容器云安全的現(xiàn)狀評估和未來發(fā)展趨勢研判

隨著行業(yè)數(shù)字化轉(zhuǎn)型和應(yīng)用下移的戰(zhàn)略開展,業(yè)務(wù)上容器云正在成為普遍的選擇,容器云作為軟件基礎(chǔ)設(shè)施的引入和應(yīng)用微服務(wù)容器化的改造,由于技術(shù)架構(gòu)的改變勢必伴生出了新的安全問題,廣義上可分為應(yīng)用安全和業(yè)務(wù)安全。

本文來自微信公眾號“twt企業(yè)IT社區(qū)”,執(zhí)筆專家:許小平,顧問專家:羅文江。

云原生應(yīng)用創(chuàng)新實踐聯(lián)盟容器云安全課題組的目標(biāo)是幫助企業(yè)健全容器安全防護(hù)工作體系,提供鏡像安全、基礎(chǔ)設(shè)施安全、運行時安全等能力建設(shè)參考,減少摸索時間,讓更多重要生產(chǎn)應(yīng)用運行在安全的容器環(huán)境中。本期介紹該課題組階段性研究成果之一。

容器云安全的現(xiàn)狀評估和未來發(fā)展趨勢研判

隨著行業(yè)數(shù)字化轉(zhuǎn)型和應(yīng)用下移的戰(zhàn)略開展,業(yè)務(wù)上容器云正在成為普遍的選擇,容器云作為軟件基礎(chǔ)設(shè)施的引入和應(yīng)用微服務(wù)容器化的改造,由于技術(shù)架構(gòu)的改變勢必伴生出了新的安全問題,廣義上可分為應(yīng)用安全和業(yè)務(wù)安全(可靠性、性能、連續(xù)性),本文重點關(guān)注前者(容器云平臺自身也屬于容器應(yīng)用),主要圍繞三個方面介紹:容器云當(dāng)前面臨哪些安全威脅、容器云安全體系的建設(shè)思路、以及容器云安全的發(fā)展趨勢。

一.容器云安全現(xiàn)狀

1.容器云安全威脅日益凸顯

一是利用容器云新技術(shù)的漏洞發(fā)起攻擊,容器、微服務(wù)等技術(shù)的應(yīng)用導(dǎo)致企業(yè)資源暴露面增加,成為攻擊主要目標(biāo),如2020年Azure用戶因Kubeflow(基于Kubernetes的組件)未授權(quán)訪問漏洞被部署惡意容器。同時鏡像可能存有漏洞,配置不當(dāng),來源不可信,通道安全等等風(fēng)險;部署方面,容器編排組件應(yīng)用更多是K8S,同樣存在自身漏洞或配置問題,并存在管理缺陷,同樣增加了容器的安全風(fēng)險;運行層面,為追求輕量化,容器多采用共享宿主操作系統(tǒng)內(nèi)核,提升了逃逸風(fēng)險的同時,還增大了攻擊面和影響范圍。

二是通過私有云的軟件供應(yīng)鏈進(jìn)行攻擊,2021年Docker Hub上的部分容器鏡像被內(nèi)置挖礦程序,下載總數(shù)超2000萬次;軟件供應(yīng)鏈安全威脅主要表現(xiàn)為:一是開源風(fēng)險突出。無論是云服務(wù)商還是上云企業(yè),開源都已成為行業(yè)的主流開發(fā)模式,在加快研發(fā)效率的同時也將安全問題引入到軟件供應(yīng)鏈當(dāng)中。二是云服務(wù)商成攻擊突破口,木桶效應(yīng)明顯。相較于傳統(tǒng)針對軟件自身漏洞的攻擊,云服務(wù)商(私有云)作為軟件供應(yīng)鏈上游,其編碼過程、開發(fā)工具、設(shè)備等均是供應(yīng)鏈?zhǔn)芄裘妫粽咧恍柰黄埔粋€點,即可撕開上云企業(yè)的整套防御體系。三是不安全的分發(fā)渠道影響大。通過網(wǎng)絡(luò)進(jìn)行私有云軟件交付、開源軟件分發(fā)以及補丁下發(fā)已成為常態(tài),分發(fā)渠道作為軟件供應(yīng)鏈中較為脆弱的一環(huán),其安全影響重大。

