剛剛過去的五月，全球知名的電動車及能源公司發生了大規模的數據泄露，再次給安全行業敲響了警鐘。數字化時代，云原生技術在發揮數字業務快速交付與迭代優勢的同時，帶來了新的安全風險和挑戰。

對此，企業應該如何應對？帶著這樣的問題，我們與SUSE 安全產品戰略副總裁黃飛展開了一場深度對話。

新技術帶來新風險

虛擬機、容器、服務網格、多集群間通信、多云和混合云、Serverless 等新技術不斷涌現，對安全邊界提出了越來越多的要求。

2014 年流行起來的容器技術算是跨時代的變革，它與 Kubernetes 等技術共同助力企業實現了應用程序部署等諸多方面的自動化，但同時也帶來了新的安全挑戰。黃飛認為挑戰主要包括四個方面：首先容器更新迭代非常快，傳統的保護方式已經不適用于容器環境；第二是軟件生產的流程自動化，容器開發階段每天可達上千次的軟件發布依賴整套 CI/CD 自動化流程控制；三是越來越多的企業開始在跨云多云環境部署容器；四是容器將單一的應用變成了成百上千的微服務，導致服務內部通信爆發式的增長。

Kubernetes 采用虛擬化技術，數據、網絡、計算等層面的全部虛擬化對于應用程序開發者來講非常實用。然而，這卻讓運維安全人員無法了解容器的運行狀況，即虛擬化技術本身對安全管控形成了一定的屏障，這無疑升級了安全挑戰。

使用“零信任”升級傳統安全

2021 年底，“核彈級”的 Log4j 漏洞爆發，大量企業被波及。黃飛將Log4j 比喻為洋蔥芯中的bug，因為它被層層包裹、嵌入在其他軟件包中，很難被常見的掃描方法識別到。他認為對付此類漏洞，首先要從源頭進行有效的掃描和控制CVE 安全漏洞；而對于無法下線進行修復的應用程序，零信任安全則是最有效的保護方法。

像Log4j 這樣的高危漏洞隨著開源軟件的廣泛使用而與日俱增，但傳統安全工具在云環境很難提供全面的保護。此外，隨著公有云的快速發展，業界對安全界限的認識也出現了分歧。“很多客戶認為公有云的安全應該完全交給供公有云廠商，但事實并非如此。”黃飛強調，應用程序級別的安全必須由各個企業用戶自己負責。這意味著，面對越來越多未知的安全風險，企業的安全防護要從被動式的安全逐漸過渡到主動式安全。

主動安全是一個新的概念，無論處于云原生化的哪一個階段，企業都可以采取較為主動的零信任安全功能來提高效率。“零信任安全并不需要推翻一切從零開始，企業可以循序漸進地進行部署。”黃飛認為，傳統安全能夠堵住已知的安全漏洞，而零信任安全能夠防范未知的安全風險，傳統安全與零信任安全的疊加使用可以幫助企業實現多層防護。

同時，考慮到大部分企業已經在傳統安全上投入了大量資源和金錢，根據企業的實際情況選擇最有效的方面開始針對性部署零信任安全也是最經濟的方式。

黃飛把整個云原生零信任安全的實施劃分成四個階段：用戶和可視化；設備、網絡和環境；應用程序、服務和編排管理；數據、自動化和合規檢查。企業無需推翻所有的安全投資和配置，可以從某一個單點開始介入和部署，逐步深化。

NeuVector 在創立之初就專注于容器安全，能夠提供端到端的安全服務以及從 DevOps 流水線漏洞保護到生產中的自動化安全和合規性，可以作為零信任安全模型的重要部分，實現對容器環境的實時安全保護和威脅檢測。

開源為云原生安全帶來更多可能

2022 年1 月，在被 SUSE 收購3 個月后，NeuVector 宣布開源，成為業界首個端到端的開源容器安全平臺。“這是推動容器安全發展的重要里程碑。”作為 NeuVector 的聯合創始人兼創始 CEO 的黃飛評價道。

NeuVector 本身擁有十幾項技術專利，包括深層數據包檢查和行為學習，可識別適當的容器行為，并且僅允許在容器環境中經過批準的白名單進行網絡鏈接、進程訪問和文件存取。NeuVector 在運行時提供完整的攻擊檢測和預防，主動保護生產環境；作為容器部署，具有高度擴展能力。NeuVector 開源之后，所有加入開源專利聯盟的企業都可以開誠布公地合作，共享專利與技術，這對整個軟件平臺產業的發展至關重要。

NeuVector：Kubernetes 安全與合規一體化平臺

黃飛表示加入 SUSE 后學到的最重要的東西是開放性。NeuVector 雖然是SUSE 的安全產品，但其開源容器鏡像可以安裝在任何流行的 Kubernetes 集群上，可以支持包括紅帽 OpenShift、VMWare Tanzu 等在內的眾多企業級容器管理平臺，以及Google GKE、Amazon EKS、Microsoft Azure AKS 等K8s 發行版。秉承開放戰略，NeuVector 將始終致力于成為所有云原生環境的優秀安全解決方案。

打造全棧云原生平臺能力，全方位守護云安全

“SUSE 的愿景不僅僅是打通 Linux 操作系統，而是提供從操作系統到容器管理平臺再到云安全方案的一整套解決方案，這也是業界發展的一個趨勢。”黃飛介紹，隨著 Rancher 和NeuVector 的加入，SUSE 快速增長，現在逐漸擁有了幾乎是全棧的云原生平臺能力。

目前，SUSE 是唯一一家通過最高級別加密認證 FIPS 的 Linux 平臺，新一代 SUSE Linux 操作系統開始集成機密計算技術，各個產品都在持續開發各種各樣的安全功能。

黃飛介紹，企業級的操作系統管理平臺 SUSE Manager 能統一管控安全掃描以及補丁功能；SUSE 為 CNCF 貢獻的重要安全工具 Kubewarden，能夠幫助 Kubernetes 集中管理安全策略；企業容器管理平臺 Rancher Prime 提供集群的全生命周期管理，不僅可以跨云統一創建集群，還可以統一管理、升級和配置集群。此外，Rancher Prime 與零信任容器安全平臺 NeuVector 的集成，讓Rancher Prime 能夠滿足整個應用生命周期中的主要安全場景的需求。

面對云原生的快速發展與廣泛應用，SUSE 也在持續投資和發展安全生產線，來幫助企業應對云原生安全挑戰。黃飛透露，SUSE 安全產品未來會側重于四個方面：一是會持續引領新一代的零信任安全技術；二是將安全自動化技術合理地嵌入到更多的平臺和流程中；三是致力于為客戶降低云原生安全管理的復雜性；最后，SUSE 也會持續拓展安全邊界，根據客戶的需求去支持更多、更大規模的超級分布式計算系統環境和場景。

受訪嘉賓：黃飛，SUSE 安全產品戰略副總裁

黃飛在企業安全、虛擬化、云計算和嵌入式軟件方面擁有超過 25 年的工作經驗，是 CloudVolumes （被 VMware 收購）創始團隊成員，DLP 安全公司 Provilla 的聯合創始人，是新一代 Kubernetes 安全公司 NeuVector （2021 年被 SUSE 收購）的聯合創始人和創始 CEO。在安全、虛擬化和軟件架構方面擁有 10 多項美國技術專利。