從今天開始,您可以少裝一個Agent!
人類對于安全的追求與生俱來,長期以來,我們習慣于借助外力來保護脆弱系統,把易被侵害的部分包裹在一層層的防護堡壘里,比如古時候的戰士會穿上盔甲、舉起盾牌。當然,當代生活中這樣的例子也比比皆是,就像我們經常要給貴重的手機加個“殼”。
網絡世界的情況是怎樣的?其實跟手機加個殼是相通的,由于網絡在設計之初是缺乏安全能力的,所以常常在網絡中額外部署防火墻、入侵防御來作為盔甲和盾牌。長期以來,這種“外掛”式安全似乎已經成為安全的定式。
老技術是這樣,新技術亦是如此,拿最近幾年炙手可熱的“微隔離”來說,只需在工作負載上安裝一個Agent就能包打天下,而這又何嘗不是一種“穿衣戴帽”般的外掛式安全呢?
“穿衣戴帽”是否還能又靚又香?
事實上,對于給手機加個殼這件事,一直都存在著互相“看不上”的兩類人。
一類人認為,動輒上萬元的手機,一定要保護好,于是在各種防摔防碎防劃痕的手機殼加持下,變得或五彩斑斕、或特立獨行,但都難免顯得肥碩臃腫。當然也有一些主打輕薄、透明的產品,但久而久之還是會變得油膩泛黃。
還有一類人,可謂“想得更開”,他們往往深切認同設計師的靈感,認為昂貴的背后實則是為靈秀的外觀和絲滑的手感在買單,本著“漂亮一秒算一秒”的心態,堅決選擇讓手機“裸奔”。滑稽的是,“素顏”手機往往會顯得更加與眾不同。當然,要付出的代價也不言而喻。
像手機一樣,歷經前仆后繼的創新,云計算終于來到了云原生的時代。相比過往,微服務、DevOps、持續交付、容器化讓云上新世界從未比今天更加接近敏捷、彈性的初心。
不得不說,云原生的靈敏,使容器網絡瀕臨失控,微隔離的需求已迫在眉睫。云原生環境的微隔離到底要如何實現?
有一點是確定的,安全不應制約云原生本身的優越特性。拒絕臃腫,保持靈敏,才能充分釋放云原生的技術紅利。
在過往,通過在容器節點上安裝Agent,當然是可以提供容器微隔離能力的,但這種方式卻與云原生既有的編排特性產生了天然割裂,每當容器集群需要擴容新的節點,都必須首先為其安裝一個Agent,而安裝Agent這件事與容器本身的敏捷形成了鮮明的反差。
這樣的方式,就像給華麗的手機貼膜加殼,得到了安全,卻損失與生俱來的靈秀和絲滑。這種“穿衣戴帽”換來的保護,讓手機不那么“靚”了,也讓云原生不那么“香”了。
“穿衣戴帽”也并非無懈可擊
當然,我們中的多數人還是會選擇給手機加個殼的,既然難以接受墜地碎屏帶來的的毀滅性損傷,那還是犧牲一些原生的美感吧,畢竟兜里的銀子不是大風刮來的,況且手機殼還是可以做到五彩斑斕、賞心悅目的。然而,當很多人發現,手機是抗摔了,但信號卻變差了,用久了還燙手時,就對手機殼再也愛不起來了。
微隔離也是如此,盡管Agent可以包打天下,適應各種環境,但很多用戶還是談Agent色變。
還記得坊間曾經流傳著一句“高級黑”,說"用了安全產品才知道,原來自己這么不安全",遺憾的是這句話并非是在歌頌安全產品的有效性,反倒是在詬病安全產品也有可能引發新的安全風險。
講到這里,您應該大概明白,為什么用戶對于Agent存在著天然的抗拒。
首先,Agent要運行,就一定會對容器節點造成資源占用和性能損耗,用戶難免會為業務容器乃至整個平臺的穩定可靠而擔心。另外,Agent自身在理論上也可能存在安全漏洞,更何況它往往具備深入操作系統內核的權限,一旦發作可就不僅僅是“發熱燙手”層面的問題了。而且,從運維場景的實際出發,比安裝Agent更加困難的是,萬一出現問題時如何通過快速排查、批量回退來保障業務。
因此,即便Agent被設計的多么精妙,用戶在選擇時依然會慎之又慎,不得不投入更大的精力來逐個驗證那些想得到或想不到、有答案或沒答案的“副作用”可能,并等待廠商做出澄清和整改。
從用戶的核心關切來看,即便暫且不論“穿衣戴帽”是否還能保住云原生的美感,但至少要求不能再引入新的風險。
“穿衣戴帽”不是一個人的戰斗
如果說要不要給手機加個殼,可以由個人的喜好來選擇,那么能不能在工作負載上裝個Agent,還真不是一個人的戰斗。
在DevSecOps的大旗下,開發、安全和運維三大團隊,就像三組精密齒輪一樣緊緊的咬合在一起,相互牽引、持續運轉。盡管如此,現實環境中三個團隊依然有著各自的業務目標和職責分配。
于是,為了能在容器各個節點上都安裝一個Agent,就必須進行跨團隊協同和集體決策了。
安全團隊的主責當然是確保整個系統的安全,所以他們通常是微隔離需求的提出者和項目的發起者,未來也大概率是使用者,他們最關注方案的效果和實際落地的可行性。
開發團隊是直接服務于業務部門的,他們基于業務需求開發出支撐業務開展的應用系統,關注點都聚焦在業務應用本身的實現上。因此,任何外掛式的安全和管控,可能對他們來說都是影響業務應用的風險和負擔。
運維團隊的主責是為業務開展提供并持續維護一個穩定、可靠、高效的運行環境,要說關注點,當然是系統穩定、不背鍋了,為了達成這個目標,他們會制定一系列的運行和管理規范,按照SOP標準化作業。當然,運維團隊往往掌握著工作負載的root權限,也就是說,要想安裝一個Agent下去,還必須要經過人家的同意、獲得他們的支持。
由此看來,想要在容器節點上裝一個Agent,好像還真的不像把大象裝冰箱那么簡單。項目的發起方必須打消相關團隊的顧慮、適應他們的要求、還得獲得他們的資源和支撐,才有可能把項目推進落地。
以上都在表明,技術上可實現與工程上可落地完全是兩回事,“穿衣戴帽”的Agent方式是不太適用于在云原生環境實施微隔離的。
近年來,安全能力內生、內嵌于系統之中的呼聲愈發強烈,在這一點上,手機界一直在努力,高強度且輕盈的材料被不斷用于一代代的手機新品,相信手機迎來“脫殼”之日已不會太久。
相比而言,微隔離界的進展還要更快一些。近日,長期專注微隔離領域的薔薇靈動,基于其在大規模云原生環境實施微隔離的經實操驗,適時發布了面向云原生環境的微隔離新品,創新性的通過守護容器方式實現了“無代理”的微隔離能力落地,做到了專業微隔離能力向云原生環境的內嵌融合。目前,新品已在多個數萬點級規模的云原生環境投產運行,從今天開始,薔薇靈動微隔離可以讓您少裝一個Agent……
附:業界首發:薔薇靈動發布《云原生環境微隔離解決方案白皮書》(含免費下載鏈接),了解詳細信息。(鏈接地址:https://mp.weixin.qq.com/s/9eVauFbTnw__F2rzCthfag)
