人類對于安全的追求與生俱來，長期以來，我們習(xí)慣于借助外力來保護脆弱系統(tǒng)，把易被侵害的部分包裹在一層層的防護堡壘里，比如古時候的戰(zhàn)士會穿上盔甲、舉起盾牌。當(dāng)然，當(dāng)代生活中這樣的例子也比比皆是，就像我們經(jīng)常要給貴重的手機加個"殼"。

網(wǎng)絡(luò)世界的情況是怎樣的？其實跟手機加個殼是相通的，由于網(wǎng)絡(luò)在設(shè)計之初是缺乏安全能力的，所以常常在網(wǎng)絡(luò)中額外部署防火墻、入侵防御來作為盔甲和盾牌。長期以來，這種"外掛"式安全似乎已經(jīng)成為安全的定式。

老技術(shù)是這樣，新技術(shù)亦是如此，拿最近幾年炙手可熱的"微隔離"來說，只需在工作負(fù)載上安裝一個Agent就能包打天下，而這又何嘗不是一種"穿衣戴帽"般的外掛式安全呢？

"穿衣戴帽"是否還能又靚又香？

事實上，對于給手機加個殼這件事，一直都存在著互相"看不上"的兩類人。

一類人認(rèn)為，動輒上萬元的手機，一定要保護好，于是在各種防摔防碎防劃痕的手機殼加持下，變得或五彩斑斕、或特立獨行，但都難免顯得肥碩臃腫。當(dāng)然也有一些主打輕薄、透明的產(chǎn)品，但久而久之還是會變得油膩泛黃。

還有一類人，可謂"想得更開"，他們往往深切認(rèn)同設(shè)計師的靈感，認(rèn)為昂貴的背后實則是為靈秀的外觀和絲滑的手感在買單，本著"漂亮一秒算一秒"的心態(tài)，堅決選擇讓手機"裸奔"?；氖?，"素顏"手機往往會顯得更加與眾不同。當(dāng)然，要付出的代價也不言而喻。

像手機一樣，歷經(jīng)前仆后繼的創(chuàng)新，云計算終于來到了云原生的時代。相比過往，微服務(wù)、DevOps、持續(xù)交付、容器化讓云上新世界從未比今天更加接近敏捷、彈性的初心。

不得不說，云原生的靈敏，使容器網(wǎng)絡(luò)瀕臨失控，微隔離的需求已迫在眉睫。云原生環(huán)境的微隔離到底要如何實現(xiàn)？

有一點是確定的，安全不應(yīng)制約云原生本身的優(yōu)越特性。拒絕臃腫，保持靈敏，才能充分釋放云原生的技術(shù)紅利。

在過往，通過在容器節(jié)點上安裝Agent，當(dāng)然是可以提供容器微隔離能力的，但這種方式卻與云原生既有的編排特性產(chǎn)生了天然割裂，每當(dāng)容器集群需要擴容新的節(jié)點，都必須首先為其安裝一個Agent，而安裝Agent這件事與容器本身的敏捷形成了鮮明的反差。

這樣的方式，就像給華麗的手機貼膜加殼，得到了安全，卻損失與生俱來的靈秀和絲滑。這種"穿衣戴帽"換來的保護，讓手機不那么"靚"了，也讓云原生不那么"香"了。

"穿衣戴帽"也并非無懈可擊

當(dāng)然，我們中的多數(shù)人還是會選擇給手機加個殼的，既然難以接受墜地碎屏帶來的的毀滅性損傷，那還是犧牲一些原生的美感吧，畢竟兜里的銀子不是大風(fēng)刮來的，況且手機殼還是可以做到五彩斑斕、賞心悅目的。然而，當(dāng)很多人發(fā)現(xiàn)，手機是抗摔了，但信號卻變差了，用久了還燙手時，就對手機殼再也愛不起來了。

微隔離也是如此，盡管Agent可以包打天下，適應(yīng)各種環(huán)境，但很多用戶還是談Agent色變。

還記得坊間曾經(jīng)流傳著一句"高級黑"，說"用了安全產(chǎn)品才知道，原來自己這么不安全"，遺憾的是這句話并非是在歌頌安全產(chǎn)品的有效性，反倒是在詬病安全產(chǎn)品也有可能引發(fā)新的安全風(fēng)險。

