洞見RSA2022 | 雲原生安全劍指敏捷、彈性、輕量化

一年一度的網路安全行業盛會RSA Conference於舊金山時間6月6-9日在美國召開，今年大會主題為Transform（轉型），該主題與我國十四五規劃的關鍵詞——“數字化轉型”不謀而合。值得一提的是，以容器、微服務、DevOps、服務網格為代表的雲原生技術在助力企業數字化轉型的過程中得到了廣泛應用。

雲原生技術的大量應用也為企業安全帶來了新的挑戰。一方面傳統安全威脅並沒有因新技術的應用而消失，而傳統安全防護能力卻因為新技術應用而失效；另一方面新技術帶來了諸如容器逃逸等新問題。從本次有多家雲原生安全廠商入選RSA2022創新沙盒十強，可以看出安全問題是雲原生技術發展的熱點問題。

一、雲原生安全廠商技術分析
No.1
Lightspin
利用彈性、敏捷、輕量化的雲原生特性提升產品迭代速度是企業數字化轉型的重要驅動力，產品快速迭代帶來的一個問題是安全防護措施跟不上業務迭代速度。伴隨著微服務的普及，大量單體應用被拆分成若干業務容器，容器部署的規模與虛擬機器相比上漲數十倍，同時大量的配置合規、漏洞修復問題，以及每時每刻產生的安全告警事件佔據了運維人員大量精力，增加了企業在安全上的成本投入。

Lightspin攻擊路徑展示

對於雲原生場景下的安全運維效率提升問題，Lightspin提供了一些新穎的思路。Lightspin通過SaaS方式提供了雲原生場景下的DevOps全生命週期安全防護方案，保護包括AWS、Azure、GCP、K8s在內的雲環境安全。其核心防護思想是藉助視覺化手段對雲環境中的安全問題進行上下文關聯分析，並標註需要關注問題的優先順序。安全團隊可以藉此從入侵者視角看到其攻擊路徑和優先順序，通過聚焦高優先順序風險的方式最大限度地提高工作效率。

Lightspin使用了無代理技術，通過公有云或kubernetes提供的API週期性獲取相關資產和配置資訊，並將雲上資產和風險進行關聯對映到圖形資料庫中。通過分析整個環境的上下文資訊後，產品會為運維人員提供攻擊者視角入侵路徑的展示，直觀展示環境中的問題。除攻擊路徑展示外，藉助視覺化技術還可以直觀發現孤兒資產、多例項共用ssh祕鑰等安全問題。在問題修復方面，Lightspin提供了一鍵修復功能。結合官網材料可以看出，其主要方式是提供現成的Terraform或JSON檔案，使用者只需單擊一下，即可解決發現的問題。

No.2
Araali Networks
在安全運維過程中，系統和應用漏洞的及時修復對預防可能發生的攻擊相當重要，但是由於一些客觀原理，導致漏洞修復工作困難重重，例如：待修復的漏洞和資產太多、漏洞修復需要重啟裝置導致服務中斷、無法評估補丁修復方案對業務的影響等。

Araali Networks防護模式示意圖

Araali提出了彈性補丁的概念，Araali在環境中部署一個叫Araali-FW的模組，該模組作為守護程式採用eBPF技術動態感知應用的行為(程式啟動、檔案操作、網路連線)並生成防護策略，策略可以匯出並和應用進行繫結。在應用防護策略之後，Araali-FW便會對限制系統應用行為，因此即使黑客已經攻入系統，也無法執行其他操作。

除漏洞修復問題外，雲原生場景下的另一個挑戰是訪問控制問題，雲上無密碼互訪是使用者剛需，而現實情況是雲上這類服務一般是基於雲廠商提供的IAM產品實現，並且這僅限於雲服務提供商自身的產品。而對於雲上客戶自身業務互訪或業務對外訪問時，則採取配置安全組的方式實現。在複雜的業務場景下，安全組的管理變得異常複雜，由於安全組是人為的策略配置，也可能導致配置錯誤產生新的安全問題。Araali使用eBPF控制元件自動檢測應用程式需要互訪的物件，並生成最小化的訪問控制策略。後續將策略和應用進行繫結，通過eBPF強制限制執行該策略。

在雲原生場景下，容器業務相對單一，容器行為也更容易收斂，因此非常適合使用該技術做異常行為的學習並自動生成規則。通過對不符合預期的行為進行阻斷來進行安全防護。不過在真實落地過程中，由於eBPF對核心要求較高，因此此項技術在普適性上仍存在缺陷。

No.3
Cado Security
雲原生技術的大量運用，帶來的另一個問題是做安全取證的難度變大，如何從大量資料中快速篩選出有價值的資訊是一大難題，本次創新沙盒十強廠商Cado Security通過呼叫API這種無代理方式採集AWS和Azure兩大雲平臺資訊，並自動對EC2例項、kubernetes服務和檔案系統、虛擬機器磁碟、容器和無服務環境，以及本地環境進行自動化調查取證。

