云计算是信息技术发展和服务模式创新的集中体现,是信息化发展的重要变革和必然趋势。随着企业数字化转型的逐步深入,如何深化用云的应用、进一步提升云计算的使用效能成为现阶段云计算发展的重点。云原生以其降本增效、分布式解耦以及弹性、高可用性的特点实现了云计算技术的升级换代,重塑了企业的技术架构、软件架构、设计理念和组织结构,进一步加速企业数字基础设施的升级,成为推动企业数字业务创新的强大动力。
与此同时,云原生对传统信息技术架构和应用模式的革新引入了新的安全风险,对传统的安全防护体系和安全管理制度带来了挑战。根据云原生产业联盟(CNIA)发布的《2023 年中国云原生安全调查问卷》,安全性已连续四年成为用户采用云原生技术时最关心的问题。面对这一问题,企业对云原生安全的关注度日益提高,云原生安全建设已成为企业云原生应用落地的必经之路。在数字化转型的浪潮中,云原生技术扮演着至关重要的角色。它不仅为企业提供了一种更高效、更灵活的软件开发和部署方式,而且通过优化资源利用和提升系统的弹性,帮助企业快速适应市场变化,实现生产力持续创新。云原生技术的应用,已经成为企业在激烈竞争中保持领先地位的关键因素。云原生是先进软件架构技术和管理方法的思想集合,通过容器、微服务、持续交付等一系列技术,实现了信息系统从烟囱式、重装置和低效率的架构向分布式、小型化和自动化的新一代软件架构的转变。与传统云计算以资源为核心不同,云原生架构以业务应用为核心,具备松耦合、分布式和高韧性三个特点,能更好地利用云计算优势,实现业务更加敏捷、低成本的交付。其中,松耦合是指软件系统中的各个服务可以实现独立开发、测试、部署、上线、更新和维护,降低了服务之间的依赖程度;分布式是指软件系统由多个相对分散的计算或存储服务节点组成,通过网络互联完成任务协作;高韧性则要求软件系统对于故障异常情况具有较强的恢复能力,能快速更换发生故障的组件,且不中断其他组件的运行。云原生架构与传统架构在设计理念、运行环境、构建方式以及运维管理方面存在显著区别。在设计理念方面,传统架构通常采用构建单体应用,将所有的功能和组件打包在一起,部署在单一的服务器或服务器集群上;而云原生架构则采用微服务架构,将应用分解为一系列小型、独立的服务,每个服务都可以独立部署、升级和扩展。在运行环境方面,传统架构部署在物理服务器或虚拟机上,资源利用率和弹性伸缩效率有限;云原生架构基于容器技术,通过对应用的标准化封装,实现更精细的资源调度、更自动化的分发部署和更高效的弹性伸缩能力。在构建方式方面,传统架构依赖重量级的开发和部署流程,变更和迭代速度较慢;云原生架构则利用自动化编排调度工具和敏捷的开发部署流程,实现应用的快速构建、部署和扩展。在运维管理方面,传统架构系统的运维一致性和自动化程度低,导致运维管理复杂度高、人工成本高;相比之下,云原生架构的运维则基于全链路的自动化可观测工具和架构自身的高可用机制,使得运维工作更加灵活、高效,并且能够更好地适应快速变化的业务需求。云原生技术以其卓越的敏捷性和可扩展性,正在重塑现代 IT 架构。然而,这一技术革新也带来了前所未有的安全挑战。云原生环境的开放性、动态性和复杂性,使得传统安全措施难以为继。从容器化部署到微服务架构,再到 DevOps 实践,每一个环节都可能成为安全风险的潜在源头。随着企业对云服务依赖程度的不断加深,任何安全漏洞都可能导致重大的数据泄露、服务中断甚至业务损失。在云原生架构下,安全不再是事后补救的措施,而是构建信任和保障业务连续性的关键要素。云原生技术栈的延展突破了传统云安全防护框架,要求安全防护模式从基于边界的防护模式向面向资源的动态防护模式转变。云原生架构的安全风险既包括云原生基础架构自身的安全风险,也包括上层应用在云原生化改造后新增和扩大的安全风险。