从今天开启,您可以少装一个Agent!
发布时间:2022-05-25 11:37:55 所属栏目:安全 来源:互联网
导读:人类对于安全的追求与生俱来,长期以来,我们习惯于借助外力来保护脆弱系统,把易被侵害的部分包裹在一层层的防护堡垒里,比如古时候的战士会穿上盔甲、举起盾牌。当然,当代生活中这样的例子也比比皆是,就像我们经常要给贵重的手机加个壳。 网络世界的情况
|
人类对于安全的追求与生俱来,长期以来,我们习惯于借助外力来保护脆弱系统,把易被侵害的部分包裹在一层层的防护堡垒里,比如古时候的战士会穿上盔甲、举起盾牌。当然,当代生活中这样的例子也比比皆是,就像我们经常要给贵重的手机加个“壳”。 网络世界的情况是怎样的?其实跟手机加个壳是相通的,由于网络在设计之初是缺乏安全能力的,所以常常在网络中额外部署防火墙、入侵防御来作为盔甲和盾牌。长期以来,这种“外挂”式安全似乎已经成为安全的定式。 老技术是这样,新技术亦是如此,拿最近几年炙手可热的“微隔离”来说,只需在工作负载上安装一个Agent就能包打天下,而这又何尝不是一种“穿衣戴帽”般的外挂式安全呢? 首先,Agent要运行,就一定会对容器节点造成资源占用和性能损耗,用户难免会为业务容器乃至整个平台的稳定可靠而担心。另外,Agent自身在理论上也可能存在安全漏洞,更何况它往往具备深入操作系统内核的权限,一旦发作可就不仅仅是“发热烫手”层面的问题了。而且,从运维场景的实际出发,比安装Agent更加困难的是,万一出现问题时如何通过快速排查、批量回退来保障业务。 因此,即便Agent被设计的多么精妙,用户在选择时依然会慎之又慎,不得不投入更大的精力来逐个验证那些想得到或想不到、有答案或没答案的“副作用”可能,并等待厂商做出澄清和整改。 从用户的核心关切来看,即便暂且不论“穿衣戴帽”是否还能保住云原生的美感,但至少要求不能再引入新的风险。 “穿衣戴帽”不是一个人的战斗 如果说要不要给手机加个壳,可以由个人的喜好来选择,那么能不能在工作负载上装个Agent,还真不是一个人的战斗。 在DevSecOps的大旗下,开发、安全和运维三大团队,就像三组精密齿轮一样紧紧的咬合在一起,相互牵引、持续运转。尽管如此,现实环境中三个团队依然有着各自的业务目标和职责分配。 于是,为了能在容器各个节点上都安装一个Agent,就必须进行跨团队协同和集体决策了。 安全团队的主责当然是确保整个系统的安全,所以他们通常是微隔离需求的提出者和项目的发起者,未来也大概率是使用者,他们最关注方案的效果和实际落地的可行性。 开发团队是直接服务于业务部门的,他们基于业务需求开发出支撑业务开展的应用系统,关注点都聚焦在业务应用本身的实现上。因此,任何外挂式的安全和管控,可能对他们来说都是影响业务应用的风险和负担。 运维团队的主责是为业务开展提供并持续维护一个稳定、可靠、高效的运行环境,要说关注点,当然是系统稳定、不背锅了,为了达成这个目标,他们会制定一系列的运行和管理规范,按照SOP标准化作业。当然,运维团队往往掌握着工作负载的root权限,也就是说,要想安装一个Agent下去,还必须要经过人家的同意、获得他们的支持。 由此看来,想要在容器节点上装一个Agent,好像还真的不像把大象装冰箱那么简单。项目的发起方必须打消相关团队的顾虑、适应他们的要求、还得获得他们的资源和支撑,才有可能把项目推进落地。 以上都在表明,技术上可实现与工程上可落地完全是两回事,“穿衣戴帽”的Agent方式是不太适用于在云原生环境实施微隔离的。 近年来,安全能力内生、内嵌于系统之中的呼声愈发强烈,在这一点上,手机界一直在努力,高强度且轻盈的材料被不断用于一代代的手机新品,相信手机迎来“脱壳”之日已不会太久。 相比而言,微隔离界的进展还要更快一些。近日,长期专注微隔离领域的蔷薇灵动,基于其在大规模云原生环境实施微隔离的经实操验,适时发布了面向云原生环境的微隔离新品,创新性的通过守护容器方式实现了“无代理”的微隔离能力落地,做到了专业微隔离能力向云原生环境的内嵌融合。目前,新品已在多个数万点级规模的云原生环境投产运行,从今天开始,蔷薇灵动微隔离可以让您少装一个Agent…… (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