云原生讲解扩展篇（集齐五种能力PrismaCloud能否填平云原生路上的安全陷阱）

云原生讲解扩展篇（集齐五种能力PrismaCloud能否填平云原生路上的安全陷阱）　　这是用户的需求，同时也是谷歌选择的行动路线，因为整个云原生技术体系很大程度上都是基于Kubernetes构建，所以谷歌选择围绕Kubernetes构建一个庞大的云原生生态。谷歌成功了，但同时也把Kubernetes里的“坑”带到了整个云原生体系中。　　如果我们把原来基于机器的传统模式称之为“Machine Native”，把现在及未来用户需要的模式称之为 “云原生(Cloud Native)”模式;那么我们显然可以得出一个结论：从Machine Native逐步演进到Cloud Native(云原生)，让业务系统的可用性、敏捷性和可扩展性得到大幅提升，从而解决现在面对的数字化转型所带来的新挑战，是现在所有上云用户的共同需求。派拓网络中国区大客户技术总监张晨　　Kubernetes的开源属性，决定了它生于集市并长于集市，但这同时也造就了一个弊病，就是Kubernetes在设计之初，并没有

　　如果我们对比过安卓与IOS系统，我们就不难想见Eric Raymon写作《大教堂与集市》的本意。华丽宏伟的IOS系统就如大教堂一般，但它高高在上。而安卓确实如集市一般，尽管其中漏洞百出，却如集市一般遍地开花。谷歌主导安卓取得了成功，接下来它希望在数据中心领域复制它在移动领域的成功。这个时候，Kubernetes出现了。

　　在让Mesos、Docker Swarm等竞争对手没落之后，Kubernetes成功铺就了一条通往云原生的路。但这却是一条充满了“坑”的路，无数厂商开始在这条道路上“填坑”，Palo Alto Networks(派拓网络)就是其中一家。

　　通往云原生的路

　　说起Kubernetes的成功，就不得不提数字化转型的作用。因为数字化转型直接带来了两大挑战，一是导致业务系统复杂度和规模迅速的增长，二是业务对IT系统的依赖达到了空前的高度。在这二者的共同作用之下，企业在上云路上越跑越快，同时分布式应用和多云/混合云架构成为主流。为了保证业务连续性，同时缓解业务系统复杂度，容器技术成了不二的选持，而Kubernetes恰恰掌控着容器应用。

派拓网络中国区大客户技术总监张晨

　　Kubernetes的开源属性，决定了它生于集市并长于集市，但这同时也造就了一个弊病，就是Kubernetes在设计之初，并没有太多地从安全角度进行过设计，安全控制机制的缺失，为以后的应用埋下了一个“大坑”。但随着时间的推移，根据云原生计算基金会(CNCF)的最新年度调查显示，绝大多数企业(83%)在生产环境中运行了Kubernetes。Kubernetes已经成为了应用主流。

　　今天，用户对于算力的需求越来越大，这使得云平台成为了数据中心级别的，管理一个数据中心，也可能是跨多个数据中心，这种大的云平台也可能是混合云、甚至跨多个云的多云平台。这个时候，用户需要的就是由管理数据中心级别资源的平台，向上提供API，直接支持应用系统的构建。

　　如果我们把原来基于机器的传统模式称之为“Machine Native”，把现在及未来用户需要的模式称之为 “云原生(Cloud Native)”模式;那么我们显然可以得出一个结论：从Machine Native逐步演进到Cloud Native(云原生)，让业务系统的可用性、敏捷性和可扩展性得到大幅提升，从而解决现在面对的数字化转型所带来的新挑战，是现在所有上云用户的共同需求。

　　这是用户的需求，同时也是谷歌选择的行动路线，因为整个云原生技术体系很大程度上都是基于Kubernetes构建，所以谷歌选择围绕Kubernetes构建一个庞大的云原生生态。谷歌成功了，但同时也把Kubernetes里的“坑”带到了整个云原生体系中。

　　StackRox在2020年曾发布过《容器和Kubernetes安全态势报告》，指出44%的受访者(及组织)承认：曾经出于安全方面的考虑，而推迟了将容器应用向生产环境中部署。同时有94%的人表示在过去一年内经历过与容器和Kubernetes相关的安全事件。

　　进入2021年，派拓网络的威胁研究与咨询团队Unit 42更是在 Google Kubernetes Engine (GKE) 中发现多个漏洞和攻击技术。这些威胁不仅影响了 Google Cloud 用于管理 Kubernetes 集群的一款产品GKE Autopilot，同时甚至影响到了GKE 标准。

　　这样，一方面Kubernetes的应用范围在扩大，另一方面，围绕着Kubernetes的云原生安全之“坑”也正在越变越大。用户需要在一个两难问题当中找到新的解决方案，派拓网络中国区大客户技术总监张晨与派拓网络Prisma Cloud方案架构师李国庆共同为我们揭示了破局之道。

　　云原生安全的新出路

　　随着以Kubernetes为核心的云原生技术版图变得越来越大，云原生安全已经成为了一种新兴的安全理念，不仅解决云计算普及带来的安全问题，更强调以原生的思维构建云上安全建设、部署与应用，推动安全与云计算深度融合。

　　张晨认为，要想解决云原生中存在的安全问题，就要弄明白随云原生而来的安全危机到底会出现在哪几个方面。综合来看，这些安全问题来自四个方面：由于云的使用规模十分巨大而带来的可见性和合规性问题、由于混合云成为主流带来的安全问题、由于用户使用多云功能而带来的安全问题、因为开发运维团队和安全运维团队需要共同协作而带来的安全问题。

