什么是原生安全

三年前，原生安全（Intrinsic Security）还是一个新名词。现如今，这个理念已经被业界广泛接受。什么是原生安全呢？作为一种新的安全建设理念，原生安全主要探讨信息安全建设与管理的转型，很难给它下一个明确的定义，我将通过描述他的特征来简要阐述原生安全理念。

 

 

原生安全特征一：内建而非外挂

 

相对于外挂式的安全解决方案，原生安全倡导安全内建。内建安全的好处有很多：第一是即时就绪，无需安装，简单配置一下就可以发挥作用；第二是安全性好，外挂式安全产品通常需要部署代理以实现信息收集和管理控制，而这些代理通常也是攻击目标，代理一旦被破坏，安全防护能力也会受损；第三是易用性强，内建式安全防护的管理功能可以很好地与平台相集成，简单易用；第四是资源占用少且性能高，内建安全可以充分利用平台的功能来实现服务，可以采用更精简的设计并针对平台进行深度优化。

 

原生安全特征二：主动而非被动

 

原生安全方案的主要目的是平台的安全防护，会基于平台自身的脆弱性来提供更有针对性的服务。例如，容器、虚拟化和云平台都是为了实现资源共享，共享的模式可以非常明显地提升资源利用率，但同时也增加了安全风险。安全防护方案应该着力于提升负载和租户之间的隔离性，这种防御性手段是基本的、必需的，通过强化系统自身实现威胁免疫，有效抵抗已知和未知的安全风险。

 

原生安全特性三：整合而非孤立

 

相对于其他IT服务，安全的独立性更强，往往自成体系。这在IT系统相对固化的时代并不是什么大问题，但是随着应用与基础架构的转型，安全服务的低效越来越成为一个拖累。原生安全通过与平台整合，实现了更好的洞察力和控制力。可以针对负载的需求来提供服务，能够根据负载的变化动态调整，而不是通过限制负载的灵活性来保障安全。

 

 

下面以虚拟化平台原生安全为例，来看看这种理念的先进性。

 

首先，原生安全对负载有更好的理解，可以基于负载的逻辑标识和虚拟化平台的逻辑分组来制定安全策略，实现基于意图的安全隔离与防护，安全规则更容易理解且不易出错。假设业务需求是只有财务部门的应用（逻辑组）才可以访问财务数据库（逻辑标识），在原生安全的世界里，安全管理员不需要清楚财务逻辑组中有哪些虚拟机，这由应用部门来负责。安全管理员也不需要知道财务数据库节点的IP地点是多少，这由网络部门来决定。安全管理员在防火墙中添加一条基于意图的访问规则就可以了。源是财务应用组，目的是财务数据库，协议和端口根据数据库来指定。逻辑组中的成员可能会经常调整，数据库的IP地址也可能会变更，防火墙规则能够自动适配这些变化，安全管理员无需修改安全规则以应对此类变化。

 

其次，原生安全无需部署额外的程序，且独立于负载而存在。传统的安全解决方案使用与物理机相似的方法来保护虚拟机，通过安装在虚拟机内部部署代理来保护系统、应用和数据。除了占用资源增加管理负担，还有一定的安全风险，如果代理的完整性被破坏（还可能是没有部署或更新），安全防护能力将部分或全部丧失。虚拟化平台的原生安全内建于虚拟化层，不需要在虚拟机内部安装代理，利用虚拟化平台来监控虚拟机中系统及应用的活动，更安全更易管理。

 

再次，原生安全通过与平台集成获得了更好的控制力，发现安全威胁之后能够更加积极主动地应对，而不是简单地发送告警消息给管理员。针对病毒威胁，可以终止可疑进程，隔离受感染文件或隔离受感染虚拟机。针对网络攻击，可以阻断网络通讯，挂起虚拟机，留存虚拟机快照以待事后分析。这些敏捷多样的响应手段能够更及时更有效地保护负载，将安全威胁所造成的影响降到最低。

 

 

作为最早倡导原生安全的厂商，VMware的原生安全解决方案经过多年的发展已经相当完整。目前主要涵盖工作负载（应用）安全，云平台（基础架构）安全，网络安全、云终端安全和身份安全等方向。

 

信息安全是一个非常大的领域，没有哪个厂商能够靠一己之力为用户提供所有的解决方案，VMware原生安全所能提供的始终是基本的、必需的部分。因此VMware为合作伙伴提供了集成接口，携手第三方安全厂商一起服务客户，共同打造安全生态系统。

 

今天是原生安全话题的第一篇，后续我会把一些关键技术点拿出来详细说明，也欢迎大家与我联系，提出你所关心的内容，谢谢。