某企業(yè)在2019年6月-2020年6年月遇到的云原生攻擊次數(shù)
構(gòu)建安全的云原生服務(wù),可以從哪些方面入手��?真正實(shí)施DevSecOps又需要注意什么�����?本文我們站在技術(shù)視角,從Dev開(kāi)發(fā)階段和Ops運(yùn)行時(shí)階段出發(fā)�,幫助你在成功實(shí)施云原生安全上邁出一大步��。
一��、云原生環(huán)境下的安全挑戰(zhàn)
Gartner報(bào)告指出����,2022年將有 75% 的全球化企業(yè)會(huì)在生產(chǎn)中使用云原生的容器化應(yīng)用��。云原生生態(tài)持續(xù)擴(kuò)大�����,基本覆蓋云原生生命周期的全技術(shù)鏈�,比如容器編排���、微服務(wù)架構(gòu)����、不可變基礎(chǔ)設(shè)施����、持續(xù)交付/持續(xù)集成、DevOps等在內(nèi)的代表性技術(shù)��。
云原生的確具備著更大的靈活性、業(yè)務(wù)敏捷性和強(qiáng)擴(kuò)展性����,但也潛伏著一定的新安全“隱患”。青藤聯(lián)合創(chuàng)始人�����、產(chǎn)品副總裁胡俊認(rèn)為����,云原生在重塑整個(gè)應(yīng)用生命周期的同時(shí)也帶來(lái)了技術(shù)和組織的雙重挑戰(zhàn):
青藤云安全聯(lián)合創(chuàng)始人、產(chǎn)品副總裁胡俊
● 技術(shù)挑戰(zhàn)
新技術(shù)帶來(lái)的新挑戰(zhàn)�����。鑒于云原生技術(shù)所引入的新的安全防護(hù)對(duì)象��,比如宿主機(jī)�����、容器����、應(yīng)用����、編排工具等��,引發(fā)了一系列的新風(fēng)險(xiǎn)�����,編排風(fēng)險(xiǎn)���、鏡像風(fēng)險(xiǎn)、微服務(wù)風(fēng)險(xiǎn)����、運(yùn)行時(shí)風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等���,使得安全工作者的理解難度增加��。云越來(lái)越像個(gè)黑盒����,過(guò)往的安全工作重心多圍繞著核心業(yè)務(wù)的外圍轉(zhuǎn)����,如何突破“黑盒”邊界成為一個(gè)挑戰(zhàn)����。
● 組織挑戰(zhàn)
組織模式帶來(lái)的安全挑戰(zhàn)���。云原生安全建設(shè)和云基礎(chǔ)設(shè)施關(guān)系緊密����,導(dǎo)致安全職責(zé)需要重新考慮���,安全組織的協(xié)作方式從“組織責(zé)任邊界���、產(chǎn)品迭代、業(yè)務(wù)設(shè)計(jì)到數(shù)據(jù)中心基礎(chǔ)設(shè)施”轉(zhuǎn)變�,新的安全模式對(duì)組織、流程�����、技術(shù)等都有了新的要求��。
傳統(tǒng)的邊界防護(hù)的安全防護(hù)理念,缺乏虛擬化的部署能力�,已經(jīng)無(wú)法滿足網(wǎng)絡(luò)安全現(xiàn)狀,為了應(yīng)對(duì)云原生安全挑戰(zhàn)�����,青藤創(chuàng)新云原生安全體系��,實(shí)現(xiàn)彈性敏捷開(kāi)發(fā)����。
二、DevOps云原生安全實(shí)踐
云原生加速了應(yīng)用開(kāi)發(fā)和運(yùn)維角色的融合�,使云原生的DevOps實(shí)踐成為趨勢(shì)。想要充分發(fā)揮出DevOps的敏捷性和響應(yīng)力�����,務(wù)必要將安全防護(hù)融入到“從軟件開(kāi)發(fā)到運(yùn)營(yíng)”的每個(gè)環(huán)節(jié)��。
新一代“一二四”云原生安全體系
