構(gòu)筑云原生安全技術(shù)底座 | 綠盟科技發(fā)布《云原生安全技術(shù)報(bào)告》

  • 人閱讀
  • 2021-01-13 10:51:41

  • 來(lái)源:上海熱線

  • 相關(guān)關(guān)鍵詞

云計(jì)算發(fā)展將近二十年,已然進(jìn)入了新的階段:云原生時(shí)代。以容器、服務(wù)網(wǎng)格、微服務(wù)等為代表的云原生技術(shù),正在影響各行各業(yè)的IT基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用系統(tǒng),也在滲透到如IT/OT融合的工業(yè)互聯(lián)網(wǎng)、IT/CT融合的5G、邊緣計(jì)算等新型基礎(chǔ)設(shè)施中。

理解云原生體系存在的新架構(gòu)、新風(fēng)險(xiǎn)和新威脅,有助于構(gòu)建面向新型IT基礎(chǔ)設(shè)施的安全防護(hù)機(jī)制;利用云原生的先進(jìn)技術(shù),融合到當(dāng)前的攻防體系中,也有助于我們提升整體安全防護(hù)的彈性、適應(yīng)性、敏捷性。

綠盟科技在2018年發(fā)布了《容器安全技術(shù)報(bào)告》,報(bào)告詳細(xì)分析了容器技術(shù)所面臨的風(fēng)險(xiǎn)和安全挑戰(zhàn),介紹了安全左移思路下的安全基線、鏡像安全等內(nèi)容,給初建容器安全的機(jī)構(gòu)一些有益的建議。近年隨著編排技術(shù)、無(wú)服務(wù)和服務(wù)網(wǎng)格等技術(shù)的快速發(fā)展,綠盟科技將重點(diǎn)放在了整個(gè)云原生生態(tài)體系的安全研究上。

鑒于此,綠盟科技發(fā)布《云原生安全技術(shù)報(bào)告》,本報(bào)告較為全面地分析了云原生落地所面臨的安全風(fēng)險(xiǎn)和威脅,進(jìn)而提出了云原生的防護(hù)思路和安全體系。

構(gòu)筑云原生安全技術(shù)底座

本報(bào)告核心內(nèi)容如下:

1.安全問(wèn)題成為影響云原生落地的重要因素

隨著云原生越來(lái)越多的落地應(yīng)用,其相關(guān)的安全風(fēng)險(xiǎn)與威脅也不斷的顯現(xiàn)出來(lái)。Docker/Kubernetes等服務(wù)暴露問(wèn)題、特斯拉Kubernetes集群挖礦事件、Docker Hub中的容器鏡像被“投毒”注入挖礦程序、微軟Azure安全中心檢測(cè)到大規(guī)模Kubernetes挖礦事件、Graboid蠕蟲挖礦傳播事件等一系列針對(duì)云原生的安全攻擊事件層出不窮。安全問(wèn)題成為影響云原生落地的重要顧慮因素。

2.容器化基礎(chǔ)設(shè)施面臨的安全威脅和風(fēng)險(xiǎn)不會(huì)更少

容器作為一種“輕量的虛擬化”技術(shù),運(yùn)行于“宿主機(jī)”操作系統(tǒng)內(nèi)核之上,因此,傳統(tǒng)的主機(jī)安全、網(wǎng)絡(luò)安全等安全問(wèn)題依然存在。除此之外,容器的逃逸風(fēng)險(xiǎn)、容器鏡像的風(fēng)險(xiǎn)、虛擬化網(wǎng)絡(luò)風(fēng)險(xiǎn)、配置風(fēng)險(xiǎn)等安全風(fēng)險(xiǎn)問(wèn)題,還將成為容器化基礎(chǔ)設(shè)施所面臨的新的安全威脅。

3.安全左移,更早的發(fā)現(xiàn)安全問(wèn)題

在云原生架構(gòu)中,容器生命周期短、業(yè)務(wù)復(fù)雜、網(wǎng)絡(luò)復(fù)雜,現(xiàn)有的物理或虛擬化的安全設(shè)備無(wú)法工作,運(yùn)行時(shí)的安全檢測(cè)將會(huì)投入很高成本。“安全前置”或者“安全左移”可以在軟件開發(fā)生命周期的更早階段,投入更多的安全資源,嵌入安全動(dòng)作,來(lái)有效的收斂安全漏洞問(wèn)題,盡可能更早的確定其安全性。

4.云原生安全一定是云原生的

云原生安全,其目標(biāo)是防護(hù)云原生環(huán)境中的基礎(chǔ)設(shè)施、編排系統(tǒng)和云原生應(yīng)用,確保業(yè)務(wù)系統(tǒng)云原生化后的安全性。云原生架構(gòu)同時(shí)又有著其獨(dú)特的特性,對(duì)傳統(tǒng)的安全防護(hù)手段提出了巨大的挑戰(zhàn)。

云原生極大程度的實(shí)現(xiàn)了云的優(yōu)勢(shì),云原生安全一定是云原生的,也就是:使用具有云原生特性的安全技術(shù)去實(shí)現(xiàn)面向云原生環(huán)境的安全。