2.微服務(wù)細(xì)粒度切分增加云原生規(guī)?;瘧?yīng)用風(fēng)險

“微服務(wù)對應(yīng)用做了細(xì)粒度切分,增加了規(guī)?;瘧?yīng)用風(fēng)險。”微服務(wù)場景下,業(yè)務(wù)邏輯分散在多進(jìn)程中,每一個進(jìn)程都有自己的入口點,暴露的端口數(shù)量大幅增加,將導(dǎo)致防范攻擊面比原來單體應(yīng)用大得多。而且暴露的都是業(yè)務(wù)內(nèi)部的接口,攻擊風(fēng)險和影響都會將更大。同樣,微服務(wù)之間調(diào)度邏輯復(fù)雜,性能要求更高,對訪問控制策略要求也越高,容易帶來越權(quán)風(fēng)險。同時,基于社區(qū)化的開源組件,也為讓微服務(wù)治理框架本身引入新的漏洞。

3.DevOps提升研發(fā)流程和安全管理的防范難度

容器云往往和DevOps等理念組成云原生架構(gòu)體系,在研發(fā)運維方面的安全問題上,即DevOps包括代碼前期設(shè)計層面,流程、管理層面,以及工具層面。但DevOps在顯著提升云上效能的同時,也帶來了一些復(fù)雜的安全問題,傳統(tǒng)的安全防護(hù)理念(指的是非容器化的安全產(chǎn)品和服務(wù)),很難覆蓋DevOps下容器云的安全需求,為了保障容器云安全需要更深刻理解云原生架構(gòu),以提供更具針對性的安全解決方案,去構(gòu)建更完整的防護(hù)體系。

二.建設(shè)思路

目前業(yè)內(nèi)尚未出現(xiàn)可以遵循的安全合規(guī)標(biāo)準(zhǔn),在新的面向云原生(容器)的合規(guī)性要求出臺前,可考慮在當(dāng)前安全合規(guī)性底線的基礎(chǔ)上,有針對性的落實緩解措施,可以遵循“從無到有”向“從有到優(yōu)”演進(jìn)的建設(shè)思路。

1.復(fù)用現(xiàn)有安全管控措施

容器應(yīng)用的整個生命周期主要由四個階段組成:開發(fā)、分發(fā)、部署、和運行,當(dāng)前企業(yè)內(nèi)已實施建設(shè)的安全措施,基本屬于“運行”階段,可考慮從復(fù)用現(xiàn)有安全建設(shè)成果開始,主要從以下維度開展:

●容器應(yīng)用的網(wǎng)絡(luò)邊界管控、容器資源配額

●容器云平臺審計日志分析、控制平面的身份認(rèn)證和權(quán)限

●主機操作系統(tǒng)漏洞掃描和安全界限管理

●應(yīng)用數(shù)據(jù)的存儲安全

●完善安全事件持續(xù)響應(yīng)機制等

●后續(xù)可基于此繼續(xù)完善容器緊相關(guān)的安全措施:

●CVE漏洞版本管理(平臺組件、開源組件)

●CIS Benchmark基線合規(guī)檢測(運行時容器、k8s、主機)

2.建設(shè)預(yù)防性的安全左移

容器應(yīng)用的生命周期的四階段中,每個階段都會放大了前一個階段的安全威脅,體現(xiàn)了安全左移的必要性,做到上線即安全。

主要包含以下階段:

●開發(fā)編譯中的安全檢查:靜態(tài)代碼掃描、動態(tài)威脅分析、依賴安全分析、功能單元測試、秘鑰管理;

●分發(fā)階段的鏡像制品的掃描:鏡像漏洞掃描、可信基礎(chǔ)鏡像等;

