黑客往往十分狡猾，他们在零日攻击和应对措施之间有一个滞后期，因而生产工作负载非常关键。那么对同样的云原生应用来说，为什么“运行时安全”的采用率要低于“安全左移实践”呢？

本文将探讨这一问题，并提供相应的解决方案。最近，我们介绍了我们研发的新一代运行时安全解决方案，它不仅能有效阻止攻击，而且易于部署和管理，这对安全态势管理来说无异于一场新变革。

运行时安全至关重要

毋庸置疑，您的生产工作负载既是软件开发生命周期中最敏感和最关键的部分，同时又被黑客所觊觎。然而，在云原生应用程序领域，安全左移和漏洞扫描这两个安全功能在应用和在基础设施层的采用程度比较高，而在应用层，运行时安全控制的采用则相对滞后。（值得注意的是，基础设施层面的运行时安全能力以云安全态势管理（CSPM）的形式为人所熟知，而且相当成熟。真正落后的是应用层的运行时保护。）

为什么会这样呢？对于有些团队来说，采用运行时安全功能可能看上去过于复杂，而且充满了风险。

► 首先，团队，尤其是追求速度的DevOps团队，衡量安全的方式就是看运行中的生产工作负载是否风险较高。目前，很多公司基于这一观念，在运行时推广无代理安全理念，以后我们将深入讨论这一概念。

► 其次，对于很多团队来说，运行时保护需要了解有关应用的知识，要知道需要制定哪些策略。安全团队需要与工程师团队合作，了解应用的一些特点，而有些企业却不允许这样的合作。虽然很多团队已经成功实践了这种方式，但有些团队却因为内部阻碍无法实行。

我们要着手解决这些挑战，但是现在我们要告诉您的是，所有的团队都可以利用运行时保护。对于一个有效的安全态势来说，运行时保护绝不是可有可无的，我们也正在致力于让它变得更加可用。

正确的可见性

让我们从FUD开始谈起吧。如上所述，有的厂商刻意宣称运行时安全功能的复杂性（虽然这一说法已经过时），以借此推广快照扫描技术，人为制造出“代理和无代理”保护之间的虚假对立关系。但在运行时，无代理技术只能提供针对运行时环境的可见性，当然这也很不错；但Aqua所提供的快照扫描技术是我们云原生应用保护平台(CNAPP)的一个关键组成部分，我们认为，这是一个实现风险即时可见的绝佳办法。

通过将基础设施层面的云账户配置错误与应用层面的敏感信息暴露，也就是漏洞和恶意软件结合在一起，快照扫描能够找出云运行时环境中的最大风险。

但是快照扫描并不能解决运行时保护的复杂性问题，它也不能提供同样的可见性。快照扫描是以时间间隔为基础的，所提供的数据是基于云端API的最后一次扫描时间，各个厂商之间的时间间隔都不一样，扫描之间可能会有长达15分钟的间隔。

了解平均检测时间（MTTD）和平均响应时间（MTTR）对充分响应事件会造成什么影响，对于安全运营团队来说最为重要。平均检测时间（MTDD），指的是团队发现一个潜在安全问题所需的时间。平均响应时间（MTTR），指的是在发现问题之后控制、修复或消除威胁所需的时间。

停顿时间指的是安全事件存在的总时长，也就是从您的网络受到攻击开始，直到攻击被消除，以及堆栈恢复平衡、健康状态的时间。

无文件恶意软件攻击和技术，比如从/tmp执行的命令，将有特别大发挥的余地去和快照扫描较劲。如果黑客向/tmp注入了恶意软件，然后运行，并在下一次快照之前删除了这个命令，那他们就可以完美地消除所有痕迹，让你无法察觉他们曾经来过。

低层级及内核级的可见性很重要

最后，快照扫描无法让您看到内核级的情况，也无法捕获系统调用和从内存执行的尝试。

这会降低数据细粒度。如果您没有意识到这一点，隐藏在内核中的rootkits等恶意软件可能会进一步发酵。

如果您既没有容器的系统调用，也没有什么相关线索，那在事件发生之后就无法再对瞬息万变的工作负载进行调查。如果曾经从某个IP或者存储服务中下载过一些内容，那您至少还有一些数据点可以入手调查。但是，如果连这些信息都没有，即使您发现了恶意活动，也没办法知道它是从哪里来的，做过什么。您可能只能将一些新写的文件存入磁盘，这些文件中含有一些恶意软件，可供调查之用。但您需要花费大量的时间和精力才能得出一个可靠的结论并找出应对方法。

细粒度可见性及保护；为什么对所有团队来说访问运行时都很重要？

进入现实环境和运行时保护的好处、log4j 或Spring4Shell等攻击的MTDD和MTTR，都说明了为什么实时运行时保护和运行时保护的响应能力非常重要。当全世界都开始警觉这两种漏洞，并且找到了修复的方法，那应对威胁和公布事件二者之间一定会存在一个时间差。也就是说，黑客只能在这个时间差之内发起对攻击，而您此时需要找到并且修复这个漏洞。

利用运行时保护，这些一定会存在的时间差就不会演变为安全事件。在您给这些问题打包以及设法预防的时候，运行时保护可以使已经暴露的工作负载免受攻击。不仅如此，正确的运行时保护还能阻止未知攻击，手段高明的黑客也不敢轻举妄动。

新一代的运行时保护

我们明白了，不再会出现实施运行时的政治斗争。您的生产工作负载也不会再存在盲点。您需要立即实施保护，并获得深入、实时的可见性。

最近，我们推出了Aqua先进的、开箱即用的运行时解决方案，以发现和抵御零日攻击。该保护功能由一系列新型、经过优化的默认安全控制功能组成，有专业人士管理，蕴含着我们多年来在部署行业领先的细粒度运行时安全过程中所积累的经验结晶。网络研究团队Aqua Nautilus所提供的eBPF技术和威胁智能技术可以发现复杂的威胁，由此让很多关键问题实时浮出水面，与此同时，还能立即实施一系列的控制功能来保护正在运行的工作负载，而且不会打断业务运行。

之后，只需几分钟，您就可以获得保护，而且不需要对应用有深入的了解，也不会给生产工作负载带来不必要的风险。

策略可适用于容器、虚拟机和Kubernetes工作负载。例如，以下就是由专业人士管理的容器策略。

容器策略

eBPF技术能够保证部署的安全，并提供内核级的可见性。Aqua Nautilus提供的告警信号能够基于对真实云原生攻击的内核观察，找出复杂的攻击。这样您就有了必要的信息，可以包容及实时响应攻击，并找出无文件恶意软件和rootkits等复杂的攻击。

保护您的工作负载

以下问题可以帮助您评估运行时解决方案：

一个产品能否发现无文件恶意软件攻击，或者内存正在执行的进程？

一个产品能否阻止生产环境中的攻击，但同时不会阻止工作负载运行？

有什么样的机制来阻止攻击升级或者横向移动？

MTTD和MTTR预计是多长时间？

在停顿时间或者之前，你有哪种类型的覆盖？

您是否拥有开箱即用的运行时能力，能否阻止复杂的攻击？

观看运行时安全演示，了解Aqua的运行时保护解决方案如何能实时保护您免受零日攻击，而且可以快速完成部署。参加这个网络研讨会，了解运行时安全的重要性以及如何制定有效的运行时战略。现在就与我们的销售团队接洽，在真实环境中亲身感受新一代的运行时策略。