5.云原生的可觀測(cè)性助力實(shí)現(xiàn)安全可見(jiàn)、可防

云原生時(shí)代,容器化的基礎(chǔ)設(shè)施使得應(yīng)用自身變的更快、更輕,一臺(tái)主機(jī)上可以快速部署運(yùn)行幾十個(gè)、甚至上百個(gè)容器。而Kubernetes等容器編排平臺(tái),又提供了良好的負(fù)載均衡、任務(wù)調(diào)度、容錯(cuò)等管理機(jī)制。這樣,在云原生中,一臺(tái)主機(jī)上應(yīng)用的部署密度以及變化頻率,較傳統(tǒng)環(huán)境,有著巨大的變化。

正所謂“未知攻焉知防”,面對(duì)云原生架構(gòu)下的大規(guī)模集群以及海量靈活的微服務(wù)應(yīng)用,只有知道集群中應(yīng)用的具體操作、行為,才能夠進(jìn)行高效的安全防護(hù)。

6.微隔離實(shí)現(xiàn)零信任的云原生網(wǎng)絡(luò)安全

云原生架構(gòu)中,容器或者微服務(wù)的生命周期相比較傳統(tǒng)網(wǎng)絡(luò)或者租戶網(wǎng)絡(luò),變的短了很多,其變化頻率要高很多。微服務(wù)之間有著復(fù)雜的業(yè)務(wù)訪問(wèn)關(guān)系,尤其是當(dāng)工作負(fù)載數(shù)量達(dá)到一定規(guī)模以后,這種訪問(wèn)關(guān)系將會(huì)變得異常的龐大和復(fù)雜。

因此,在云原生環(huán)境中,網(wǎng)絡(luò)的隔離需求已經(jīng)不僅僅是物理網(wǎng)絡(luò)、租戶網(wǎng)絡(luò)等資源層面的隔離,甚至需要服務(wù)之間應(yīng)用層面的隔離。一方面需要能夠針對(duì)業(yè)務(wù)角色,從業(yè)務(wù)視角更細(xì)粒度的實(shí)現(xiàn)微服務(wù)之間的訪問(wèn)隔離;另一方面,這種靈活快速的網(wǎng)絡(luò)狀態(tài)變化,也需要隔離策略與訪問(wèn)控制策略能夠完全自動(dòng)化的適應(yīng)業(yè)務(wù)和網(wǎng)絡(luò)的快速變化,實(shí)現(xiàn)快速高效的管理、部署和生效。

7.ServiceMesh可以有效支撐微服務(wù)安全

Service Mesh采用類似SDN的架構(gòu),通過(guò)邏輯上獨(dú)立的數(shù)據(jù)平面和控制平面實(shí)現(xiàn)微服務(wù)間網(wǎng)絡(luò)通信的管理。網(wǎng)格內(nèi)服務(wù)發(fā)送和接收的所有流量都經(jīng)過(guò)代理,這讓控制網(wǎng)格內(nèi)的流量變簡(jiǎn)單,而且不需要對(duì)服務(wù)做任何的更改,再配合網(wǎng)格外部的控制平面,可以實(shí)現(xiàn)網(wǎng)絡(luò)隔離、應(yīng)用隔離、甚至是應(yīng)用的API安全。

8.API安全和業(yè)務(wù)安全成為云原生應(yīng)用的重要安全威脅

云原生應(yīng)用基于微服務(wù)的架構(gòu)設(shè)計(jì),使得應(yīng)用之間的交互模式轉(zhuǎn)向各類API的請(qǐng)求/響應(yīng),API通信在云原生應(yīng)用交互中占據(jù)了重要地位。API安全也成為了云原生應(yīng)用安全中尤為重要的一個(gè)部分。系統(tǒng)中存在哪些暴露的API服務(wù),存在哪些API調(diào)用,這些調(diào)用是否全部是完成某個(gè)需求所必須發(fā)生的業(yè)務(wù)聯(lián)系,是否存在API探測(cè)、API濫用,是否存在針對(duì)某個(gè)服務(wù)的拒絕服務(wù)攻擊,如何在海量的正常業(yè)務(wù)調(diào)用邏輯中,發(fā)現(xiàn)非法的異常調(diào)用請(qǐng)求。這些問(wèn)題都直接影響著云原生應(yīng)用的安全性。

9.Serverless的安全風(fēng)險(xiǎn)同樣不容小覷

Serverless是云原生架構(gòu)下一種新的計(jì)算模式,在給開發(fā)者帶來(lái)便利的同時(shí),其安全風(fēng)險(xiǎn)也備受關(guān)注。應(yīng)用程序的代碼安全、數(shù)據(jù)隱私、訪問(wèn)權(quán)限、不同服務(wù)間的隔離等,都是其面臨的重要安全挑戰(zhàn)。實(shí)現(xiàn)其安全建設(shè),需要Serverless服務(wù)提供商、應(yīng)用開發(fā)者等多方的共同努力。

10.云原生安全助力新基建落地安全

5G、邊緣計(jì)算、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等作為新基建的重要組成部分,其安全性將在一定程度上影響著新基建的落地實(shí)施。而云原生技術(shù)與架構(gòu)正在成為包括5G核心網(wǎng)、邊緣云等的重要實(shí)現(xiàn)方式之一。新基建安全不止云原生安全,但是新基建的安全離不開云原生安全。

獲取完整版報(bào)告內(nèi)容,請(qǐng)關(guān)注綠盟科技公眾號(hào)后臺(tái)回復(fù)“云原生報(bào)告”即可

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )