在部署云原生安全战略的旅程中，从最初的可视化、到预防和响应的自动化，都需要做出多个重要决策。本文将介绍这一过程中的部署决策，从最初的、平滑的基于API的可视性，到具有更深层可视性和保护的代理等等。每个团队的起点各异，但关键是要对风险承受能力做出理智的决策，才能有效把控整个用户旅程。

迈出第一步，又轻又快

对于一个刚接触云原生安全的团队来说，一个常见的问题是“你的解决方案是否需要终端代理？”大多数从业人员在开始的时候都会采用某种无代理部署，是因为这样部署起来即简单又快速。

举例来说，开启云原生安全之旅的典型场景，是IT人员会采用安全测试左移(shift-left)以及预防性控制，基础设施即代码扫描(Infrastructure as Code scanning)是此阶段常见的示例，可以通过安装简单的无终端代理Helm工具和二进制文件来完成。

下面列举的是一些其他简单、快速启动无终端代理部署方式的示例：

无代理方式	目的
Kubernetes准入控制器	原生系统使用并执行来自于远程策略决策点(Policy Decision Point)的策略
下载Kubernetes manifests (YAML文件)	用于在Kubernetes环境中扫描镜像仓库(Registry)或repo中的镜像
下载二进制文件或安装为Helm图表	IaC模板扫描
通过API连接到无服务器应用	通过云账户或CI/CD流水线完成功能扫描
云服务账户API	云服务账户中的错误配置扫描
通过云服务API扫描云工作负载	快速检查运行云工作负载风险

在安全性与轻松部署之间谋求平衡

但是在这一过程中，没有“一刀切”的方法。每个团队都有一系列不同的应用程序，对敏感度和安全性的要求都不尽相同。例如，处理受HIPAA、PCI-DSS等合规性法规管控下，敏感数据的关键业务应用程序对安全性的要求就更高。通常来说，随着安全管控强度增加，部署的复杂度也会增加。

图1. 优化所有的工作负载优的速度和保护能力

当然，可视性和快速响应的变化范围很广泛。例如，不同类型的可视性各有不同。更深层面的——比如说使用eBPF的内核级可视性则需要更高级别的部署去实现。有些控制方法侵入性比较小，例如Kubernetes准入控制器，它在工作负载运行前就已经开始运行。

若安全能力与轻松部署二者失衡将造成不良后果

对于运维人员来说，部署难点在于去决定他们的安全控制是更偏重部署方法、还是更偏重安全要求。他们所犯的一个常见错误是认为处理敏感数据的应用就只要有轻简的无代理可视性就足够了，因为这样可以快速启动和运行。不太常见但也类似的情况是，部署人员采用的部署方式并不适配该应用程序的安全风险，有些应用程序就是并不运行关键业务，因此团队没有必要在部署方面投入过多的时间和精力，没必要浪费宝贵资源。关键业务的应用程序则可以同时具有深度、主动的控制以及被动、无代理的可视性的保护方案。

在任何情况下，从同一平台同时兼顾一致性和减少干扰都是有帮助的。

云原生的代理和无代理对比

在云原生环境中，基于终端代理的保护可以为关键业务应用程序提供主动的保护，但是一定要考虑到：因为是在云原生的环境中，“终端代理”这个描述感觉并不完全准确。

从历史上看，“终端代理”主要是由主机入侵保护系统（Host Intrusion Protection Systems，缩写HIPS)、端点保护平台（Endpoint Protection Platforms，缩写EPP)和端点探查及响应（Endpoint Detection and Response，缩写EDR)等解决方案在使用。

云原生环境中的检测方法	目的
Sidecar容器	用于保障Fargate等环境的安全, 限制主机访问
部署为Lambda层代码片段	保障正在运行的功能安全
容器	用于容器化环境的深度运行时功能 (例如拦截可执行文件)
eBPF程序	对Linux运行时事件的深入内核级可视性
内核模块	在运行时扩展内核功能

代理与无代理保护之间的权衡

理想状况是，团队可以根据风险承受和权衡的全面了解做出一个周全的决策，决定采用哪种部署方法。以下表格列举的是云原生基于代理和无代理的部署，帮助您在任何应用程序中确定最符合您风险承受水平的部署方式：

基于代理的CWPP部署	无代理的CWPP部署
在运行时实时执行。包括基于上下文环境自动执行预防和纠正控制。	没有响应功能的可视性。例如，可以检测超出极限的CPU的情况，但无法根据此信息阻止工作负载运行，或防止恶意有效负载在生产中执行。
内核级(采用eBPF) 或计算节点端的深入、实时的可视性。	可视性有限，数据分辨率较低。无法查看计算端(如内存和CPU使用情况), 无法查看Kubernetes中的应用程序环境, 容器即服务 (CaaS)部署也不具备可视性。
在整个混合环境的部署灵活性。可以在公有云或私有云环境中部署代理，也可以为本地工作负载部署。	依赖公有云环境。本地工作负载不具备可视性,因此整个混合环境无法具有可视性。

Aqua能帮助您

Aqua最近发布了全新平滑的云工作负载扫描（Cloud Workload Scanning）和云安全洞见（Cloud Security Insights）两项能力，去帮助企业快速查看他们的主要云安全风险。Aqua安全平台集成的这些功能意味着安全团队可以在几分钟之内可以就快速查看工作负载风险，并着手解决。对于任何包括一个关键业务应用程序的技术堆栈， Aqua平台可以帮助团队优化他们在无摩擦可视性、左移主动预防和运行时响应等方面的工作。这个平台就是Aqua Security推出的CNAPP，该术语由知名第三方公司Gartner认证，为时间紧迫的安全团队、IT团队和DevOps团队减少由于多个供应商所造成的复杂局面提供一站式的解决方案，在整个应用程序的生命周期中实现深度防御。

总结

无代理解决方案能够提供快速的可视性和Shift-left功能，某些云工作负载也因此具备了可视性。它可以满足非关键业务应用的需求，毕竟，您并不希望花费过多的精力和资源为这些应用部署代理。而基于代理的云原生安全解决方案能够提供更深入的实时可视性，以及快速的运行时响应，这正是关键业务应用所需要的，它们需要深层的可视性以及强大的预防和响应能力。

在最近一次的业内采访中，一家财富五百强风险评估公司的云架构、网络安全和风险管理副总裁简洁地说道：

“您会一直需要代理和无代理，它各有自己的用武之地，而且作用都非常重要。”

关于并擎科技（Binqsoft）

上海并擎软件科技有限公司（简称“并擎科技”, www.binqsoft.com）成立于2009年，是一家深耕于网络安全领域，提供相关解决方案与技术服务的高新技术企业。并擎科技总部位于上海，在北京、广州和深圳设有分支机构，公司核心人员来自Microsoft、HP、Morgan Stanley等知名IT和金融企业，具有丰富的技术积淀和管理经验。

 

并擎科技基于业内领先的解决方案、雄厚的技术实力以及丰富的服务经验，为互联网、金融、能源、制造、交通、医疗、零售等行业的广大用户，提供优质多元的解决方案和专业高效的技术服务。

 

并擎科技践行“用心服务、共铸安全”的服务理念，凭借丰富的解决方案、专业的服务团队、众多的行业案例、深入的厂商合作以及全国范围内的支持服务能力等优势，携手多家知名安全厂商，向众多用户提供优质的解决方案和专业的技术服务。