●部署物料(yaml)的安全基線檢查:禁止特權(quán)用戶、秘鑰憑證管理等。

安全本身不是臨時抱佛腳,就能求得安全的,需要在日常運營操作中,建立全流程信息化的臺賬,從而系統(tǒng)化的梳理、規(guī)范、加固業(yè)務(wù)路徑上的關(guān)鍵點。容器云安全更是跨多專業(yè)的實踐領(lǐng)域,幾乎所有的Day1和Day2操作都會與安全域重提,涉及到從身份認(rèn)證到數(shù)據(jù)存儲方面。常見的安全實施往往會阻礙了容器和微服務(wù)架構(gòu)的迭代速度和敏捷性,因此需要安全領(lǐng)導(dǎo)層實施更緊密的雙向理解和集成,整個組織在容器應(yīng)用的開發(fā)交付生命周期中采用安全的云原生模式和架構(gòu),最主要的是實現(xiàn)安全架構(gòu)和組織目標(biāo)的協(xié)同作用,建立持續(xù)的檢測-響應(yīng)-加固的機制。

3.零信任微隔離

由于容器業(yè)務(wù)的敏捷性要求和動態(tài)性編排(部署),對傳統(tǒng)基于邊界的安全管控帶來了挑戰(zhàn)。目前容器云領(lǐng)域大都選擇建設(shè)基于零信任理念的微隔離方案,零信任安全模型的主要概念是“從不信任,總是驗證”,即不應(yīng)默認(rèn)信任設(shè)備,即使設(shè)備已經(jīng)連接到經(jīng)許可的網(wǎng)絡(luò)(例如企業(yè)局域網(wǎng))并且之前已通過驗證?;诖说臑楦綦x方案可以主動隔離,自適應(yīng)容器多變的環(huán)境。通過對訪問關(guān)系的梳理和學(xué)習(xí),提供自適應(yīng)、自遷移、自維護(hù)的網(wǎng)絡(luò)隔離策略,也稱為“聲明式”的網(wǎng)絡(luò)策略,從而快速、安全地落地容器微隔離能力。

另外零信任同樣可以加強容器云的統(tǒng)一訪問管控,大量分散用戶訪問云上與數(shù)據(jù)中心的業(yè)務(wù)時,需具備統(tǒng)一權(quán)限控制策略。零信任以身份而非網(wǎng)絡(luò)為中心,一方面,通過強身份驗證與授權(quán)對所有訪問主體進(jìn)行管控,在建立信任前,不進(jìn)行任何數(shù)據(jù)傳輸操作;另一方面,通過統(tǒng)一接入、統(tǒng)一訪問控制和統(tǒng)一資源納管體系,為用戶提供一致的訪問體驗,保護(hù)分布式的關(guān)鍵數(shù)據(jù)和業(yè)務(wù),讓企業(yè)充分體驗容器云優(yōu)勢的同時免去安全顧慮。

4.總結(jié)

總體上容器云安全建設(shè)需要注意以下幾點:

1、復(fù)用現(xiàn)有安全建設(shè)成果,結(jié)合實際建立基線及準(zhǔn)入機制;

2、全面的考慮容器云安全整體架構(gòu);

3、根據(jù)容器云平臺和應(yīng)用上云的建設(shè)節(jié)奏逐步完善;

4、貼合云原生技術(shù)演進(jìn)方向,防止建設(shè)完不能用或者沒有用;

5、貼合容器云應(yīng)用的特點,使用符合云原生特點的解決方案。

近期聯(lián)合業(yè)內(nèi)也推出了云原生安全成熟度評估,主要融合了零信任、安全左移、持續(xù)監(jiān)測與響應(yīng)以及可觀測四大理念,涵蓋了基礎(chǔ)設(shè)施安全、云原生基礎(chǔ)架構(gòu)安全、云原生應(yīng)用安全、云原生研發(fā)運營安全、云原生安全運維5個維度、15個子維度、46個實踐項、356個細(xì)分能力要求,全場景多維度檢驗云原生平臺架構(gòu)的安全防護(hù)能力。企業(yè)可快速對照、定位安全能力水平,診斷自身問題,查漏補缺,根據(jù)業(yè)務(wù)需求結(jié)合模型高階能力定制安全架構(gòu)演進(jìn)方向。

