云工作负载保护和疫情防护是同一回事儿?!
2021-10-13 11:49:32 Author: www.4hou.com(查看原文) 阅读量:49 收藏

经过一年多的“抗疫”,目前除了外来输入(变异的德尔塔毒株)而引发的局部小范围爆发,我国整体上新冠疫情防控取得了阶段性的丰硕成果。本文将“抗疫”过程中所采用的一系列防疫手段与网络安全领域采用的安全防御方法(原有将重点放在建设围栏和城墙即安全边界防护,忽略了业务、数据、应用、主机等的安全纵深)进行类比,笔者发现,二者有众多相似之处,通过对防疫经验与(云)工作负载安全防护相关的关键要素进行类比,为各位在(云)工作负载安全领域总结和提炼出一套新型防控思路。

一、(云)工作负载是信息化业务的人

工作负载是信息化业务的载体,而人的身体是承载个人意志的载体,所以我们在这里不妨举例,工作负载是信息化业务的人,为什么这样说呢?

首先,“操作系统”可以比喻成人的“骨骼和肌肉”,对外提供服务的“业务应用与组件”承载和支撑机体运转的“五脏六腑”,“系统进程”像是起到连接和传导信号的“中枢神经”。安全狗轻量化Agent相当于“新兴的智能便携穿戴设备”(如健康手环、口罩、VR眼镜、脑机接口等),轻而易举的就可以附着和安装在人的机体之上,不仅不会影响人的任何行动,还可以对人身体的健康状态,活动路径进行实时扫描及监测,并且可以针对人的感冒、发烧、关节疼痛等“疾病”进行大数据会诊,快速判断健康隐患,通过隐患的识别对症下药,实时复查,这一切都与工作负载安全保护异曲同工。

人体vs云工作负载

下面我们对(云)工作负载安全保护解决方案的要点和思路进行分解介绍。

二、(云)工作负载安全保护关键成功因素

1、轻量化设计,占有资源小,不影响业务

我们的工作负载上由于各类历史原因,应该已经安装了很多的Agent,比如业务类、研发类、运维类、安全类、辅助及其它类(APM、自动化运维、防病毒、日志采集、大数据采集等),再增加新的Agent且由安全部门来推动落地,在大多数组织内存在比较大的阻力(这一常见情况在此不做赘述)。所以,从项目立项和安全需求的角度,工作负载安全类项目首先要回答的问题就是“是否能保证不影响业务?Agent的资源占用多少?”,其次才是产品能力和功能。

接下来,我们延续整个比喻:传统的安全Agent普遍“注重防护,未考虑对业务的影响,以及安全监测能力与运营管理需求”,工作负载在安装、升级、卸载等过程中,相当于给人动了一个手术,人需要接受麻醉、开刀手术、后期康复休养等,也就是要造成“业务中断”,这是现在新型数据中心和业务要求所无法接受的。

我们将安全狗的Agent能力比作戴在人身上的“健康检测设备”,那么对于“人”而言,市面上那么多的检测设备为什么非得选择穿戴式的呢?首先是因为能直接戴在“人”身上,这样做到了实时监测的同时,还能对深入行为进行安全判断;其次安全狗的“便携健康检测设备”足够轻量化,在形式上不会对人体的正常行动产生任何影响,另外通过采用开放式架构,可以融入“戴口罩(安全防护)、打疫苗免疫(补丁修复)”等功能。

此外,微隔离作为零信任体系其中的一个落地执行点,强调基于角色和身份建立业务互访关系,只有“互加好友”才可进行交流。安全狗(云)工作负载安全解决方案中的自适应微隔离能力,不仅可以针对“人”的健康进行保障,还可以根据“人”的喜好、“人”的工作性质组成不同的工作群和朋友圈,“朋友”与“朋友”之间保障业务沟通顺畅的同时,为防止不良“小伙伴”的介入,还做到了交友的身份学习能力,做到了快速判别及隔离不良的“小伙伴”的能力。

2、采集发现能力,底数清、信息明、效率高

我们对工作负载上的信息、状态、风险及行为的采集方式有四种,包括安全扫描技术、流量分析技术、Agent探针技术、人工统计,但安全扫描受限于时间窗口,流量分析属于被动发现,Agent实时高效但存在覆盖难的问题,人工统计已无法适配目前工作负载暴增的时代。随着云化资源池化,基础架构呈现混合的多云趋势,如需适配不同场景,应将上述技术进行组合使用,同时企业安全运营和保障也提出了“底数清、信息明、效率高”的安全需求。

常见的安全扫描设备一般是实体的,为了避免对业务和网络带宽的占用,通常选择非业务生产经营的时间段,类比于已经购买的安全巡检服务,需要人员到医院(上门到特定场所)和选择特殊时间段进行配合,反馈不够实时、信息存在碎片化、达到的安全效果不明显等问题。而流量分析技术,类比于视频监控设备,有人员经过和业务访问,仅能检测通过“视频监控设备”的人,即发生了流量才能产生所需要的数据,且仅能通过外表判断人的健康状态。对比之下,探针技术的实时性高、细粒度程度高等特点则能满足时代和用户的需求。

3、检测监测能力,多重手段与技术相互结合

常见的针对安全风险和威胁所采取的检测方式,类似于医院里笨重的CT设备,存在如静态、被动、不连贯、不及时等问题。当新型的攻击威胁不断升级,好比不断变异的新冠病毒,让人防不胜防,应采用多种检测手段和监测发现机制,提高检出率、检测效率,降低误报率。

