“不過��,安全風(fēng)險并不會讓企業(yè)放棄云原生技術(shù)��?�!?張福強(qiáng)調(diào)�,“因為安全永遠(yuǎn)是業(yè)務(wù)的支撐����,企業(yè)高層通常都會優(yōu)先考慮如何讓企業(yè)變得更具有競爭力,如何用更高的效率實現(xiàn)更好更快的發(fā)展��。但是�����,安全保障也一定要跟得上����,就像自動駕駛,如果沒有安全保障����,大家就都不敢用了?!?/p>
作為中國頭部的汽車互聯(lián)網(wǎng)企業(yè),易車公司對此深有體會�����。易車安全總監(jiān)李玲告訴CBI記者�����,易車也經(jīng)歷了基礎(chǔ)架構(gòu)從硬件到云計算的升級�,隨著架構(gòu)越來越開放�,遇到安全問題的概率也越來越高�。以容器為例,易車感知到的風(fēng)險不僅有容器的鏡像風(fēng)險�,還有容器鏡像倉庫管理的風(fēng)險、編排工具的風(fēng)險���、以及對主機(jī)操作的風(fēng)險���。
李玲指出:“在云原生的狀態(tài)下,業(yè)務(wù)是特別敏捷��、快速的�,容器部署又是持續(xù)的,所以出現(xiàn)安全問題的概率特別高�。一旦出現(xiàn)問題,很多開源組件帶來高危命令執(zhí)行類漏洞風(fēng)險的危害性就會特別大�����?���!?/p>
用最少的成本提高安全效率
“所以,在云原生架構(gòu)下,企業(yè)需要采用新的安全防護(hù)手段�����?�!皬埜1硎?��。為此,青藤自主研發(fā)了云原生安全平臺青藤蜂巢�,它能夠集成到云原生復(fù)雜多變的環(huán)境中,如Kubernetes��、PaaS云平臺�����、OpenShift等����,通過提供覆蓋容器全生命周期的一站式容器安全解決方案,實現(xiàn)容器安全預(yù)測�����、防御、檢測和響應(yīng)的安全閉環(huán)�。
易車采取的措施是縱向的、體系化的去解決安全風(fēng)險�����,用分而治之��、齊頭并進(jìn)的策略來化解安全問題���,在應(yīng)用上線的過程中就嵌入了自動化工具��,在上線之前就把問題解決掉。易車還采用了青藤云安全的主機(jī)安全防護(hù)產(chǎn)品����,可以全方位的監(jiān)測主機(jī)運行中安全風(fēng)險��,從而進(jìn)行全面的管控�����。
李玲告訴CBI記者����,易車選型時測試了很多款云原生安全產(chǎn)品���,后來慎重的選擇了青藤云安全的解決方案�。
易車安全總監(jiān) 李玲 李玲表示�����,易車選擇青藤云安全主要是基于兩方面考慮:一方面是青藤云安全的穩(wěn)定性���。由于青藤Agent是部署在生產(chǎn)系統(tǒng)的服務(wù)器中�����,所以它的穩(wěn)定性非常重要�。如果穩(wěn)定性存在風(fēng)險��,就會產(chǎn)生讓安全團(tuán)隊難以抗住的壓力�。“所以穩(wěn)定性是我們考慮的第一要素�����。”
另一方面是青藤云安全的專業(yè)性�?!扒嗵僭瓢踩漠a(chǎn)品非常全面�����。以容器為例�,有相應(yīng)的全方位的安全產(chǎn)品����,而且每個產(chǎn)品的每個功能都是體系化的�����,可以滿足我們的安全需求?�!袄盍嵴劦?,“特別吸引我們的是青藤云安全解決方案的能力,青藤云安全解決方案的能力特別強(qiáng)����,客戶案例特別多�,而且在互聯(lián)網(wǎng)公司里實踐過���、落地過�����?���!?/p>
據(jù)悉,易車部署青藤云安全解決方案后的效果也非常明顯�����。李玲告訴CBI記者����,其中對安全團(tuán)隊幫助最大的功能就是資產(chǎn)管理功能,資產(chǎn)管理功能讓安全風(fēng)險可視化�����,一旦有突發(fā)0day漏洞��、組件被爆出高危漏洞�����,安全團(tuán)隊可以快速盤點定位風(fēng)險資產(chǎn)�,快速響應(yīng)�,提升安全效率�。產(chǎn)品能切實戳中甲方安全團(tuán)隊的痛點���,以最少的成本實現(xiàn)提效��。