容器化部署成为云原生基础架构安全风险输入源。容器运行时共享操作系统内核,一旦存在漏洞服务被攻陷,可能会导致运行在同一主机上其他服务受到影响,逃逸风险大大提高;容器生命周期缩短至分钟级且具备动态变化迁移的特性,增加了安全监测、防护以及溯源的难度,准确捕捉容器间的网络流量和异常行为成为新挑战。容器编排组件自身漏洞及配置管理缺陷,引入了新的安全风险。大量存在的漏洞镜像及开源镜像仓库的应用模式,增加了软件供应链的监管风险。云原生网络中有大量东西向流量互访,避开了传统南北向的网络安全防护,而现有的云安全访问控制粒度过粗,无法有效应对这种挑战。API 爆发式增长催化了权限滥用和数据泄露风险。在云原生环境中,从基础架构层到微服务应用层,存在着许多标准或非标准的 API,其数量急剧增加、调用频率异常频繁。一方面,这种爆发式的增长导致 API 在身份认证、访问控制、通信加密以及攻击防御等方面的安全问题更加明显,面临更多潜在的风险。另一方面,面对大量的 API 设计需求,企业的 API 安全治理方案往往不够成熟,从而增加了滥用和数据泄露的风险。微服务和 Serverless 等新型云原生应用形态增加了应用安全防护的难度。微服务将单体架构拆分成多个服务,导致微服务之间的访问端口数量呈指数级增长,攻击面大幅增加。微服务化应用在端口防护、访问权限、授权机制等方面的难度陡增。同时,常用的微服务治理框架引入了大量开源组件,这些组件常常带来不可预料的漏洞。Serverless 是一种将基础设施资源抽象化为按需使用的服务,用户只需关注应用逻辑,无需管理复杂的基础设施运维工作。当前,Serverless 的实现形态主要以 FaaS(Function as a Service)和 BaaS(Backend as a Service)为主,这种新模式和新平台工具链引入了新的安全风险,例如函数计算模型中的多源数据输入、跨函数调用数据清理不及时、权限管控不当等导致的数据安全风险,以及平台账户拒绝服务攻击等。DevOps 研发运营模式对传统安全运维提出新的要求。DevOps 强调应用研发的敏捷、协作性和快速迭代,但本身缺乏安全控制点,使得传统的安全管理机制难以适应。同时,开发、测试与运维的权限划分相对模糊,甚至权限扩大,增加了数据泄露的风险,也提高了溯源的难度。此外,许多企业的 DevOps 工具链基于开源工具组合而成,这引入了更多的安全风险。在安全建设需求的推动下,云原生安全在全球投融资市场受到高度关注,云原生安全产业快速发展,技术和产品创新不断。国内外云服务商、安全企业纷纷推出云原生安全产品与服务,包括容器安全、镜像安全、配置安全、DevSecOps、网络微隔离、API 安全等云原生安全细分领域。截至 2023 年底,云原生计算基金会(CNCF)的安全与治理类项目总数已达 25 个,其中包括 2 个毕业项目,6 个孵化项目以及 17 个沙箱项目。在素有“全球网络安全风向标”之称的 RSAC 沙盒大赛中,近两年有多个云原生安全项目进入十强。相对成熟的云原生安全产品和解决方案正逐步被应用于企业的云原生环境中,展现出其强大的实用价值和广阔的发展前景。当前,云原生安全产品大多从云原生安全的某一维度切入,其解决方案通常由多个独立的工具集成且不互通,导致防护体系相对割裂,这在安全性和运维复杂度方面都存在问题。造成这一现象的原因是,在云原生安全技术发展初期,尚未出现新的体系化防护框架。同时,受限于资源投入和技术基础,安全技术提供商往往会选择云原生安全的一个细分领域进行重点投入,从而形成早期可落地的产品。然而,随着云原生技术被应用到更多核心业务中,现有的安全防护体系显然已无法满足不断增长的安全需求。