云时代,安全变了!为此,专注云安全的青藤,在成立的第十年,进行了一场最重要的解决方案发布。
云时代,安全变了,青藤瞄向安全云原生化
在说到主题之前,我们先来看,云到底变了什么,以致于与云伴生的云安全会发生深刻变革。
中国信息通信研究院在发布的《云计算白皮书(2022年)》中指出,云原生技术在企业侧的应用持续深化,正在加速企业信息系统由烟囱状、重装置和低效率的架构向分布式、小型化和自动化的新一代软件架构的转变。云原生改进了企业IT技术和基础设施,也深刻改变着组织和流程、软件架构和设计的发展走向,成为企业用云的新范式。
的确,今天驱动云计算发生变化的“风暴中心”正是——云原生。
容器、微服务、DevOps、Serverless等成为推动云原生实践的重要技术。云原生技术采用率不断攀升的背后,源于政企上云阶段的演变。简单来说,早期的上云是将传统应用迁移上云,如今则是业务应用的生于云、长于云,从传统架构到云原生架构,后者能够真正发挥云的优势,无论是提升资源利用效率、敏捷开发部署,还是提升自动化能力、简化运维等。
“云变了,但是云上安全还是采用老一套的基于安全资源池的逻辑方法,不适用于云原生的演变。”青藤产品副总裁胡俊在接受智会社采访时如是说。
换句话而言,政企上云、用云已迈向云原生的“IN Cloud”阶段,而云安全资源池的方案还处于早期的“ON Cloud”阶段。云安全资源池面临的瓶颈在于:基于传统的盒子产品虚拟化,仅是解决了流量安全的问题;云安全资源池没有利用云计算基础设施的技术,还是传统的网关技术;云安全资源池无法解决新型的云计算组件的安全问题,比如容器带来的应用组件间的频繁交互与变化。
2020年,Azure用户因Kubeflow(基于 Kubernetes的组件)未授权访问漏洞被部署恶意容器;2021年,Docker Hub上的部分容器镜像被内置挖矿程序下载总数超2000万次……这些均是因云原生应用导致企业资源暴露面增加带来的安全问题,云安全资源池方案无法有效解决。
将以云安全资源池为代表的传统安全方案面临的问题可以概括为以下几点:
- 难以适配云和云原生环境
- 高度碎片化导致效率低下
- 安全能力迭代演进缓慢
- 难以融合到业务全生命周期
于是,全面构建云原生的云上安全解决方案成为青藤的十年之变。
向左向右、向上向下,青藤的先进云安全方案的新思路
“从以CWPP云工作负载安全为中心向‘左右上下’四个方向扩展,从单点解决方案升级为面向云原生的整体解决方案,是青藤构建‘先进云安全方案’的核心。”胡俊说。
首先,从云上的运行态安全向开发安全左移。云时代的软件工程越来越多地采用DevOps作为一站式的应用开发运维模式,在软件编码、托管、构建、集成、测试、发布、部署和运维全生命周期中实现自动化,缩短软件开发周期,提高软件迭代效率。这时,安全如果还是作为一个单独的检查项,显然不符合DevOps思想。所以,青藤通过先进云安全方案实现安全与人员的融合、与开发工具的融合、与流程的融合,进而实现DevSecOps,让上云即安全成为可能。
其次,安全右移保护云上应用及API安全。由于云上开放度的持续提升,最直接体现在微服务化之后所有的应用API化越来越明显,这时,API的资产、异常行为缺乏可见性,API的权限管理变得异常复杂。在此方面,青藤WAAP构建了API资产自动发现、API风险监测、API异常行为实时检测、API链路监控等能力,实现云应用安全防护和API安全。
再者,安全下移实现云安全配置管理。因为配置错误导致云环境风险暴露越来越成为一个显著问题,针对于此,青藤CSPM实现云安全资产管理、配置检查、风险发现、配置管理等功能,提供一站式的风险梳理和发现,联动防护一键处置告警,大幅提高了安全运维效率。
最后,安全上移提升云端大数据分析及智能安全运营能力。在此方面,青藤进行了大量的预研,例如利用可扩展分布式图计算技术降低海量大数据告警噪音、实现基于上下文的增强检测、提升安全事件响应效率。并利用AI技术在威胁建模、自动化攻击模拟、自适应安全策略、自适应检测能力、智能安全预测等方面发挥作用。
至此,青藤“先进云安全方案CNAPP”的整体面貌清晰起来,以CWPP为中心提供预测、防御、检测和响应等云安全能力,向左覆盖开发安全,向右提升应用运行安全,向下强化云环境安全,向上提升智能安全运营能力。重要的是,它是原生化的、融合化的、服务化的和智能化的。
- 原生化:体现在从开发阶段扩展到运行时阶段,提供完整生命周期的安全保障能力;
- 融合化:体现在青藤提出的“业安融合”理念,实现能力、体系和流程的融合,把安全和数字化融为一体,例如将安全融合到DevSecOps的流程中,拉齐安全、开发和运营实践等;
- 服务化:体现在先进云安全方案的落地实施不能仅依靠工具,同时需要专业的安全服务人员、标准的服务流程以及云原生架构底层服务平台结合到一起发挥最大价值;
- 智能化:体现在青藤在图计算等AI领域的积累,据介绍,今年下半年青藤将发布重磅的相关产品。
尤为重要的是,这些产品不再是孤立的,而是有机地形成一个整体,无论是数据链的打通、安全能力的协同联动,还是可视化工作负载,青藤“先进云安全方案CNAPP”提供了云上完整的生命周期安全保障能力。
胡俊将CNAPP带来的变化形容为云安全的“iPhone时刻”,是从传统云安全到先进云安全的质变。在云计算快速向云原生实践过程中,安全是否变得云原生化,将成为未来云安全发展的分水岭。
青藤,让云更安全
贴着云,将云上安全做深做透,十年如一日,这是青藤的执着。青藤CEO张福直言,“三年前青藤在技术上做了非常大的投资,研发费用占比非常高,但有一半研发费用是瞄向未来的,是面向那些先进理念和新技术的投资。”
过去10年,青藤已经为中国60%的五百强企业提供了安全保护,在800万+服务器上稳定运行超过100亿小时。未来10年,青藤立志成为中国云安全领域第一品牌。张福也有一个愿望,“希望用户在想到云、想到云安全时就会想到青藤,青藤会用自己的技术、先进的理念和创新精神,为客户提供智能的、先进的、有效的新一代安全方案。”