Cado Response關鍵元件互動

Cado Security通過自研的自動化採集工具實現在較短時間內完成取證過程，並通過視覺化的方式對看到的可疑行動進行標記和展示。得益於機器學習和威脅情報的基礎能力，取證結果支援自動識別威脅活動，並標註告警。當發現可疑活動後，其告警頁面有具體響應的告警活動。得益於其豐富的情報資料，使得Cado Response支援多維度的搜尋及上下文管理，Cado Response支援對日誌、磁碟、記憶體、程式及歷史互動命令等情報資料進行採集，採集的資料安全儲存（支援許可權控制和備份機制）後，安全團隊或分析員只需在UI上直接調查雲威脅活動。

二、綠盟雲原生安全解決方案

產品全生命週期防護方案

雲原生具有彈性、敏捷、快速迭代的特點，對應的安全防護能力也必然需要完全適應這一特性，並且要融合到DevOps流程中，對軟體開發、測試、上線、運維的全生命週期安全防護。而多數傳統安全裝置由於只能解決單點安全問題，缺乏彈性擴充套件、環境感知、上下文關聯分析、融入DevOps等能力，因此無法滿足雲原生場景的安全防護需求。

綠盟科技自2017年起對雲原生安全進行研究，期間釋出多份雲原生安全相關技術報告，並於2020年正式推出綠盟雲原生容器安全產品，致力於解決在雲原生場景下的容器全生命週期安全問題，下面綠盟君將就此方案做進一步分享。

No.1
部署形態

產品部署示意

在產品部署形態上，不影響客戶業務是產品設計的最基本要求。綠盟雲原生容器安全產品的安全能力採用雲原生的部署模式而非主機上Agent方式，通過這種方式的防護能力與客戶環境耦合度很低，並且使用客戶容器雲平臺自身的規則限制安全能力執行許可權和資源使用。當需要解除安裝安全能力時，也能通過雲原生的方式做到100%乾淨解除安裝。在客戶業務規模發生變化時，產品可藉助容器編排系統實現安全能力動態縮容或擴容。

No.2
安全檢測與防護
防護能力主要包含配置與漏洞管理、工作負載防護兩部分。
配置與漏洞管理主要包括以下三個方面：
1、檢測映象/容器/編排基礎設施中存在的安全合規、漏洞掃描、惡意檔案、敏感資訊問題。
2、阻斷風險映象上傳到映象倉庫。
3、阻斷映象例項化為容器。

工作負載防護措施主要包括以下三個方面：

黑客入侵路徑示意圖

1、網路威脅檢測方面：通過運用綠盟科技在流量檢測方面的優勢能力，創新性地實現了容器間東西向流量的威脅檢測能力，實時發現黑客的橫向滲透行為。

2、系統入侵層面：藉助綠盟科技在安全攻防方面的理解與研究，實現了基於規則的系統入侵檢測。同時對於一些0day攻擊也採用了和Araali類似的技術思路，通過對容器行為分析建模，讓容器始終以最小化許可權執行。當發現非預期行為時，及時告警或阻斷。

3、訪問控制方面：傳統基於IP地址的隔離手段在雲原生場景下已經失效，基於標籤、映象、業務的策略配置方式才能更貼合客戶實際需求，綠盟科技通過自研微隔離技術，實現貼合客戶業務場景的策略配置模式及隔離策略跟隨客戶業務變化跟隨能力，解決了原生NetworkPolicy依賴網路外掛、無法調整優先順序、配置邏輯複雜等問題。同時針對API的訪問控制，綠盟科技提供了不同業務間的7層訪問控制，客戶只需關注上層微服務之間的7層訪問關係，無需關心承載業務的容器。

No.3
安全運維
在產品安全運維使用方面，多數客戶採用多雲、多叢集的策略，每個業務部門部署了一個或多個容器叢集，這無疑增加了安全運維的複雜度和工作量。綠盟雲原生安全產品通過對策略和日誌進行叢集和NameSpace級別的隔離，實現各個業務部門可以使用統一的安全管理平臺管理業務部門叢集的能力。在提升安全事件閉環效率方面，通過安全事件的IP或程式資訊直接關聯所屬叢集、主機、容器、映象、程式上下文資訊等，降低安全事件閉環時間，提升安全運維效率。

當前雲技術已經從資源“池化”發展到了雲原生化階段，隨著雲原生技術的普及和大量應用，與之配套的安全防護產品也必須滿足敏捷、彈性、輕量化特性才能適應雲原生場景下的防護需求，並需要通過融入到DevOps流程的方式提升企業安全建設和運維水平。綠盟科技通過將多年沉澱的攻防能力應用到雲原生場景並持續探索雲原生場景下的新型攻防手段，為客戶提供全面、可靠、可用的雲原生安全解決方案。