一方面,安全防护体系具备一个显著的特点就是木桶效应,决定整体防护效果的往往不是安全产品的优势能力,而是其短板水平。另一方面,云环境下安全孤岛和整体复杂性增加,缺乏端到端的可观测性,这不仅给网络攻击提供了利用的盲点,也给企业协同运维管理增加了难度。因此,有必要从云原生整体的技术栈出发,从网络安全完整的攻击链出发,涉及一种覆盖云原生全要素全生命周期的一体化云原生安全防护体系。Gartner 在 2021 年提出了云原生应用保护平台(CNAPP),这是一种一体化云原生应用防护的理念,旨在整合工具和安全平台,将安全性和合规性视为跨运营和安全团队的连续统一体,从而提高云原生的安全性和工作负载可见性,但缺乏具体的框架和能力要求。本文在此基础上结合我国云原生安全发展实际情况,提出了一种一体化云原生安全防护体系,定义了具体的防护框架,提出了详细的能力要求。一体化云原生安全防护体系包括制品安全、基础设施安全和运行时安全三大能力域,覆盖云原生应用研发运营全生命周期、云原生架构的全要素,同时兼顾双向反馈和环境适配能力,还包含了共计 15 个功能模块,涉及 500 多个具体的能力项。体系架构如下图所示。基础设施安全是指承载 IaaS 和 PaaS 基础平台的安全措施,其中涉及大量基础设施要素的安全漏洞防护、安全配置与策略管理以及权限管理等。该能力域包含以下四个功能模块:基础设施即代码(IaC)安全、Kubernetes 安全态势管理(KSPM)、云安全态势管理(CSPM)和云基础设施授权管理(CIEM)。IaC 安全针对 Manifest、dockerfile、Terraform和 Helm Chart 等 IaC 文件进行安全检测,从中发现潜在的不安全配置项并进行修复。CIEM 负责管理授权、修复云访问风险,并在多云环境中实施最小特权原则,监测分析账户行为,以降低权限过大或滥用而产生的风险。云安全态势管理(CSPM)识别云上资产的错误配置和合规风险问题,鉴于现代 IaaS 和 PaaS 工作负载的复杂性和规模持续呈指数级增长,为了防止配置错误导致整体工作负载风险,CSPM 应具备对云资产的安全管理能力,如云资产管理、安全基线检测、云主机风险评估和安全策略管理。KSPM 是一套用于自动化地强化 K8s 集群的安全性和合规性的工具或实践,它帮助维护Kubernetes 环境的整体安全性。由于镜像中存在大量漏洞,加之实例化后的由于镜像中存在大量漏洞,加之实例化后的应用生命周期短、业务逻辑复杂且频繁动态迁移,安全防护难度大,在运行时阶段投入安全资源来修补这些问题,不仅需要耗费大量资源且效果往往不尽如人意。因此,云原生安全遵循一个重要原则——安全左移(Shift Left),即将安全资源更多地放到应用上线之前,将安全嵌入到 CI/CD 流水线中,从源头上消除安全隐患,确保应用一经上线即具备安全性,这便是制品安全的核心理念。制品安全能力域包含代码安全、镜像安全、交互式应用安全检测(IAST)、动态应用安全检测(DAST)和制品环境安全五个功能模块。代码安全是指在开发阶段对应用程序代码进行安全性检测,识别并修复安全漏洞,这包括对代码进行静态安全测试(SAST)和软件成分分析以及对开源组件的管理。在镜像安全方面,需具备镜像安全扫描能力和可信镜像管理能力,以帮助用户提前发现容器镜像中可能存在的漏洞、恶意代码、敏感文件等安全威胁,并进一步实施修复工作。在安全测试方面,应构建多样化且互补的自动化安全测试能力。除了对代码进行静态安全检测外,还需在测试环境中对处于运行状态的应用进行动态和交互式应用安全测试。在制品环境安全方面,重点应放在镜像仓库、代码库以及 CI/CD 工具链等环境的安全检测和安全加固能力的建设上。一体化云原生安全防护体系在运行阶段遵循“持续监控和响应”的原则,实现自适应安全。