人类天生就有对安全感的追求。长期以来,我们习惯于借助外力来保护脆弱的系统,将脆弱的部分包裹在层层防护堡垒中,就像古代的武士会身披铠甲,举起盾牌。当然,这样的例子在当代生活中比比皆是,就像我们经常要给昂贵的手机加个“壳”一样。网络世界是什么情况?其实类似于给手机加个外壳。由于网络在设计之初就缺乏安全能力,往往会在网络中部署额外的防火墙和入侵防御作为盔甲和盾牌。长期以来,这种“插件式”安全似乎已经成为一种固定的安全模式。旧技术如此,新技术亦是如此。以近几年火热的“微隔离”为例,只需要在工作负载上安装一个Agent就可以覆盖全球,这并不是一种“衣冠不整”。一般的插件安全性如何?“衣帽”还能美得香吗?其实,在给手机加壳这件事上,一直有两类人互相“看不起”。一类人认为几万元的手机一定要保护好,所以在各种防摔、防碎、防刮手机壳的加持下,变得五颜六色或特立独行,但不可避免地看起来肥胖臃肿。当然,也有一些主打轻薄透明的产品,但时间长了还是会油腻发黄。还有一群人,可谓是“思想比较开放”。他们往往深深认同设计师的灵感,认为昂贵的背后其实是为精致的外观和丝滑的手感买单。心态,毅然选择让手机“裸奔”。具有讽刺意味的是,“素颜”手机往往看起来更加与众不同。当然,付出的代价是不言而喻的。和手机一样,云计算在经历了一次又一次的革新之后,终于来到了云原生时代。与过去相比,微服务、DevOps、持续交付、容器化,让云上的新世界比今天更接近敏捷和弹性的初衷。不得不说,云原生的敏感性让容器网络处于失控的边缘,微隔离的需求迫在眉睫。如何实现云原生环境的微隔离?可以肯定的是,安全不应该限制云原生本身的优越特性。只有拒绝臃肿,保持敏感,才能充分释放云原生的技术红利。以往通过在容器节点上安装agent当然可以提供容器微隔离的能力,但这种方式与现有的云原生编排特性有天然的分离。每当容器集群需要扩展新的节点时,都必须先为其安装一个Agent,而Agent的安装与容器本身的敏捷性形成了鲜明的对比。这种方式就像在外壳上贴了一层华丽的手机膜,获得了安全感,却失去了固有的美感和丝滑感。这种用“衣帽”换来的保护,让手机少了“美”,也让云远少了“香”。“穿衣戴帽”并非无懈可击。当然,我们大多数人还是会选择给手机加个壳。既然难以接受碎屏掉地造成的毁灭性伤害,还不如牺牲一些原本的美感。毕竟口袋里的钱没有被大风吹过,手机壳依旧可以五光十色,赏心悦目。然而,当很多人发现手机虽然耐摔,但信号变差了,用久了还发烫的时候,就不能再爱手机壳了。微隔离也是如此。虽然Agent可以覆盖全球,适应各种环境,但是很多用户还是津津乐道Agent。还记得市场上流传着一句话“进阶黑”,说的是“用了安全产品才知道自己这么没有安全感”。遗憾的是,这句话并不是在赞扬安全产品的有效性,而是在批评安全产品,这也可能导致新的安全隐患。说到这里,你大概应该明白为什么用户对Agent有天然的抵触了。首先,如果Agent要运行,肯定会对容器节点造成资源占用和性能损失。用户难免会担心业务容器乃至整个平台的稳定性和可靠性。另外,Agent本身在理论上可能存在安全漏洞,更何况它还经常有权限渗透到操作系统的内核中。而且,从实际运维场景出发,比安装Agent更难的是如何在出现问题时通过快速排查和批量回滚来保证业务。因此,无论Agent设计的多么精美,用户在选择时还是会很谨慎,不得不投入更多的精力去验证那些意料之中或意料之外、有答案或无答案的“副作用”,等待厂商去做它。澄清和更正。从用户的核心关注点来看,即使不关心“衣冠不整”是否还能保持云原生的美好,至少要求不能引入新的风险。“穿衣戴帽”不是一个人的战斗。如果说手机加不加壳可以凭个人喜好来选择,那么在工作量上加不加Agent就真的不是一人之战了。在DevSecOps的旗帜下,开发、安全、运维三大团队像三套精密齿轮一样紧密啮合在一起,相互拉动,运转不息。尽管如此,现实世界中的三个团队仍然有各自的业务目标和职责分配。因此,为了在容器的每个节点上安装一个Agent,必须进行跨团队协作和集体决策。安全团队的主要职责当然是保证整个系统的安全,所以他们通常是微隔离需求的提出者和项目的发起者,未来也极有可能是用户。他们最关心的是解决方案的效果和实际实施的可行性。开发团队直接服务于业务部门。基于业务需求,开发支撑业务发展的应用系统,着重于业务应用本身的实现。因此,任何插件的安全和控制都可能成为影响业务应用的风险和负担。运维团队的主要职责是为业务发展提供并持续维护稳定、可靠、高效的运行环境。当然,重点是系统稳定且不被指责。为了实现这一目标,他们将制定一系列的运营管理规范,按照SOP规范化运作。当然,运维团队往往拥有工作负载的root权限。也就是说,如果你想安装一个Agent,你必须获得他人的同意和支持。这样看来,如果要在容器节点上安装Agent,似乎不是在冰箱里安装大象那么简单。项目发起方必须打消相关团队的顾虑,适应他们的要求,获得他们的资源和支持,才有可能推进项目。以上种种说明,技术上可实现和工程上可行是完全不同的东西,“衣冠不整”的代理方式并不适合在云原生环境中实现微隔离。近年来,系统内置和嵌入安全能力的呼声越来越强烈。在这一点上,手机行业一直在努力。一代又一代的手机新产品不断采用高强度、轻量化的材料。相信用不了多久,手机就会迎来“脱壳”的一天。相比之下,微隔离世界的进步还要快一些。近期,长期专注于微隔离领域的强为智能,结合在微隔离领域实现微隔离的实践经验,适时发布了面向云原生环境的微隔离新品。大规模云原生环境。实现了“无代理”的微隔离能力,实现了将专业的微隔离能力集成到云原生环境中。目前,新产品已在多个数万点规模的云原生环境中投入运行。从今天开始,RoseSmartMicro-Isolation让您无需安装一个代理...附件:行业首发:RoseSmart发布《云原生环境微隔离解决方案白皮书》(含免费下载链接)了解详情。(链接地址:https://mp.weixin.qq.com/s/9eVauFbTnw__F2rzCthfag)