4、修复处置能力,安全免疫势在必行

漏洞和后门是永远存在的,而常见的修复方式是通过增加边界防护和虚拟补丁,真正的内部问题无法得到有效治理和解决,工作负载仍处于“裸奔”的状态。这类似于当前新冠病毒防疫之下,无论戴多少个口罩或使用大量绷带,包扎成木乃伊,不结合疫苗免疫(安全补丁)和药物(修复插件)多管齐下,无法进行有效的治疗和控制。

5、多层次防护能力,不能防护的安全产品就是“耍流氓”

原有对于工作负载的安全加固采用的是操作系统级的底层技术,存在Agent比较重、难于维护的问题,这类似于中世纪时期士兵穿着厚重的铠甲,防护效果好但行动不便,并且面对勒索、挖矿等,好比德尔塔等新型变异毒株,仍然达不到防护效果。

安全狗(云)工作负载安全解决方案中为用户提供的Agent探针,好似为用户穿上了天蚕宝甲抵御刀剑(如主机IP端口策略)、戴上了口罩防护新型病毒(如进程保护),可达到轻量化且高效防御的安全效果。

前不久安全狗发布了全新版本的云工作负载安全系列产品,包括:

云眼:(云)主机安全——最后一道防线的智能守护者

云甲:容器安全——容器全生命周期的安全解决方案

云隙:微隔离——业务拓扑绘制与精细化隔离解决方案

云网:补丁修复——(云)数据中心智能化漏洞发现与补丁修复解决方案

在对以上系统和工具有了初步了解后,我们回到实际(云)工作负载场景,看看安全狗(云)工作负载具体有哪些优势。

三、安全狗(云)工作负载安全解决方案优势
1、轻量化Agent稳定,资源消耗较传统多Agent降低75%

轻量化Agent实现了功能的最小集合,大大减轻Agent对于主机性能的影响,其平均CPU消耗小于1%,峰值可以自定义小于5%。同时具备自适应降级和自适应自杀机制,减少agent对业务的影响,确保业务优化原则。轻量化Agent安全、稳定和低消耗,安装部署无需重启服务器,以静默的方式自动执行,具备安全机制防恶意终止和卸载。

原来需要多个Agent才能解决的安全问题,现在只需要安全狗“N合1”轻量Agent就可以解决,从性能消耗角度来看,原来多个Agent消耗工作负载的资源,现在只有一个Agent既实现了工作负载的多重安全防护功能,又能减小对工作负载的资源消耗和对业务的影响。

以下是以传统多个Agent的测试结果:(四个agent,分别为主机安全agent、容器安全agent、微隔离agent、补丁管理agent做测试)

 

内存占用方面,统一轻量Agent在普通情况下降低50%,在峰值情况下降低了75%。

 

CPU占用方面,统一轻量Agent在普通情况和峰值情况下,都降低了75%。

2、自动化清点,全面加强资产精细化采集

通过部署在宿主机工作负载上的一体化轻量级Agent,自动化地采集主机上的静态资产和动态资产信息,建立IT资产台账。静态资产采集的信息包括但不限于操作系统、数据库、中间件、第三方软件应用等的资产名称、版本号、配置路径、启动用户、运行权限、监听的端口等相关信息。动态资产信息包括但不限于进程行为、网络行为、账号操作行为、文件操作行为等。云原生技术架构下,轻量化Agent采集的静态资产和动态资产延伸到容器侧,解决了混合架构下资产难以覆盖全面的问题。

 

通过全面细粒度的资产清点,实时掌握资产全貌和资产变更,快速定位问题资产,实时把控应用开发生命周期内全流程资产信息风险。

3、协同处置,构建高级威胁的联合发现和处置响应的能力

对于企业来说,要在众多运行着不同系统的主机上安装软件本身就是一件较为棘手并且容易受到阻力的事情,更何况是多个Agent。安全狗新一代工作负载一体化安全系列产品采用一个轻量化Agent构建了一套多层次的检测响应体系,从多个层面来检测异常识别攻击从而保障用户系统的安全性,避免传统安全方案只针对单点防御的弊端。

4、可见可控,一体化的(云)工作负载流量管理

传统的多Agent分别采集主机间流量和容器间流量,但是无法采集和识别跨主机和容器的流量。安全狗统一轻量化Agent部署到宿主机工作负载上,可以同时采集主机和容器的网络流量,可以精准识别主机与容器间的网络网络流量,并绘制业务访问拓扑,根据业务访问拓扑可以设置主机到主机、主机到容器、POD到POD、容器到容器、进程到进程级的访问控制策略。从流量上报、可视化管理、策略管理,各个模块联动,数据联通,形成闭环系统,为企业提供对数据中心、云环境的跨容器和跨主机的东西向流量可视、可控。

四、总结

总体而言,(云)工作负载安全保护和疫情防护的关键环节具有相似性,其对应程度可以从以下的图窥见一斑。

随着微服务、Serverless等新技术架构的快速普及应用,传统CWPP产品技术架构解决新安全问题的局限性日益显现,多Agent的部署只会给安全运营带来更多的不稳定性和不确定性。安全狗新一代工作负载一体化安全系列产品,围绕CWPP领域持续深耕,不断演进CWPP产品核心基座“N合一”Agent,不断强化和深入进程级防护能力、微隔离访问控制、全流程实时监控响应,实现安全方案的内生配置和与主机安全的深度融合,在原生容器、虚机容器等多场景上不断动态升级和提升防护能力,针对容器特有风险精准打击,以智能、集成和联动的方式应对各类攻击,形成更加完备快速的自动化检测与联动响应解决方案,全面保障云安全。


文章来源: https://www.4hou.com/posts/y2rn
如有侵权请联系:admin#unsafe.sh