基于近年來(lái)對(duì)DevSecOps的系統(tǒng)研究�、創(chuàng)新的實(shí)戰(zhàn)化思想和實(shí)踐發(fā)現(xiàn)����,青藤云安全構(gòu)建了“一二四”云原生安全體系,即“一個(gè)體系、兩個(gè)方向�����、四個(gè)環(huán)節(jié)”����,進(jìn)行云原生安全全生命周期管理,將安全能力融入整個(gè)DevOps流程當(dāng)中����。
一個(gè)體系(DevOps):DevOps是全新的安全實(shí)踐戰(zhàn)略框架,基于零信任架構(gòu)的支持���,應(yīng)用部署適配業(yè)務(wù)��,打破了開(kāi)發(fā)�����、安全和運(yùn)營(yíng)之間的孤島��,可有效管理各部門的負(fù)載與應(yīng)用���,改變了網(wǎng)絡(luò)安全傳統(tǒng)防護(hù)劣勢(shì)����。
兩個(gè)方向(DEV-Build time��、OPS-Run time):在Dev開(kāi)發(fā)階段和Ops運(yùn)行時(shí)階段這兩個(gè)方向上分別要做到“安全左移���,上線即安全”和“持續(xù)監(jiān)控和響應(yīng)���,自適應(yīng)安全”,實(shí)現(xiàn)全方位安全防御���。
四個(gè)環(huán)節(jié)(安全開(kāi)發(fā)��、安全測(cè)試��、安全管理���、安全運(yùn)營(yíng)):Dev開(kāi)發(fā)階段涵蓋安全開(kāi)發(fā)(威脅建模����、代碼審計(jì)、SCA����、SAST)和安全測(cè)試(鏡像安全�����、DAST�、合規(guī)檢查����、安全驗(yàn)證、滲透測(cè)試)��,Ops運(yùn)行時(shí)階段涵蓋安全管理(資產(chǎn)清點(diǎn)�����、微隔離�����、風(fēng)險(xiǎn)檢測(cè)�����、安全策略)和安全運(yùn)營(yíng)(入侵檢測(cè)�����、安全響應(yīng)、溯源分析�����、威脅狩獵)�����,在這四個(gè)環(huán)節(jié)通過(guò)各種工具和手段來(lái)落地安全實(shí)踐����。
1.Dev-Build Time開(kāi)發(fā)階段安全
在軟件開(kāi)發(fā)生命周期的早期即開(kāi)始安全測(cè)試,提早感知識(shí)別網(wǎng)絡(luò)威脅���,阻斷攻擊線��,從根源保護(hù)應(yīng)用系統(tǒng)安全�����,同時(shí)��,通過(guò)鏡像掃描�,保護(hù)鏡像安全���,把安全無(wú)縫的集成到敏捷開(kāi)發(fā)中���。
>> 卡點(diǎn)安全左移
如何將安全嵌入,實(shí)現(xiàn)安全前置���?青藤蜂巢·云原生安全平臺(tái)��,基于“一二四”云原生安全體系�����,通過(guò)安全左移為整個(gè)CI/CD管道提供安全防護(hù)���。胡俊特別提到了 “通過(guò)卡點(diǎn)來(lái)落地安全流程”的理念:新的安全卡點(diǎn)貫穿整個(gè)開(kāi)發(fā)環(huán)節(jié),運(yùn)用“準(zhǔn)入”��、“準(zhǔn)出”的模式進(jìn)行管控��,其中“準(zhǔn)入”是從開(kāi)發(fā)到進(jìn)入鏡像倉(cāng)庫(kù)之前的階段���,“準(zhǔn)出”則是從鏡像倉(cāng)庫(kù)到鏡像拉取����、再到運(yùn)行時(shí)的階段。
