某企業(yè)在2019年6月-2020年6年月遇到的云原生攻擊次數(shù)
構(gòu)建安全的云原生服務(wù)�,可以從哪些方面入手?真正實施DevSecOps又需要注意什么���?本文我們站在技術(shù)視角,從Dev開發(fā)階段和Ops運行時階段出發(fā)����,幫助你在成功實施云原生安全上邁出一大步。
一���、云原生環(huán)境下的安全挑戰(zhàn)
Gartner報告指出��,2022年將有 75% 的全球化企業(yè)會在生產(chǎn)中使用云原生的容器化應(yīng)用�����。云原生生態(tài)持續(xù)擴大��,基本覆蓋云原生生命周期的全技術(shù)鏈�,比如容器編排�����、微服務(wù)架構(gòu)���、不可變基礎(chǔ)設(shè)施�、持續(xù)交付/持續(xù)集成����、DevOps等在內(nèi)的代表性技術(shù)�。
云原生的確具備著更大的靈活性�、業(yè)務(wù)敏捷性和強擴展性,但也潛伏著一定的新安全“隱患”��。青藤聯(lián)合創(chuàng)始人��、產(chǎn)品副總裁胡俊認(rèn)為���,云原生在重塑整個應(yīng)用生命周期的同時也帶來了技術(shù)和組織的雙重挑戰(zhàn):
青藤云安全聯(lián)合創(chuàng)始人�、產(chǎn)品副總裁胡俊
● 技術(shù)挑戰(zhàn)
新技術(shù)帶來的新挑戰(zhàn)��。鑒于云原生技術(shù)所引入的新的安全防護(hù)對象����,比如宿主機����、容器、應(yīng)用��、編排工具等���,引發(fā)了一系列的新風(fēng)險�����,編排風(fēng)險��、鏡像風(fēng)險�、微服務(wù)風(fēng)險、運行時風(fēng)險��、網(wǎng)絡(luò)安全風(fēng)險等���,使得安全工作者的理解難度增加�。云越來越像個黑盒���,過往的安全工作重心多圍繞著核心業(yè)務(wù)的外圍轉(zhuǎn)����,如何突破“黑盒”邊界成為一個挑戰(zhàn)����。
● 組織挑戰(zhàn)
組織模式帶來的安全挑戰(zhàn)。云原生安全建設(shè)和云基礎(chǔ)設(shè)施關(guān)系緊密����,導(dǎo)致安全職責(zé)需要重新考慮����,安全組織的協(xié)作方式從“組織責(zé)任邊界�����、產(chǎn)品迭代�����、業(yè)務(wù)設(shè)計到數(shù)據(jù)中心基礎(chǔ)設(shè)施”轉(zhuǎn)變�,新的安全模式對組織、流程�、技術(shù)等都有了新的要求。
傳統(tǒng)的邊界防護(hù)的安全防護(hù)理念��,缺乏虛擬化的部署能力����,已經(jīng)無法滿足網(wǎng)絡(luò)安全現(xiàn)狀���,為了應(yīng)對云原生安全挑戰(zhàn)����,青藤創(chuàng)新云原生安全體系,實現(xiàn)彈性敏捷開發(fā)���。
二��、DevOps云原生安全實踐
云原生加速了應(yīng)用開發(fā)和運維角色的融合���,使云原生的DevOps實踐成為趨勢。想要充分發(fā)揮出DevOps的敏捷性和響應(yīng)力��,務(wù)必要將安全防護(hù)融入到“從軟件開發(fā)到運營”的每個環(huán)節(jié)�����。
新一代“一二四”云原生安全體系
基于近年來對DevSecOps的系統(tǒng)研究�、創(chuàng)新的實戰(zhàn)化思想和實踐發(fā)現(xiàn),青藤云安全構(gòu)建了“一二四”云原生安全體系����,即“一個體系、兩個方向��、四個環(huán)節(jié)”,進(jìn)行云原生安全全生命周期管理���,將安全能力融入整個DevOps流程當(dāng)中���。
一個體系(DevOps):DevOps是全新的安全實踐戰(zhàn)略框架,基于零信任架構(gòu)的支持�,應(yīng)用部署適配業(yè)務(wù),打破了開發(fā)����、安全和運營之間的孤島,可有效管理各部門的負(fù)載與應(yīng)用��,改變了網(wǎng)絡(luò)安全傳統(tǒng)防護(hù)劣勢��。