运行时安全能力域包括 Web 应用和 API 保护(WAAP)、网络微隔离和云工作负载保护(CWPP)三个能力模块。WAAP 的核心安全能力应包括 Web 安全防护、API 保护和治理、Bot 防护以及应用层拒绝服务攻击防护。由于 Web 访问是云原生应用对外提供服务的一种方式,云原生应用也继承了传统云应用所面临的 Web 安全风险。因此,需要具备常见 Web 攻击、bot 攻击和应用层拒绝服务攻击的防护能力。同时,在云原生环境中,大量 API 面临被滥用、越权访问以及数据泄露的风险,必须通过 API 安全治理手段对进行 API 资产管理、风险评估、安全监测和防护。网络微隔离通过识别和监测云原生网络流量的基本信息与行为来识别风险,并根据不同的流量特征对异常流量实施细粒度的精准隔离。云工作负载保护(CWPP)主要关注主机运行时安全和容器运行时安全,包括系统完整性保护、应用程序控制防护、内存保护、行为监视、入侵检测与响应等方面的能力。基础设施安全、制品安全和运行时安全三个能力域分别针对一体化云原生安全防护体系建设所需要具备的安全能力进行了要素和阶段的划分,而使得这些安全能力成为统一整体的关键在于双向反馈能力。双向反馈能力是指对云原生全生命周期中的全要素进行安全风险的统一管理、全面可视和关联分析:一方面,可以将看似不相关的问题结合起来发现潜在风险。另一方面,从全局视角进行风险评级,集中资源优先解决最关键的问题,并支持整个安全防护体系在最合适的阶段调度安全能力进行防护。同时,这还需要开发与运维团队在安全方面的配合,以实现安全价值的流动,从而使云原生安全更加完整、高效和安全。随着云原生技术在更多场景中的应用落地,云原生安全防护体系需要同步适配的环境也变得更加复杂。它不仅需要适配边缘云、多云和混合云等不同云形态,还需要适配不同技术栈的芯片、服务器、操作系统、运行时、中间件和工具链等,这些都与企业用户的云环境密切相关。一体化云原生安全防护体系通过整合多个单独的云原生安全能力,简化了安全工作流程、降低了管理复杂度。一体化的平台促进了开发和运行阶段、开发和安全运维团队之间的通信与协调,增强了对安全环境的可见性,并优化了云原生安全的防护能力。然而,目前很少有安全技术提供商能够向用户提供覆盖云原生全要素、全生命周期的所有安全工具。新兴的云原生安全厂商通常从他们擅长的细分领域开始,同时与其他细分领域厂商合作,逐步完善其云原生安全解决方案。相对地,老牌安全厂商和云服务商的安全团队利用自身强大的平台和生态优势,从安全运营平台出发,集成部分自有和第三方安全工具以实现一体化管理和运营。这些为企业构建一体化云原生安全防护体系提供了阶段性的解决方案。整合与平台化是近两年安全发展的趋势,这一趋势在云原生安全领域也同样适用。未来,云原生安全技术提供商将重点提升产品的平台化能力,细化双向反馈机制,并完善对异构环境的兼容适配。对于用云企业来说,需要将一体化云原生安全防护体系与自身的云基础设施、DevOps 流程和现有安全设备深度融合,并配套相应的安全运营制度和人员,以构建一个覆盖云原生全要素全生命周期的一体化云原生安全防护体系,从而助力企业数字化转型安全推进。![]()
文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247545373&idx=1&sn=a3e1c0d67d73f9a7e1db9da47bcc4c8e&chksm=c1e9be4cf69e375aad22230f291e7ed166c31f7586c5751c48c26602e7e200364959530303f1&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh