“不過����,安全風(fēng)險(xiǎn)并不會(huì)讓企業(yè)放棄云原生技術(shù)?����!?張福強(qiáng)調(diào)��,“因?yàn)榘踩肋h(yuǎn)是業(yè)務(wù)的支撐���,企業(yè)高層通常都會(huì)優(yōu)先考慮如何讓企業(yè)變得更具有競(jìng)爭(zhēng)力����,如何用更高的效率實(shí)現(xiàn)更好更快的發(fā)展�����。但是�����,安全保障也一定要跟得上����,就像自動(dòng)駕駛�����,如果沒有安全保障���,大家就都不敢用了?���!?/p>
作為中國頭部的汽車互聯(lián)網(wǎng)企業(yè),易車公司對(duì)此深有體會(huì)��。易車安全總監(jiān)李玲告訴CBI記者�,易車也經(jīng)歷了基礎(chǔ)架構(gòu)從硬件到云計(jì)算的升級(jí),隨著架構(gòu)越來越開放�,遇到安全問題的概率也越來越高。以容器為例��,易車感知到的風(fēng)險(xiǎn)不僅有容器的鏡像風(fēng)險(xiǎn)���,還有容器鏡像倉庫管理的風(fēng)險(xiǎn)����、編排工具的風(fēng)險(xiǎn)、以及對(duì)主機(jī)操作的風(fēng)險(xiǎn)����。
李玲指出:“在云原生的狀態(tài)下,業(yè)務(wù)是特別敏捷��、快速的����,容器部署又是持續(xù)的���,所以出現(xiàn)安全問題的概率特別高�。一旦出現(xiàn)問題��,很多開源組件帶來高危命令執(zhí)行類漏洞風(fēng)險(xiǎn)的危害性就會(huì)特別大���?���!?/p>
用最少的成本提高安全效率
“所以��,在云原生架構(gòu)下��,企業(yè)需要采用新的安全防護(hù)手段?�!皬埜1硎?。為此,青藤自主研發(fā)了云原生安全平臺(tái)青藤蜂巢���,它能夠集成到云原生復(fù)雜多變的環(huán)境中��,如Kubernetes�����、PaaS云平臺(tái)�、OpenShift等�����,通過提供覆蓋容器全生命周期的一站式容器安全解決方案���,實(shí)現(xiàn)容器安全預(yù)測(cè)�、防御����、檢測(cè)和響應(yīng)的安全閉環(huán)��。
易車采取的措施是縱向的��、體系化的去解決安全風(fēng)險(xiǎn)����,用分而治之���、齊頭并進(jìn)的策略來化解安全問題,在應(yīng)用上線的過程中就嵌入了自動(dòng)化工具��,在上線之前就把問題解決掉���。易車還采用了青藤云安全的主機(jī)安全防護(hù)產(chǎn)品��,可以全方位的監(jiān)測(cè)主機(jī)運(yùn)行中安全風(fēng)險(xiǎn)�����,從而進(jìn)行全面的管控���。
李玲告訴CBI記者,易車選型時(shí)測(cè)試了很多款云原生安全產(chǎn)品����,后來慎重的選擇了青藤云安全的解決方案�。
易車安全總監(jiān) 李玲 李玲表示�,易車選擇青藤云安全主要是基于兩方面考慮:一方面是青藤云安全的穩(wěn)定性。由于青藤Agent是部署在生產(chǎn)系統(tǒng)的服務(wù)器中��,所以它的穩(wěn)定性非常重要�。如果穩(wěn)定性存在風(fēng)險(xiǎn),就會(huì)產(chǎn)生讓安全團(tuán)隊(duì)難以抗住的壓力�����?����!八苑€(wěn)定性是我們考慮的第一要素�。”
另一方面是青藤云安全的專業(yè)性��?��!扒嗵僭瓢踩漠a(chǎn)品非常全面�。以容器為例�����,有相應(yīng)的全方位的安全產(chǎn)品,而且每個(gè)產(chǎn)品的每個(gè)功能都是體系化的��,可以滿足我們的安全需求��?���!袄盍嵴劦剑疤貏e吸引我們的是青藤云安全解決方案的能力�,青藤云安全解決方案的能力特別強(qiáng),客戶案例特別多�����,而且在互聯(lián)網(wǎng)公司里實(shí)踐過�、落地過����。”
據(jù)悉���,易車部署青藤云安全解決方案后的效果也非常明顯���。李玲告訴CBI記者���,其中對(duì)安全團(tuán)隊(duì)幫助最大的功能就是資產(chǎn)管理功能,資產(chǎn)管理功能讓安全風(fēng)險(xiǎn)可視化��,一旦有突發(fā)0day漏洞���、組件被爆出高危漏洞�����,安全團(tuán)隊(duì)可以快速盤點(diǎn)定位風(fēng)險(xiǎn)資產(chǎn)�����,快速響應(yīng)���,提升安全效率。產(chǎn)品能切實(shí)戳中甲方安全團(tuán)隊(duì)的痛點(diǎn)����,以最少的成本實(shí)現(xiàn)提效。
