追求人类安全是与生俱来的长期以来,我们习惯于用外力保护脆弱的系统,用层层保护堡垒包裹脆弱的部分例如,古代的战士会穿上盔甲,举起盾牌当然,这样的例子在当代生活中比比皆是,就像我们经常要给昂贵的手机加一个Rdquo
世界的形势是怎样的其实给手机加个壳是相通的因为网络在设计之初就缺乏安全能力,所以通常会在网络中额外部署防火墙和入侵防御作为防护很长一段时间,这个Rdquo安全似乎成了安全的公式
技术总是这样,新技术也是这样就拿最近几年最火的来说,孤立的一般来说,工作负载上只能安装一个代理,这是一种戴着帽子外挂安全性呢
戴着帽子还能美得香吗。
其实给手机加个壳,一直都是互无视两种人。
一类人认为几万块钱的手机一定要保护好,于是在各种抗摔,防摔,防刮擦手机壳的加持下变得五颜六色或者特立独行,但又不可避免的肥胖臃肿当然也有一些产品以轻薄透明为主,但是时间一长就会变得油腻发黄
还有一种人,可以用来形容,想开更多他们往往深深认同设计师的灵感,认为贵的背后其实是在为精致的外观和丝滑的手感买单,符合美好的一秒算一秒心态,坚决选择让手机赤裸裸的讽刺的是颜手机往往更有特色当然,要付出的代价不言而喻
云计算和手机一样,在经历了一次次的创新之后,终于来到了云诞生的时代相比过去,微服务,DevOps,持续交付,容器化,让云上新世从未像今天这样更接近最初的敏捷灵活之心
不得不说,云的原始敏感让容器网络濒临失控,微隔离的需求迫在眉睫如何实现云原生环境的微隔离
有一点可以肯定,安全不应该限制云原生本身的优越特性只有拒绝臃肿和敏感,才能充分释放云的技术红利
在过去,当然可以通过在容器节点上安装代理来提供容器的微隔离能力,但这种方法自然脱离了云的现有布局特点每当一个容器集群需要扩展一个新的节点时,都要先为它安装一个代理,代理的安装与容器本身的敏捷形成了鲜明的对比
这样的方式,就像给华丽的手机膜加了一层壳,虽然安全,却失去了与生俱来的魅力和流畅这种戴着帽子换来的保护让手机不那么Rdquo,也让云原生少了Rdquo走吧
戴着帽子并非无懈可击。
当然,我们大多数人还是会选择给手机加个保护套既然很难接受掉在地上摔碎屏幕带来的毁灭性伤害,不如牺牲一些我们原本的美好毕竟我们口袋里的钱没有被大风吹走,我们的手机外壳还能五颜六色,赏心悦目但是,当很多人发现手机抗摔了,但是信号变差了,时间久了还是烫手,就再也爱不上手机壳了
微隔离也是如此虽然Agent可以称霸世界,适应各种环境,但是很多用户还是对Agent色变津津乐道
我还记得曾经有一个在市场上流传,高级黑的Rdquo,说用了安全产品才知道原来自己这么没有安全感可惜这句话不是在赞美安全产品的有效性,而是在批评安全产品也可能造成新的安全隐患
至此,你大概应该明白为什么用户对Agent有天然的抵触情绪了。
首先,如果Agent要运行,会造成容器节点的资源占用和性能损失,用户必然会担心业务容器乃至整个平台的稳定性和可靠性另外,代理本身理论上可能存在安全漏洞,更何况它往往拥有深入操作系统内核的权限,一旦攻击就不只是发热问题的级别而且,从现实的运维场景来看,如何在出现问题时通过快速故障排除和批量回滚来保证业务,比安装代理更难
所以,即使代理设计的很巧妙,用户在选择的时候还是会很谨慎,不得不投入更多的精力去一一验证那些自己想得到或者想不到,有答案或者没有答案的Rdquo副作用,可能吧,等厂家澄清整改。
从用户的核心关注出发,即使抛开戴着帽子我们是否还能保持原有的云之美,但至少不能引入新的风险。
戴着帽子这不是一个人的战斗。
如果你想给手机加个壳,可以根据个人喜好来选择,那么能不能在工作负载上安装代理,真的不是一个人的战斗。
在DevSecOps的保护伞下,开发,安全,运维三个团队,就像三套精密的齿轮,紧紧啮合在一起,相互牵引,不断运转可是,在现实中,三个团队仍然有各自的业务目标和职责
因此,为了在容器的每个节点上安装一个代理,需要进行跨团队协作和集体决策。
当然,安全团队的主要职责是保证整个系统的安全,所以他们通常是微隔离需求的提出者和项目的发起者未来,他们也将是大概率的用户他们最关心的是方案的效果和实际落地的可行性
开发团队直接为业务部门服务他们基于业务需求开发支持业务发展的应用系统,专注于业务应用本身的实现因此,任何外部安全和控制都可能是影响其业务应用的风险和负担
运维团队的主要职责是为业务发展提供并持续维护稳定,可靠,高效的运营环境要说顾虑,当然是系统稳定,没有背靠背为了实现这个目标,他们会制定一系列的运营管理规范,按照SOP规范操作当然,运维团队往往掌握着工作量的root权限,也就是说,如果你要安装代理,必须得到别人的同意和支持
从这个角度来看,在容器节点上安装代理,似乎真的不是把大象放进冰箱那么简单项目发起人必须打消相关团队的顾虑,适应他们的要求,得到他们的资源和支持,才有可能推动项目向前发展
以上都说明技术上可实现和工程上可实现是完全不同的两回事戴着帽子代理方法不适合云原生环境下的微隔离。
最近几年来,对内生安全能力并嵌入系统的呼声越来越强烈在这一点上,手机行业一直在努力,高强度,轻量化的材料被源源不断地用于一代又一代的新手机相信手机会迎来炮轰不会太久的
相比较而言,微隔离的进展更快最近几天,长期专注于微隔离的Rose Smart基于其在大规模云原生环境中实现微隔离的实践经验,适时发布了云原生环境微隔离新品,创新性地通过守护容器实现没有代理微隔离能力落地,实现了专业微隔离能力到云原生环境的嵌入式集成目前,新产品已经在数万个云原生环境中投入运行