被平底鍋4.1億美元收購的Twistlock是一家什么公司?

近日Palo Alto(“平底鍋”)公告,計劃在其第四財季以4.1億美元收購Twistlock。Twistlock對于國內用戶而言,如果沒有特意關注過RSA大會,云安全,容器安全,云原生安全或云工作負載保護平臺等相關主題的話,可能不是很熟悉,筆者一直從事終端安全,數據安全方面的工作和研究,因此對Twistlock一直略有關注,在這里把以前收集的資料做一些整理,一起來看看Twistlock是一家什么公司。

Twistlock創立于2015年,那一年是以色列網安創業爆發的一年(雖然網安領域以色列一直是一個獨特的存在,但2015一年就有近百家網安公司創立)。此時Docker誕生于硅谷已經2年,隨著社區的壯大,即將在企業生產環境產生突破,可以想象的,安全問題也隨之而來。曾經在以色列著名的網安黃埔8200部隊服役,并在微軟企業安全部門工作的Ben Bernstein抓住了這個時機,以不到30W美元的種子輪開始起家,公司定位容器安全。也是在這一年,由Google與Linux基金會聯合創建了的云原生計算基金會CNCF,Google內部名為博格(Borg)的容器編排項目也正式更名為現在耳熟能詳的Kubernetes。現在Twistlock自己貼的標簽除了容器安全,就是云原生安全。Twistlock的融資節奏很好,2015年5月,天使輪280萬美元,2016年7月A輪1000萬美元,2017年4月B輪1700萬美元,2018年8月C輪3300萬美元。現在,Twistlock已經能為Amazon ECS,Azure,Docker,GCP SecurityKubernetes,Pivotal,OpenShift,Istio 等多個平臺提供安全方案。曾擔任Twistlock首席戰略官的王晨曦女士去年也參加了360的ISC安全大會,并擔任了創新沙盒的評委,現場也談過硅谷視角的容器安全云安全的一些觀點。

在Gartner的定義中,Twitstlock歸類是CWPP,終端安全或主機安全演變到今天(關于EDR/CWPP的介紹,青藤云的程度帥哥去年有篇文章寫的很清楚,有興趣可以去翻翻看),在終端側是EDR,在服務器和數據中心側是CWPP,Palo Alto已經有自己的EDR產品Traps?,通過收購,一方面完善了自己的泛主機安全的產品線,另一方面,更重要的是為新推出的云安全套件Prisma(棱鏡)提供支撐。而且Twistlock100多名有經驗的員工和300多個實際客戶也會給Palo Alto在這以領域的能力建設提供有效的助力。

Twistlock的自己一句話介紹是“領先的全棧,全生命周期容器安全解決方案,保護容器環境及其中運行的應用程序,具有輕量級,可擴展和自動化特性,自動化的策略構建和全開發生命周期內的無縫集成”。筆者認為這也是一個持續的迭代的目標,云端設施的變化也是很快的。

截至目前,Twistlock總結了6方面的核心能力,分別是漏洞管理,合規,運行時防御,持續集成和持續交付,云原生防火墻和訪問控制。

我們先看漏洞管理能力,它可以識別并預防整個應用程序生命周期中的漏洞,同時確定云原生環境風險的優先級,在開發過程可以集成到CI流程中,運營中可以持續監控識別容器,鏡像和主機的風險。可以對特定的應用進行風險評分。下圖就是在寵用的CI工具之一Jenkins中集成了漏洞管理的界面,漏洞通過內外的威脅情報等多種方式導入能力,也可以通過機器學習規則自建能力。

其次看合規。Twistlock的創始人作為主要作者參與了容器安全標準NIST?SP 800-190的編寫,內置了主要的一些部署模板,如下圖所示,包括GDPR,NIST SP 800-190,PCI,HIPPA等。在開發環境中設置安全性和合規性的閾值,包括HIPAA、PCI合規性、CIS基準測試等,這樣通過DevSecOps的落地將安全團隊的要求無縫的對接到研發團隊中,使得可以在整個開發過程中的保持合規性。這類功能的設計,符合筆者的邏輯,合規是需要培訓,但技術就是要讓即使沒有培訓的人也不會犯錯誤。

再看運行時防護。運行時防護包括網絡和應用程序防火墻,支持Docker和AWS?Fargate運行安全以及主機防護,可以通過機器學習為每個應用程序進行自動建模,保護網絡,文件系統,進程和系統調用。這類功能是筆者一直研究和關注的重點,以后有機會再深入展開來說。

接著看云原生防火墻,Twistlock的防火墻包括3層防火墻和7層防火墻,它可自動學習應用程序的網絡拓撲,并所有微服務提供應用程序的微分段,可以檢測和阻止XSS攻擊,SQL注入等威脅。在3層墻上,還可以自動模擬所有微服務之間的所有流量,并允許安全團隊集中查看和實施安全流量,同時自動阻止異常,無需手動創建和管理規則。

然后再看訪問控制。Twistlock提供了企業級的AD,LDAP等各種IAM的身份集成,并切支持細粒度的基于角色的RBAC訪問控制。內置的文件完整性監控,可通過查看特定文件和路徑的文件訪問來滿足合規性目標。也可以在收到有關配置文件更改,讀取客戶數據訪問權限或對組織重要的任何其他文件訪問時進行告警。在這一塊,其實Twistlock做了大量的工作,實現了大量系統在身份和安全上的集成。

最后看持續集成和持續CI/CD。其實在前面介紹其它功能的時候都與CI/CD發生過交接,Twistlock通過CI,讓開發人員在每次運行構建時都能看到漏洞狀態,而無需運行單獨的工具或使用不同的界面。安全團隊可以通過設置策略來預先防范風險,安全成為構建的一個部分。文章的結尾放一張最新的云原生全景圖中,大家在其中找找Twistlock的位置。安全永遠是為業務服務的,一切安全產品的設計和改進都是為了在最小化影響業務的情況下提供全周期的持續服務和保障,在產品概念類似的情況下,跑出來的是落地能力更強的產品和廠商。


發表評論