“準(zhǔn)入”和“準(zhǔn)出”卡點(diǎn)流程可進(jìn)一步分解為:基礎(chǔ)鏡像檢查(惡意文件���、敏感信息�����、應(yīng)用漏洞)——保證基礎(chǔ)鏡像安全之后���,通過(guò)本地靜態(tài)安全測(cè)試,進(jìn)入業(yè)務(wù)鏡像(業(yè)務(wù)鏡像涉及兩方面:一是鏡像的構(gòu)建安全�����,一是業(yè)務(wù)鏡像的安全檢測(cè))——真正進(jìn)入測(cè)試環(huán)境����,進(jìn)行動(dòng)態(tài)檢測(cè)(集群風(fēng)險(xiǎn)檢查、應(yīng)用風(fēng)險(xiǎn)檢查�、微服務(wù)檢查等)——滲透測(cè)試環(huán)節(jié),正式上傳鏡像倉(cāng)庫(kù)——完成部署上線����。
>> 鏡像安全檢查
鏡像的安全檢查是Dev開(kāi)發(fā)階段的重中之重�。如何在第一時(shí)間了解鏡像問(wèn)題所在�?基礎(chǔ)的是通過(guò)集成安全能力���,集成到CI/CD工具中�,發(fā)現(xiàn)鏡像安全問(wèn)題和安全配置問(wèn)題����,通過(guò)把檢查結(jié)果jenkins集成、harbor集成到安全工具當(dāng)中�����,來(lái)幫助開(kāi)發(fā)人員發(fā)現(xiàn)鏡像問(wèn)題�。
鏡像檢查的過(guò)程應(yīng)用于Build、Test����、Release、Deploy等多個(gè)流程中:第一在Build階段�,要與CI工具相集成,調(diào)用鏡像掃描的能力�,對(duì)鏡像進(jìn)行相關(guān)掃描;第二是對(duì)鏡像倉(cāng)庫(kù)中所有環(huán)節(jié)的鏡像進(jìn)行持續(xù)性���、周期性的掃描(比如檢查病毒木馬�、WebShell、安全補(bǔ)丁����、應(yīng)用組件漏洞等);第三是對(duì)宿主機(jī)本地鏡像進(jìn)行掃描�,保證實(shí)際運(yùn)行中的鏡像是安全的。
除了鏡像掃描能力外�,還需要加強(qiáng)鏡像構(gòu)建、檢測(cè)的能力:比如動(dòng)態(tài)安全風(fēng)險(xiǎn)檢測(cè)����,對(duì)測(cè)試環(huán)境進(jìn)行動(dòng)態(tài)檢測(cè),對(duì)運(yùn)行的應(yīng)用是否存在漏洞��、木馬���、敏感信息等進(jìn)行檢測(cè)����,以及微服務(wù)的自動(dòng)發(fā)現(xiàn)與漏洞掃描���。
2.Ops-Run Time運(yùn)行時(shí)安全
自適應(yīng)安全理念是一種以檢測(cè)為主的思路�����,以“工作負(fù)載”進(jìn)行持續(xù)的監(jiān)控和分析為核心���,來(lái)完成運(yùn)行時(shí)的安全閉環(huán)����?�?梢暬墓ぷ髫?fù)載分為兩部分�,一是對(duì)云原生工作負(fù)載本身進(jìn)行細(xì)粒度的清點(diǎn)��,幫助安全人員了解運(yùn)行的容器�、容器內(nèi)運(yùn)行的WEB原理、數(shù)據(jù)庫(kù)應(yīng)用等��,二是對(duì)容器工作負(fù)載之間的訪問(wèn)關(guān)系進(jìn)行梳理����,進(jìn)一步了解業(yè)務(wù)間的調(diào)用關(guān)系,鎖定攻擊范圍���,輔助策略生成��。
運(yùn)行時(shí)階段中的微隔離��、入侵檢測(cè)���、安全響應(yīng)����、溯源分析和威脅狩獵是核心環(huán)節(jié)�����,每個(gè)環(huán)節(jié)環(huán)環(huán)相扣�。
>> 微隔離
