全面拥抱云原生和开源:腾讯云 Aeraki Mesh 正式成为 CNCF 沙箱项目
截止目前,腾讯在 Github 上共发布了超过 160 个开源项目,获得了超过 40 万名开发者的关注和 Star,稳居全球开源企业贡献榜前十。 <详情>
2022-03-31 11:05:00
云资讯 发力云计算新增量,火山引擎的云原生有什么不同?
越来越多的中国企业开始接受云原生开发方式,采用云原生技术的中国企业已有接近50%将云原生技术应用到生产环境的核心和次核心系统,83%的企业将加大对云原生的投入 <详情>
2021-06-23 10:20:08
云资讯 容器技术,带着云原生百米冲刺
容器市场赛道分为公有云和私有云,分别提供各自领域的方案。 <详情>
2021-02-07 10:57:46
云技术 2021年存储市场预测之——容器附加存储
随着容器环境的发展,对传统数据库软件等应用进行了容器化,推动了对在单个容器的生命周期内长期存储数据的需求。由于许多原因,这种变化是不可避免的。 <详情>