講到這里，您應(yīng)該大概明白，為什么用戶對于Agent存在著天然的抗拒。

首先，Agent要運行，就一定會對容器節(jié)點造成資源占用和性能損耗，用戶難免會為業(yè)務(wù)容器乃至整個平臺的穩(wěn)定可靠而擔(dān)心。另外，Agent自身在理論上也可能存在安全漏洞，更何況它往往具備深入操作系統(tǒng)內(nèi)核的權(quán)限，一旦發(fā)作可就不僅僅是"發(fā)熱燙手"層面的問題了。而且，從運維場景的實際出發(fā)，比安裝Agent更加困難的是，萬一出現(xiàn)問題時如何通過快速排查、批量回退來保障業(yè)務(wù)。

因此，即便Agent被設(shè)計的多么精妙，用戶在選擇時依然會慎之又慎，不得不投入更大的精力來逐個驗證那些想得到或想不到、有答案或沒答案的"副作用"可能，并等待廠商做出澄清和整改。

從用戶的核心關(guān)切來看，即便暫且不論"穿衣戴帽"是否還能保住云原生的美感，但至少要求不能再引入新的風(fēng)險。

"穿衣戴帽"不是一個人的戰(zhàn)斗

如果說要不要給手機加個殼，可以由個人的喜好來選擇，那么能不能在工作負(fù)載上裝個Agent，還真不是一個人的戰(zhàn)斗。

在DevSecOps的大旗下，開發(fā)、安全和運維三大團隊，就像三組精密齒輪一樣緊緊的咬合在一起，相互牽引、持續(xù)運轉(zhuǎn)。盡管如此，現(xiàn)實環(huán)境中三個團隊依然有著各自的業(yè)務(wù)目標(biāo)和職責(zé)分配。

于是，為了能在容器各個節(jié)點上都安裝一個Agent，就必須進行跨團隊協(xié)同和集體決策了。

安全團隊的主責(zé)當(dāng)然是確保整個系統(tǒng)的安全，所以他們通常是微隔離需求的提出者和項目的發(fā)起者，未來也大概率是使用者，他們最關(guān)注方案的效果和實際落地的可行性。

開發(fā)團隊是直接服務(wù)于業(yè)務(wù)部門的，他們基于業(yè)務(wù)需求開發(fā)出支撐業(yè)務(wù)開展的應(yīng)用系統(tǒng)，關(guān)注點都聚焦在業(yè)務(wù)應(yīng)用本身的實現(xiàn)上。因此，任何外掛式的安全和管控，可能對他們來說都是影響業(yè)務(wù)應(yīng)用的風(fēng)險和負(fù)擔(dān)。

運維團隊的主責(zé)是為業(yè)務(wù)開展提供并持續(xù)維護一個穩(wěn)定、可靠、高效的運行環(huán)境，要說關(guān)注點，當(dāng)然是系統(tǒng)穩(wěn)定、不背鍋了，為了達成這個目標(biāo)，他們會制定一系列的運行和管理規(guī)范，按照SOP標(biāo)準(zhǔn)化作業(yè)。當(dāng)然，運維團隊往往掌握著工作負(fù)載的root權(quán)限，也就是說，要想安裝一個Agent下去，還必須要經(jīng)過人家的同意、獲得他們的支持。

由此看來，想要在容器節(jié)點上裝一個Agent，好像還真的不像把大象裝冰箱那么簡單。項目的發(fā)起方必須打消相關(guān)團隊的顧慮、適應(yīng)他們的要求、還得獲得他們的資源和支撐，才有可能把項目推進落地。

以上都在表明，技術(shù)上可實現(xiàn)與工程上可落地完全是兩回事，"穿衣戴帽"的Agent方式是不太適用于在云原生環(huán)境實施微隔離的。

近年來，安全能力內(nèi)生、內(nèi)嵌于系統(tǒng)之中的呼聲愈發(fā)強烈，在這一點上，手機界一直在努力，高強度且輕盈的材料被不斷用于一代代的手機新品，相信手機迎來"脫殼"之日已不會太久。

相比而言，微隔離界的進展還要更快一些。近日，長期專注微隔離領(lǐng)域的薔薇靈動，基于其在大規(guī)模云原生環(huán)境實施微隔離的經(jīng)實操驗，適時發(fā)布了面向云原生環(huán)境的微隔離新品，創(chuàng)新性的通過守護容器方式實現(xiàn)了"無代理"的微隔離能力落地，做到了專業(yè)微隔離能力向云原生環(huán)境的內(nèi)嵌融合。目前，新品已在多個數(shù)萬點級規(guī)模的云原生環(huán)境投產(chǎn)運行，從今天開始，薔薇靈動微隔離可以讓您少裝一個Agent……