保護(hù)關(guān)鍵資產(chǎn)、用戶數(shù)據(jù)免受惡意攻擊最基礎(chǔ)有效的方法是微隔離���。業(yè)務(wù)訪問(wèn)關(guān)系愈加復(fù)雜���,工作負(fù)載數(shù)量加劇,更加智能的隔離系統(tǒng)隨之被引用���。微隔離技術(shù)是最早的一種對(duì)零信任的具體技術(shù)實(shí)現(xiàn)�,有別于傳統(tǒng)防火墻的隔離作用,微隔離主要梳理容器內(nèi)東西向的網(wǎng)絡(luò)訪問(wèn)關(guān)系���,使集群內(nèi)的訪問(wèn)可見(jiàn)�、可控����,通過(guò)微隔離實(shí)現(xiàn)集群內(nèi)部、外部的網(wǎng)絡(luò)訪問(wèn)控制����,暨阻止攻擊者進(jìn)入網(wǎng)絡(luò)中心����。
>> 入侵檢測(cè)
在微隔離技術(shù)的保護(hù)下,第二輪防護(hù)來(lái)自于對(duì)風(fēng)險(xiǎn)的入侵檢測(cè)�����。入侵檢測(cè)分為三個(gè)層次�����,即已知威脅檢測(cè)�、惡意行為檢測(cè)����、異常檢測(cè)�。其中已知威脅檢測(cè)是針對(duì)容器內(nèi)的文件、代碼��、腳本等進(jìn)行已知特征的檢測(cè)�;惡意行為檢測(cè)是對(duì)于惡意行為模式的定義,對(duì)容器及編排工具內(nèi)的黑客攻擊行為進(jìn)行實(shí)時(shí)檢測(cè)���;異常檢測(cè)則是對(duì)容器內(nèi)進(jìn)程����、網(wǎng)絡(luò)等行為進(jìn)行學(xué)習(xí)建立模型����,從而發(fā)現(xiàn)異常入侵行為。
>> 安全響應(yīng)
經(jīng)過(guò)對(duì)異常事件的檢測(cè)發(fā)現(xiàn)失陷容器�,從而快速進(jìn)行安全響應(yīng),把損失降到最低����。在青藤蜂巢·云原生安全平臺(tái)上,在控制容器端采用隔離容器�����、暫停容器等方式,在控制容器內(nèi)行為端�,采用阻斷進(jìn)程、隔離文件�、封禁IP等方式,在控制容器的網(wǎng)絡(luò)訪問(wèn)端�����,不允許有問(wèn)題的工作負(fù)載進(jìn)行訪問(wèn)和被訪問(wèn)�����。
>> 溯源分析和威脅狩獵
通過(guò)持續(xù)的安全運(yùn)營(yíng)����,對(duì)失陷容器進(jìn)行溯源分析��,找到受影響范圍和入侵路徑���,不斷進(jìn)行威脅狩獵�,主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中的惡意數(shù)據(jù)及潛在的威脅行為����?��;谌恕⒐ぞ吆蛿?shù)據(jù)端三方面��,做到全面安全防御�;再者,收集容器的相關(guān)行為數(shù)據(jù)����,以ATT&CK框架為模型,通過(guò)大數(shù)據(jù)工具來(lái)持續(xù)做安全威脅分析��。
三����、結(jié)語(yǔ)
最后,總結(jié)來(lái)看����,隨著云原生技術(shù)的升級(jí),尋找到與云原生安全匹配的安全模式是關(guān)鍵����;在云原生安全全生命周期階段�����,都要建立系統(tǒng)性的防護(hù)體系��。
作為云原生安全領(lǐng)軍企業(yè)��,青藤云安全是云原生安全的堅(jiān)定維護(hù)者��,青藤“一二四”云原生安全體系是新一代網(wǎng)絡(luò)安全防護(hù)架構(gòu)�����,打造出“事前防御”���、“事中監(jiān)測(cè)”、“事后溯源”全方位聯(lián)動(dòng)的護(hù)城河����,做到了“看得清、管得了����、防得住����、能融合”��,為行業(yè)用戶提供容器資產(chǎn)清點(diǎn)�����、鏡像掃描�����、入侵檢測(cè)���、合規(guī)基線等安全服務(wù),構(gòu)筑云原生安全防護(hù)線��。
未來(lái)���,青藤云安全將會(huì)繼續(xù)完善云原生安全產(chǎn)品線及解決方案�,推動(dòng)“一二四”云原生安全體系理念在多個(gè)行業(yè)的全面落地�����,助推云原生生態(tài)升級(jí)。
