1.4.2　如何降低安全運營成本

在前面的小節中，我們提到在應對短生命周期的容器環境時，防守者會調整異常檢測、行為分析的機制。但這種技術路線有兩個問題：第一是成本較高，對大量容器中的進程行為進行檢測、分析、規則匹配會消耗宿主機大量的處理器和內存資源，日志傳輸會占用較多網絡帶寬，行為檢測則會消耗平臺側很多計算資源；第二是存在誤報，雖然微服務場景下容器運行的進程行為模式可預測度較高，但比如從CPU占用率的特征來判斷是否運行了挖礦軟件，顯然會造成很多誤報，而當環境中容器數量巨大時，對應的安全運營成本就會急劇增加。

安全的本質在于對抗以及攻防投入產出比的平衡。從攻擊方的視角看，由于容器的短生命周期，攻擊容器的代價較高，而收益較小；但對第三方軟件庫、項目依賴的鏡像“投毒”的持久化代價較小，而其收益遠高于攻擊容器。

那么從防守者的視角看，如何在降低安全運營成本的同時，提升安全防護效果呢？這兩年，業界有一個詞比較流行：Shift Left（安全左移）[1]。將軟件的生命周期從左到右展開，即開發、測試、集成、部署、運行階段，安全左移的含義就是將安全防護從傳統運行時運營（Ops）轉向開發側（Devs）。

早期防微杜漸的成本永遠小于一潰千里后再修復的代價，而且往往發現問題越早，修復效果越好，這種經驗在很多場合下都是適用的。以云原生的場景為例，白盒代碼的審計難度遠遠小于對黑盒服務的滲透測試和安全評估，而且由于能掌握代碼的跳轉邏輯、參數信息，其準確率也相當高；檢查鏡像的文件系統脆弱性的難度遠遠小于運行時的惡意攻擊檢測，而且由于掌握精確的版本和漏洞信息，能夠準確知道攻擊者的嘗試是否成功，效果遠好于網絡側的入侵檢測。

因此，安全團隊要想降低云原生場景下的安全運營成本，提升運營效率，那么首先就應考慮防護思路的轉換，貫徹“安全左移”的策略，從重視運行時安全轉向先從開發側解決最基本和最容易的問題。

[1] 有一家做容器安全的公司就叫ShiftLeft，這家公司進入了RSA 2019年大會的創新沙盒決賽。