在整個(gè)業(yè)務(wù)體系中體現(xiàn)安全價(jià)值
不過,對(duì)于企業(yè)來說�����,解決方案只是工具和手段�。要實(shí)現(xiàn)全方位的安全防護(hù),還要建立相應(yīng)的安全管理制度��。
張福指出���,除了防護(hù)手段��,企業(yè)也要重新考慮安全職責(zé)的劃分方式�����,從開發(fā)��、運(yùn)維、安全各司其職����,變成責(zé)任共擔(dān),并通過組織流程協(xié)同起來�。
隨著云原生安全解決方案的落地,易車的安全部門也感受到了明顯的變化。
李玲介紹����,過去易車采用的是DevOps體系,現(xiàn)在加入了安全��,形成了DevSecOps體系�,和傳統(tǒng)的安全方式確實(shí)不太一樣。傳統(tǒng)的安全和業(yè)務(wù)之間的矛盾比較多:業(yè)務(wù)在發(fā)展����,而安全在限制,而且安全又是處于滯后的狀態(tài)����,比較被動(dòng),通常只有在出了安全事故以后�,大家才能看到安全部門的價(jià)值。
但是在云原生架構(gòu)和DevSecOps體系下����,業(yè)務(wù)要快速迭代,安全需要嵌入到業(yè)務(wù)的多個(gè)環(huán)節(jié)中去解決問題����。李玲解釋到���,“因?yàn)閼?yīng)用一旦上線,出了問題以后再去解決是非常麻煩的�����,我們要讓它們安全的上線�����。這時(shí)業(yè)務(wù)就會(huì)主動(dòng)把需求反饋給我們���,這樣可以加快安全團(tuán)隊(duì)對(duì)產(chǎn)品的優(yōu)化���、升級(jí),在整個(gè)業(yè)務(wù)體系中都能體現(xiàn)出安全的價(jià)值����。”
李玲坦言�����,這對(duì)安全團(tuán)隊(duì)的專業(yè)能力要求很高���,響應(yīng)速度要很快����,這時(shí)安全團(tuán)隊(duì)和廠商之間的合作也要更加密切��,要能夠根據(jù)業(yè)務(wù)需求快速找到最適合的解決方案����。
同時(shí),易車的DevSecOps體系也讓過去的“安全部門追著業(yè)務(wù)部門�、問業(yè)務(wù)部門有什么問題”變成了現(xiàn)在的“業(yè)務(wù)部門主動(dòng)找安全部門,讓安全部門幫忙解決問題”�����。李玲表示����,這種工作方式的調(diào)整也是顛覆性的。易車安全是自上而下的安全管理�����,自下而上地提供安全服務(wù)����,做到了業(yè)務(wù)與安全的平衡��,安全服務(wù)為業(yè)務(wù)賦能�����。
安全管理層面�����,易車建立了網(wǎng)絡(luò)安全責(zé)任分層制度�,讓安全不再只是安全部門的事情�����,并在各個(gè)業(yè)務(wù)部門中設(shè)立了安全官和安全接口人�����,并進(jìn)行安全評(píng)分機(jī)制�����,這樣不僅提高了大家對(duì)于安全的重視程度�,也實(shí)現(xiàn)了有效的安全管理和服務(wù)效果�����。
最后,張福還向廣大CSO和CIO建議����,企業(yè)要盡早做云原生安全方面的考慮和規(guī)劃,在規(guī)劃新業(yè)務(wù)和相應(yīng)的支撐體系時(shí)���,就要把安全規(guī)劃進(jìn)去����。因?yàn)檫^去安全往往都是滯后于業(yè)務(wù)的�����,而滯后會(huì)導(dǎo)致很多問題����,如果是給已經(jīng)建好的產(chǎn)品打補(bǔ)丁,不僅成本高���,產(chǎn)品的收益也不會(huì)非常好����。“如今隨著基礎(chǔ)設(shè)施架構(gòu)技術(shù)的變革��,正是企業(yè)給基礎(chǔ)設(shè)施洗牌甚至重建的好機(jī)會(huì)���。企業(yè)可以在產(chǎn)品開發(fā)的早期就讓安全參與到構(gòu)建和設(shè)計(jì)中�����,這樣可以讓安全更加貼近業(yè)務(wù)���,企業(yè)的成本也會(huì)比較低,效果會(huì)更好�。”(文/CBI劉沙)
比.jpg)