兩個方向(DEV-Build time����、OPS-Run time):在Dev開發(fā)階段和Ops運行時階段這兩個方向上分別要做到“安全左移,上線即安全”和“持續(xù)監(jiān)控和響應(yīng)���,自適應(yīng)安全”��,實現(xiàn)全方位安全防御��。
四個環(huán)節(jié)(安全開發(fā)�、安全測試�����、安全管理���、安全運營):Dev開發(fā)階段涵蓋安全開發(fā)(威脅建模�����、代碼審計、SCA����、SAST)和安全測試(鏡像安全、DAST�����、合規(guī)檢查���、安全驗證����、滲透測試),Ops運行時階段涵蓋安全管理(資產(chǎn)清點���、微隔離��、風(fēng)險檢測�����、安全策略)和安全運營(入侵檢測��、安全響應(yīng)���、溯源分析、威脅狩獵)���,在這四個環(huán)節(jié)通過各種工具和手段來落地安全實踐���。
1.Dev-Build Time開發(fā)階段安全
在軟件開發(fā)生命周期的早期即開始安全測試,提早感知識別網(wǎng)絡(luò)威脅�,阻斷攻擊線,從根源保護(hù)應(yīng)用系統(tǒng)安全�����,同時����,通過鏡像掃描�,保護(hù)鏡像安全,把安全無縫的集成到敏捷開發(fā)中���。
>> 卡點安全左移
如何將安全嵌入,實現(xiàn)安全前置���?青藤蜂巢·云原生安全平臺,基于“一二四”云原生安全體系��,通過安全左移為整個CI/CD管道提供安全防護(hù)�。胡俊特別提到了 “通過卡點來落地安全流程”的理念:新的安全卡點貫穿整個開發(fā)環(huán)節(jié)��,運用“準(zhǔn)入”���、“準(zhǔn)出”的模式進(jìn)行管控����,其中“準(zhǔn)入”是從開發(fā)到進(jìn)入鏡像倉庫之前的階段����,“準(zhǔn)出”則是從鏡像倉庫到鏡像拉取、再到運行時的階段��。
“準(zhǔn)入”和“準(zhǔn)出”卡點流程可進(jìn)一步分解為:基礎(chǔ)鏡像檢查(惡意文件����、敏感信息、應(yīng)用漏洞)——保證基礎(chǔ)鏡像安全之后��,通過本地靜態(tài)安全測試�,進(jìn)入業(yè)務(wù)鏡像(業(yè)務(wù)鏡像涉及兩方面:一是鏡像的構(gòu)建安全,一是業(yè)務(wù)鏡像的安全檢測)——真正進(jìn)入測試環(huán)境����,進(jìn)行動態(tài)檢測(集群風(fēng)險檢查、應(yīng)用風(fēng)險檢查��、微服務(wù)檢查等)——滲透測試環(huán)節(jié)�,正式上傳鏡像倉庫——完成部署上線。
>> 鏡像安全檢查
鏡像的安全檢查是Dev開發(fā)階段的重中之重�����。如何在第一時間了解鏡像問題所在?基礎(chǔ)的是通過集成安全能力�,集成到CI/CD工具中,發(fā)現(xiàn)鏡像安全問題和安全配置問題�,通過把檢查結(jié)果jenkins集成、harbor集成到安全工具當(dāng)中�����,來幫助開發(fā)人員發(fā)現(xiàn)鏡像問題�����。
鏡像檢查的過程應(yīng)用于Build����、Test��、Release�����、Deploy等多個流程中:第一在Build階段��,要與CI工具相集成,調(diào)用鏡像掃描的能力�,對鏡像進(jìn)行相關(guān)掃描;第二是對鏡像倉庫中所有環(huán)節(jié)的鏡像進(jìn)行持續(xù)性����、周期性的掃描(比如檢查病毒木馬、WebShell���、安全補丁�、應(yīng)用組件漏洞等)����;第三是對宿主機本地鏡像進(jìn)行掃描,保證實際運行中的鏡像是安全的��。
除了鏡像掃描能力外�,還需要加強鏡像構(gòu)建、檢測的能力:比如動態(tài)安全風(fēng)險檢測��,對測試環(huán)境進(jìn)行動態(tài)檢測�����,對運行的應(yīng)用是否存在漏洞�、木馬�����、敏感信息等進(jìn)行檢測����,以及微服務(wù)的自動發(fā)現(xiàn)與漏洞掃描��。
2.Ops-Run Time運行時安全