QQ截圖20221206141445.png

三.容器云安全未來發(fā)展的思路和方向

隨著容器云的持續(xù)下沉普及,傳統(tǒng)的安全建設(shè)愈發(fā)感受到了瓶頸,主要涉及自動化程度不夠、管控粒度待細(xì)化、安全賦能待加強。因此推斷未來會主要呈現(xiàn)以下發(fā)展方向:

1、安全技術(shù)的主導(dǎo)力量從單邊走向多元。云服務(wù)商與安全廠商勢必將加強深度合作,結(jié)合雙方在技術(shù)研究、人才儲備、產(chǎn)品應(yīng)用等方面的積累和經(jīng)驗;在云原生安全的不同賽道將衍生出更加專注于細(xì)分領(lǐng)域的安全服務(wù)商,進(jìn)一步豐富和完善云原生安全生態(tài)。

2、安全理念以人為中心轉(zhuǎn)向以服務(wù)為中心。傳統(tǒng)安全側(cè)重以人為主的防護(hù)策略,已經(jīng)不能滿足云原生實例頻繁啟停的生命周期變化以及海量的東西向流量交互;以服務(wù)為中心構(gòu)建的容器安全防護(hù)措施,持續(xù)監(jiān)控響應(yīng)模型和可視化平臺,將成為云原生安全防護(hù)的主流方案。

3、安全產(chǎn)品形態(tài)從粗暴上云轉(zhuǎn)向與平臺/應(yīng)用深度融合。云原生安全將與云原生平臺,應(yīng)用深度融合,提供新型云原生信息基礎(chǔ)設(shè)施的防護(hù)、檢測和響應(yīng)能力;并將云原生技術(shù)賦能于這些安全產(chǎn)品,應(yīng)用和解決方案,實現(xiàn)進(jìn)程級防護(hù)能力,微隔離訪問控制,全流程實時監(jiān)控響應(yīng),實現(xiàn)安全方案的內(nèi)生配置和深度融合。

4、安全落地方案走向輕量化、敏捷化、精細(xì)化。隨著容器部署的環(huán)節(jié)越來越復(fù)雜,運行實例生命周期越來越短,要求安全方案的反應(yīng)必須迅速敏捷,及時發(fā)現(xiàn)容器啟動,密切跟蹤容器行為,并在發(fā)現(xiàn)異常時迅速反應(yīng);云原生提供的服務(wù)粒度越來越細(xì),相應(yīng)安全方案的防護(hù)粒度也需越來越細(xì),從過去的容器粒度,到目前的函數(shù)粒度,未來可能是語句粒度、變量粒度。

顧問專家及同行點評

楊斌-某單位:好有意義的文章,特別在云化的今天,安全是所有運維人員都息息相關(guān)受重視的問題,作者為大家提供了從思路到實踐的可行思路,清晰列明各維度子項的安全要求,并對可能的發(fā)展方向做出研判,為安全運維提供了方向指引。

本文執(zhí)筆專家簡介

許小平容器云安全用戶委員會委員

twt社區(qū)云原生應(yīng)用創(chuàng)新實踐聯(lián)盟——容器云安全方向課題組專家。從事軟件架構(gòu)開發(fā)行業(yè)10年,熟悉容器云原生、linux內(nèi)核、區(qū)塊鏈、DevOps等技術(shù)領(lǐng)域,參與代碼貢獻(xiàn)開源社區(qū)項目,如docker、kubernetes、grafana、ethereum等,具備參加國有股份銀行容器云建設(shè)、推廣的經(jīng)驗,參編撰寫多篇云計算的行業(yè)標(biāo)準(zhǔn)規(guī)范。

本文顧問專家簡介

羅文江容器云安全用戶委員會委員

twt社區(qū)云原生應(yīng)用創(chuàng)新實踐聯(lián)盟——容器云安全方向課題組組長,招商銀行云計算架構(gòu)師,當(dāng)前從事銀行私有云和公有云基礎(chǔ)設(shè)施、以及混合云架構(gòu)的建設(shè),參與包括容器云等相關(guān)云服務(wù)的規(guī)劃、技術(shù)選型、架構(gòu)設(shè)計和實施,以及業(yè)務(wù)連續(xù)性等保障體系的建設(shè)工作。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論