专访探真科技：云原生安全与业务迭代平衡术

IT 网络世界的安全攻防一直在发生。就在刚刚过去的 2022 年 2 月，NVIDIA 被黑客组织盗取了内部数据与信息，引发了安全行业广泛关注。而在 IT 基础设施和云计算领域，云原生因为对资源更加弹性与灵活地应用，激发了云底层资源的潜力，正在成为云计算最重要的趋势与方向，甚至被称为“云原生吞噬一切”。IDC 预测，到 2022 年，90% 的新企业应用程序将使用云原生应用程序开发流程、敏捷方法论和 API 驱动架构。

不过在 CSDN 近两年的《中国开发者调查报告》中，有 47%的受访者认为云原生缺乏熟练技术人才。在云原生技术栈快速发展，产生多个技术分支的同时，也将暴露更多新型安全风险和潜在的漏洞源。技术人才的缺乏，潜在风险的增加，使得云原生的安全，将成为安全与云计算两方都需重点研发与关注的领域。

在这样的背景下，CSDN 专访了云原生安全厂商探真科技研发副总裁李祥乾，从他与探真技术团队的实践中，窥得云原生安全的现状与趋势。

云原生安全：传统安全向云原生延伸 or 全栈内生安全？

探真科技技术团队由安全和云原生两部分技术背景的研发人员组成，在团队研发与实践的思考中，李祥乾认为，首先，传统架构下的安全威胁，如安全后门、逃逸漏洞，在云原生框架下依然存在。以容器镜像为例，Docker 在提供创建镜像快速搭建环境的同时，也产生了潜在的漏洞与风险，如镜像是否会被恶意植入后门，快速搭建的环境是否有完备的安全防御能力，不给攻击者留下可利用的漏洞等。再例如 k8s 对集群资源动态调度的运行态里，黑客利用漏洞或管理配置的疏漏，从容器环境中跳出，获得宿主机权限，即常见的逃逸漏洞。而且单个容器的逃逸漏洞，甚至会引发集群的被攻陷。

其次，传统安全方案已经不能解决云原生架构下的新问题。例如虚拟化、云原生下引入新的抽象和组件所产生的全新安全风险，微服务化后安全管理逻辑与以往对比的不同需求，即随时灵活生成的容器以及云原生架构下各层资源（服务、pod、容器等）的添加、删除、调度等动作，高度的灵活与及时性，使 IT 很难对资产实时盘点更新，这些被遗忘和弃用的容器更易被黑客利用与攻击。

不过，正如事物的正反两面一样，李祥乾同时也看到，云原生新架构的快速响应、灵活性，也正在为安全提供新可能性。比如在云原生架构中，蜜罐技术将变得更加灵活与隐蔽性。云原生蜜罐通过将包含漏洞和攻击可利用特征的容器隐藏在集群中，吸引攻击者的注意。

所以，在云原生安全技术研发和实践中，探真看到，云原生的安全，并不是传统安全策略向云原生领域的延伸发展，而是应在云原生各层架构中，形成灵活、系统、全栈内生的安全策略，即 DevSecOps，在整个云原生应用生命周期中，形成自动化高效率的安全内生机制。

AISecOps、零摩擦的云原生安全：安全与业务迭代平衡术

李祥乾进一步对 CSDN 分享了云原生安全与传统安全最大的差别，就是将 AISecOps 植根于云原生应用的整个生命周期之中，通过数据赋能，将安全能力自动嵌入 CI/CD 流程，帮助客户实现 DevSecOps。在云场景威胁日益复杂的环境下，帮助企业充分释放云原生优势，实现云上资产、应用、数据生命周期安全，护航企业数字化转型。更简单来说，就是智能化 DevSecOps，Sec 随着 DevOps 的迭代而不断迭代，最终实现 AISecOps。

而探真云原生解决方案，就是基于 Gartner 提出的自适应安全架构和信通院的 DevSecOps 成熟度通用模型，以 DevOps 流程为中心，覆盖云原生的整个开发、测试、运行过程，将安全防护能力嵌入到 DevOps 流程中的每个步骤中。探真产品设计核心与最小权限原则的零信任相同，将安全能力融入 DevOps 各关键阶段，在企业向 DevSecOps 转型，提供安全防护闭环。

探真科技云原生安全架构

李祥乾对 CSDN 强调了云原生安全的另一个准则是：安全在用户企业环境中的“零摩擦”。安全防护虽然长久以来一直存在，但绝不是不计成本地提高安全水准。在对抗的博弈中，探真的云原生安全希望做到安全与业务迭代的良好平衡，合理、持续地提升安全水位线，提升安全的同时，降低运营成本。

想要达到上面的目标并非易事，探真团队经历了很多技术挑战，李祥乾对 CSDN 分享了探真研发过程中的真实经历。在初期，探真的思路是在镜像构建时对其进行加固与学习，这是需要侵入客户的镜像构建流程中的，并不是零摩擦，同时也无法对存量的镜像进行学习与加固。探真在研发中，选择和争取到了到真实客户的研发场景中去，以驻场开发的模式，加速迭代开发速度，两周甚至一周就迭代一版，同时也提高了获取用户反馈的频率。在不停的验证技术思路后，现在的探真团队可以不再依赖镜像构建的侵入方式，而是透明化地对容器进行学习与加固，从而真正将产品打磨成为“零摩擦”的云原生安全方案。

现在，探真已经进入了互联网金融、电信、房地产、酒店、银行等行业头部客户云原生相关的安全防护领域中，并取得了良好的客户口碑。李祥乾看到，虽然不同行业云原生安全需求的重点与优先级各有侧重，但在底层架构层面，由于 Kubernetes、Docker 已经逐步成为事实标准，行业间的差异性趋同，云原生在架构层的安全防护技术与方案，可以相对更低的成本，复制到更多行业的用户中。他也表示，云原生安全与探真的产品路线图，都是从底层向应用层、自下而上逐步发展的过程，目前的重点是先做好云原生底层的安全防护。

在采访中，我们也能看到，云原生的安全是纵深、多层级的防护，现在仍处于初级阶段。也正因此，涌现出了探真科技这样的创新型云原生安全公司，而没有形成一两家厂商独大的局面。加入云原生的 CNCF 基金会后，探真在社区与其他厂商展开了更多的适配研发与合作，例如与 HARBOR 的认证与集成，与极狐 GitLab 的市场技术合作等等。

安全是技术界的一个永恒主题，在新的云原生架构下，选择“All in”专注投入云原生安全研发的探真科技，未来可期。

受访者简介：李祥乾，探真科技研发副总裁。毕业于南京大学，获计算机专业硕士学位。在探真科技领导整体产品研发，技术路线规划，完成技术突破。作为合伙人协助规划公司战略和中长期规划，参与公司运营决策。曾任字节跳动风控研发团队创始成员和API安全负责人，负责安全与风控体系的架构演进与落地，包括容灾体系与资源优化体系的建设。曾落地了端监控平台，全链路压测系统，反爬取产品和基于云原生的安全防火墙等产品。并在多次春节活动的反作弊对抗中发挥重要作用，止损业务活动累计经费高达8亿RMB。

探真科技公司简介：探真科技专注于提供全栈内生的云原生安全解决方案。探真方案植根于云原生应用的整个生命周期之中，通过人工智能赋能如：镜像安全，容器运行时异常检测，容器自动加固，智能微隔离，应用安全等安全能力，并将这些安全能力自动嵌入CI/CD流程，帮助客户实现DevSecOps。在云场景威胁日益复杂的环境下，帮助企业充分释放云原生优势，实现云上资产、应用、数据生命周期安全，护航企业数字化转型。