在整個業(yè)務(wù)體系中體現(xiàn)安全價值
不過,對于企業(yè)來說�����,解決方案只是工具和手段���。要實現(xiàn)全方位的安全防護(hù)���,還要建立相應(yīng)的安全管理制度�����。
張福指出,除了防護(hù)手段��,企業(yè)也要重新考慮安全職責(zé)的劃分方式����,從開發(fā)��、運維����、安全各司其職,變成責(zé)任共擔(dān)����,并通過組織流程協(xié)同起來��。
隨著云原生安全解決方案的落地�����,易車的安全部門也感受到了明顯的變化。
李玲介紹�,過去易車采用的是DevOps體系,現(xiàn)在加入了安全�����,形成了DevSecOps體系�,和傳統(tǒng)的安全方式確實不太一樣���。傳統(tǒng)的安全和業(yè)務(wù)之間的矛盾比較多:業(yè)務(wù)在發(fā)展��,而安全在限制,而且安全又是處于滯后的狀態(tài)�����,比較被動�,通常只有在出了安全事故以后,大家才能看到安全部門的價值���。
但是在云原生架構(gòu)和DevSecOps體系下�����,業(yè)務(wù)要快速迭代,安全需要嵌入到業(yè)務(wù)的多個環(huán)節(jié)中去解決問題。李玲解釋到�����,“因為應(yīng)用一旦上線�,出了問題以后再去解決是非常麻煩的,我們要讓它們安全的上線�。這時業(yè)務(wù)就會主動把需求反饋給我們�,這樣可以加快安全團(tuán)隊對產(chǎn)品的優(yōu)化�����、升級����,在整個業(yè)務(wù)體系中都能體現(xiàn)出安全的價值。”
李玲坦言�����,這對安全團(tuán)隊的專業(yè)能力要求很高�����,響應(yīng)速度要很快�,這時安全團(tuán)隊和廠商之間的合作也要更加密切,要能夠根據(jù)業(yè)務(wù)需求快速找到最適合的解決方案���。
同時�����,易車的DevSecOps體系也讓過去的“安全部門追著業(yè)務(wù)部門�、問業(yè)務(wù)部門有什么問題”變成了現(xiàn)在的“業(yè)務(wù)部門主動找安全部門��,讓安全部門幫忙解決問題”�����。李玲表示�����,這種工作方式的調(diào)整也是顛覆性的。易車安全是自上而下的安全管理��,自下而上地提供安全服務(wù)��,做到了業(yè)務(wù)與安全的平衡�����,安全服務(wù)為業(yè)務(wù)賦能�。
安全管理層面��,易車建立了網(wǎng)絡(luò)安全責(zé)任分層制度���,讓安全不再只是安全部門的事情��,并在各個業(yè)務(wù)部門中設(shè)立了安全官和安全接口人�,并進(jìn)行安全評分機(jī)制���,這樣不僅提高了大家對于安全的重視程度�,也實現(xiàn)了有效的安全管理和服務(wù)效果��。
最后,張福還向廣大CSO和CIO建議�����,企業(yè)要盡早做云原生安全方面的考慮和規(guī)劃��,在規(guī)劃新業(yè)務(wù)和相應(yīng)的支撐體系時�����,就要把安全規(guī)劃進(jìn)去�。因為過去安全往往都是滯后于業(yè)務(wù)的,而滯后會導(dǎo)致很多問題�����,如果是給已經(jīng)建好的產(chǎn)品打補(bǔ)丁�����,不僅成本高�����,產(chǎn)品的收益也不會非常好����?��!叭缃耠S著基礎(chǔ)設(shè)施架構(gòu)技術(shù)的變革,正是企業(yè)給基礎(chǔ)設(shè)施洗牌甚至重建的好機(jī)會��。企業(yè)可以在產(chǎn)品開發(fā)的早期就讓安全參與到構(gòu)建和設(shè)計中��,這樣可以讓安全更加貼近業(yè)務(wù)����,企業(yè)的成本也會比較低���,效果會更好����?����!保ㄎ?CBI劉沙)
