三年前,原生安全(Intrinsic Security)还是一个新名词。现如今,这个理念已经被业界广泛接受。什么是原生安全呢?作为一种新的安全建设理念,原生安全主要探讨信息安全建设与管理的转型,很难给它下一个明确的定义,我将通过描述他的特征来简要阐述原生安全理念。
原生安全特征一:内建而非外挂
相对于外挂式的安全解决方案,原生安全倡导安全内建。内建安全的好处有很多:第一是即时就绪,无需安装,简单配置一下就可以发挥作用;第二是安全性好,外挂式安全产品通常需要部署代理以实现信息收集和管理控制,而这些代理通常也是攻击目标,代理一旦被破坏,安全防护能力也会受损;第三是易用性强,内建式安全防护的管理功能可以很好地与平台相集成,简单易用;第四是资源占用少且性能高,内建安全可以充分利用平台的功能来实现服务,可以采用更精简的设计并针对平台进行深度优化。
原生安全特征二:主动而非被动
原生安全方案的主要目的是平台的安全防护,会基于平台自身的脆弱性来提供更有针对性的服务。例如,容器、虚拟化和云平台都是为了实现资源共享,共享的模式可以非常明显地提升资源利用率,但同时也增加了安全风险。安全防护方案应该着力于提升负载和租户之间的隔离性,这种防御性手段是基本的、必需的,通过强化系统自身实现威胁免疫,有效抵抗已知和未知的安全风险。
原生安全特性三:整合而非孤立
相对于其他IT服务,安全的独立性更强,往往自成体系。这在IT系统相对固化的时代并不是什么大问题,但是随着应用与基础架构的转型,安全服务的低效越来越成为一个拖累。原生安全通过与平台整合,实现了更好的洞察力和控制力。可以针对负载的需求来提供服务,能够根据负载的变化动态调整,而不是通过限制负载的灵活性来保障安全。
下面以虚拟化平台原生安全为例,来看看这种理念的先进性。
首先,原生安全对负载有更好的理解,可以基于负载的逻辑标识和虚拟化平台的逻辑分组来制定安全策略,实现基于意图的安全隔离与防护,安全规则更容易理解且不易出错。假设业务需求是只有财务部门的应用(逻辑组)才可以访问财务数据库(逻辑标识),在原生安全的世界里,安全管理员不需要清楚财务逻辑组中有哪些虚拟机,这由应用部门来负责。安全管理员也不需要知道财务数据库节点的IP地点是多少,这由网络部门来决定。安全管理员在防火墙中添加一条基于意图的访问规则就可以了。源是财务应用组,目的是财务数据库,协议和端口根据数据库来指定。逻辑组中的成员可能会经常调整,数据库的IP地址也可能会变更,防火墙规则能够自动适配这些变化,安全管理员无需修改安全规则以应对此类变化。
其次,原生安全无需部署额外的程序,且独立于负载而存在。传统的安全解决方案使用与物理机相似的方法来保护虚拟机,通过安装在虚拟机内部部署代理来保护系统、应用和数据。除了占用资源增加管理负担,还有一定的安全风险,如果代理的完整性被破坏(还可能是没有部署或更新),安全防护能力将部分或全部丧失。虚拟化平台的原生安全内建于虚拟化层,不需要在虚拟机内部安装代理,利用虚拟化平台来监控虚拟机中系统及应用的活动,更安全更易管理。
再次,原生安全通过与平台集成获得了更好的控制力,发现安全威胁之后能够更加积极主动地应对,而不是简单地发送告警消息给管理员。针对病毒威胁,可以终止可疑进程,隔离受感染文件或隔离受感染虚拟机。针对网络攻击,可以阻断网络通讯,挂起虚拟机,留存虚拟机快照以待事后分析。这些敏捷多样的响应手段能够更及时更有效地保护负载,将安全威胁所造成的影响降到最低。
作为最早倡导原生安全的厂商,VMware的原生安全解决方案经过多年的发展已经相当完整。目前主要涵盖工作负载(应用)安全,云平台(基础架构)安全,网络安全、云终端安全和身份安全等方向。
信息安全是一个非常大的领域,没有哪个厂商能够靠一己之力为用户提供所有的解决方案,VMware原生安全所能提供的始终是基本的、必需的部分。因此VMware为合作伙伴提供了集成接口,携手第三方安全厂商一起服务客户,共同打造安全生态系统。
今天是原生安全话题的第一篇,后续我会把一些关键技术点拿出来详细说明,也欢迎大家与我联系,提出你所关心的内容,谢谢。