自適應(yīng)安全理念是一種以檢測為主的思路�����,以“工作負(fù)載”進(jìn)行持續(xù)的監(jiān)控和分析為核心���,來完成運行時的安全閉環(huán)??梢暬墓ぷ髫?fù)載分為兩部分,一是對云原生工作負(fù)載本身進(jìn)行細(xì)粒度的清點���,幫助安全人員了解運行的容器��、容器內(nèi)運行的WEB原理��、數(shù)據(jù)庫應(yīng)用等����,二是對容器工作負(fù)載之間的訪問關(guān)系進(jìn)行梳理,進(jìn)一步了解業(yè)務(wù)間的調(diào)用關(guān)系�,鎖定攻擊范圍,輔助策略生成�����。
運行時階段中的微隔離���、入侵檢測�、安全響應(yīng)���、溯源分析和威脅狩獵是核心環(huán)節(jié)��,每個環(huán)節(jié)環(huán)環(huán)相扣��。
>> 微隔離
保護(hù)關(guān)鍵資產(chǎn)��、用戶數(shù)據(jù)免受惡意攻擊最基礎(chǔ)有效的方法是微隔離���。業(yè)務(wù)訪問關(guān)系愈加復(fù)雜,工作負(fù)載數(shù)量加劇,更加智能的隔離系統(tǒng)隨之被引用���。微隔離技術(shù)是最早的一種對零信任的具體技術(shù)實現(xiàn)���,有別于傳統(tǒng)防火墻的隔離作用,微隔離主要梳理容器內(nèi)東西向的網(wǎng)絡(luò)訪問關(guān)系�,使集群內(nèi)的訪問可見、可控���,通過微隔離實現(xiàn)集群內(nèi)部�����、外部的網(wǎng)絡(luò)訪問控制��,暨阻止攻擊者進(jìn)入網(wǎng)絡(luò)中心�����。
>> 入侵檢測
在微隔離技術(shù)的保護(hù)下,第二輪防護(hù)來自于對風(fēng)險的入侵檢測����。入侵檢測分為三個層次,即已知威脅檢測、惡意行為檢測��、異常檢測���。其中已知威脅檢測是針對容器內(nèi)的文件���、代碼、腳本等進(jìn)行已知特征的檢測�����;惡意行為檢測是對于惡意行為模式的定義�����,對容器及編排工具內(nèi)的黑客攻擊行為進(jìn)行實時檢測���;異常檢測則是對容器內(nèi)進(jìn)程�����、網(wǎng)絡(luò)等行為進(jìn)行學(xué)習(xí)建立模型�����,從而發(fā)現(xiàn)異常入侵行為��。
>> 安全響應(yīng)
經(jīng)過對異常事件的檢測發(fā)現(xiàn)失陷容器���,從而快速進(jìn)行安全響應(yīng)���,把損失降到最低。在青藤蜂巢·云原生安全平臺上�����,在控制容器端采用隔離容器��、暫停容器等方式�,在控制容器內(nèi)行為端,采用阻斷進(jìn)程��、隔離文件�、封禁IP等方式,在控制容器的網(wǎng)絡(luò)訪問端��,不允許有問題的工作負(fù)載進(jìn)行訪問和被訪問����。
>> 溯源分析和威脅狩獵
通過持續(xù)的安全運營,對失陷容器進(jìn)行溯源分析��,找到受影響范圍和入侵路徑�����,不斷進(jìn)行威脅狩獵���,主動發(fā)現(xiàn)網(wǎng)絡(luò)中的惡意數(shù)據(jù)及潛在的威脅行為��?�;谌?、工具和數(shù)據(jù)端三方面�����,做到全面安全防御�;再者,收集容器的相關(guān)行為數(shù)據(jù)�����,以ATT&CK框架為模型���,通過大數(shù)據(jù)工具來持續(xù)做安全威脅分析�。
三、結(jié)語
最后�,總結(jié)來看,隨著云原生技術(shù)的升級�,尋找到與云原生安全匹配的安全模式是關(guān)鍵;在云原生安全全生命周期階段��,都要建立系統(tǒng)性的防護(hù)體系�����。
作為云原生安全領(lǐng)軍企業(yè)���,青藤云安全是云原生安全的堅定維護(hù)者���,青藤“一二四”云原生安全體系是新一代網(wǎng)絡(luò)安全防護(hù)架構(gòu),打造出“事前防御”��、“事中監(jiān)測”��、“事后溯源”全方位聯(lián)動的護(hù)城河�����,做到了“看得清、管得了�、防得住���、能融合”��,為行業(yè)用戶提供容器資產(chǎn)清點�、鏡像掃描��、入侵檢測���、合規(guī)基線等安全服務(wù)�����,構(gòu)筑云原生安全防護(hù)線���。
未來,青藤云安全將會繼續(xù)完善云原生安全產(chǎn)品線及解決方案��,推動“一二四”云原生安全體系理念在多個行業(yè)的全面落地����,助推云原生生態(tài)升級��。