　　而为了应对这些环节的安全问题，张晨表示：“在容器化云原生环境下，用户需要云代码安全、云安全态势管理、云工作负载保护、云网络安全、云身份安全五个维度的能力。”

　　例如，在云代码安全方面，容器的开发环境为开发团队提供了一种非常敏捷的工作方式，可以实现快速开发、集成和不断修正，然后投入生产。但这种快速敏捷的开发模式有可能对安全机制缺乏考虑，所以就需要开发和运维团队能够与安全团队共同协作。这样，将安全控制机制在开发阶段就融入到安全检测中，就实现了安全左移，确保了开发运维团队和安全运维团队的安全协作问题。

　　而通过云工作负载保护，可以在应用的全生命周期中保障主机、容器和无服务架构的安全，化解混合云带来的安全麻烦。通过监控态势、检测和应对威胁，保证合规性，就可以让云安全态势管理应对云计算应用规模越来越大带来的安全问题。要知道Kubernetes由于其陡峭的学习曲线，曾经让配置错误成为令多数企业IT主管都头疼的问题，但在云原生环境下态势感知面前，企业云平台的配置缺失和错误都会一目了然。此外，通过监控并保护云网络，实施微分段，还可以抵御随用户多云功能而带来的安全问题。

　　这样，从用户的角度来看，在云平台和Kubernetes社区提供的安全能力之外，他们还需要一个兼具这五种云原生安全能力的载体，而派拓网络的Prisma Cloud解决方案恰好扮演了这个角色。

　　云原生安全的全面解决之道

　　在最新一期的Forrester Cloud Workload Security评估中，Prisma Cloud凭借市场占有率和产品能力综合排名最优，而荣获第一名。从2018年到2021年的三年时间内，Prisma Cloud的客户数增加到2700家，同时在《财富》100强企业中，有74%的企业选择了Prisma Cloud。Prisma Cloud至今已为超过25亿个云资源提供保护。

　　Prisma Cloud是派拓网络将收购来的一系列产品经过整合之后的产品，2019年为收购RedLock公司，派拓网络就付出了1.73亿美元，而2021年新收购的Bridgecrew公司，更是“安全左移”概念的创作者，它强调了开发人员和DevOps团队在整个应用开发过程中实施了基础设施安全标准之外 还要强调“基础设施即代码”。因此Prisma Cloud完全可以算得上是诸多安全高手的强强联袂。

　　张晨介绍说：“在过去四五年里，Palo Alto Networks(派拓网络)一直在云原生安全领域持续投入，将收购来的技术都集成到Prisma Cloud解决方案之中，它也因此而成为了全球业界技术能力覆盖面最全、最广的多云环境解决方案。它贯穿了应用的全生命周期，可以实现跨技术堆栈、云和应用组件的一致性。针对容器化环境，Prisma Cloud可以把各种检查机制无缝集成到整个容器化平台的生命周期里，我们借助它可以有机会接触到大量云原生环境下的安全威胁，以帮助我们不断优化解决方案。”

　　Prisma Cloud在云原生安全方面已经展现出了超强的能力，李国庆介绍说：“在基础设施即代码(IaC)方面，收购Bridgecrew公司赋予了我们在IaC方面强大的能力。我们替换了IaC自身的组件，现在的IaC组件支持当下流行的基础架构即代码的编写工具和平台，以及代码阶段的扫描，这样就可以更好地进行配置和合规方面的安全问题检查。并且我们可以把它和我们实际在云上部署的代码进行差异化比对，来确保我们的基础架构始终处在一个良好的状态中。”

　　此外，针对云代码安全，李国庆表示：“Prisma Cloud提供了对第三方软件供应链的扫描，来确保代码本身不会存在安全问题。它还自带一些许可证、企业允许的授权，确保企业用户不会因为开源许可协议的误用而陷入授权风险之中。”

　　当越来越多的企业上云后，基础设施即代码的安全问题随之而来，传统的应用程序交付越来越多地被微服务模式替代，其中客户端与服务端的数据，多数是通过API来传输。而针对API的安全防范，李国庆认为：“Prisma Cloud对Kubernetes提供了准入控制、事件审批的功能。所以，我们对Kubernetes的API server，提供了良好的保护。对于微服务环境里运行的API，我们提供一种分布式的防火墙来内嵌到Prisma Cloud解决方案中来。并且Prisma Cloud针对API和WAF的防护，与传统方式不同，是采用分布到每个节点的安全代理来提供防护，这样就能对API本身的规范、参数的合法性，以及调用方式的检测，都能提供良好的防御。”

　　从李国庆的介绍中，我们不难体会到：Prisma Cloud作为目前唯一一款跨主机、虚拟机、容器和服务器的解决方案，确实可以用技术实力满足用户的全部云原生安全需求。

　　张晨在最后特别强调：“Prisma Cloud只是派拓网络产品集群中的一款产品，在Prisma Cloud之外，我们还可以提供容器化的防火墙，让用户的云原生环境变得更安全。”

　　云原生技术正逐步成熟，容器、微服务、声明式API等代表技术的应用正逐步落地，生态也正逐步健全。但云原生环境同时也面临着严峻的安全问题，与传统的云安全技术不同，云原生安全的治理更为强调采用综合的解决方案。在这种条件之下，兼具多种云原生安全能力的Prisma Cloud，显然更为适应用户对于云原生安全的需求。