信通院聯合綠盟科技等釋出業界首份《雲原生架構安全白皮書》

由中國資訊通訊研究院主辦，雲端計算開源產業聯盟、雲原生產業聯盟、雲原生計算基金會（CNCF）支援的2021“雲原生產業大會” 於2021年5月26日在京召開。大會中，中國資訊通訊研究院正式公佈了首個雲原生成熟度標準體系，並重磅推出業界首份《雲原生構架安全白皮書（2021年）》，包括綠盟科技在內的八家雲端計算和安全單位共同參與了白皮書編寫和制定。

隨著各行業數字化轉型的加速，雲端計算成為驅動數字經濟發展的重要力量，雲原生憑藉快速部署、彈性、可擴充套件性等特性，在越來越多的領域落地應用。雲原生已經從概念普及期走入快速發展期。過去幾年中，以容器、微服務、DevOps為代表的雲原生技術正在被廣泛採納。統計資料顯示，2020年43.9%的國內使用者已在生產環境中採納容器技術，超過七成的國內使用者已經或計劃使用微服務架構進行業務開發部署。

雲端計算產業快速發展的同時，雲原生安全問題也開始凸顯，架構防護、訪問控制、供應鏈、研發運營等領域均面臨新的安全挑戰。《白皮書》從雲原生計算環境、微服務、Serverless、DevOps、API等方面，深入分析雲原生帶來的新的安全風險，指出容器共享作業系統程式級隔離環境增加逃逸風險，服務例項應用週期變短增加監控和溯源難度等問題。

《白皮書》指出，雲原生安全所保護的物件是指以容器技術為基礎底座，以DevOps、面向服務等雲原生理念進行開發並以微服務等雲原生架構構建的業務系統共同組成的資訊系統。雲原生安全和傳統安全、雲安全不同，重點關注容器、容器執行時以及應用微服務、無服務形態的安全。

基於對雲原生架構的理解，《白皮書》從雲原生基礎設施安全、雲原生計算環境安全、雲原生應用安全、雲原生研發運營安全、雲原生資料安全、API安全、安全管理等七大方面，全視角、系統化剖析雲原生架構安全防護體系。為雲原生架構安全提供了標準化的指導意見。

綠盟科技雲原生安全實踐

綠盟科技早在2019年就開始投入雲原生安全領域研究，併發布《雲原生安全技術報告》。同時於2020年10月釋出首款雲原生安全產品——綠盟科技容器安全管理系統。方案基於DevSecOps理念，藉助容器編排技術，保障容器在構建、部署和執行的整個生命週期的安全。從容器映象、容器編排環境、容器執行幾個階段，透過檢測、掃描等手段發現安全風險和安全漏洞，並透過策略等手段阻斷風險映象啟動，隔離異常容器，進行訪問控制，為客戶提供安全穩定的容器執行環境。

綠盟科技容器安全管理系統

方案從五大場景，解決容器安全管理中的問題。

1、資產視覺化管理

使用者可對容器環境資源進行全域性掌控，理清環境中的資產資訊以及關聯關係。

2、映象風險管理

發現映象存在的安全漏洞、惡意檔案、敏感資訊洩露、違規歷史命令等。有效阻止不安全映象例項化成容器帶來安全風險。

3、容器執行時安全管理

對容器執行中存在的讀取敏感檔案、反彈連結、掛載非法裝置等異常行為進行檢測，預警安全風險，及時停止危險容器執行。透過網路策略，控制不同業務之間的訪問，抑制風險，對異常容器進行隔離，避免風險橫向擴散。

4、合規性檢測

基於CIS Docker和K8S benchmark，對Docker守護程式配置、Docker守護程式配置檔案、容器映象和構建、容器執行安全、Docker安全操作的六大項，99個控制點進行合規配置檢查，避免不合理配置帶來安全風險

5、微服務和API風險管理

對微服務進行自動發現和安全掃描，發現微服務和API存在的安全風險。

方案將各種安全能力與DevOps流水線相結合，從持續整合、持續部署和執行時進行安全防護。

1、映象構建階段：對映象進行漏洞掃描、惡意檔案檢測、敏感資訊檢測、以及歷史執行命令審計；

2、容器部署階段：透過安全策略阻止存在風險的映象例項化；

3、容器執行階段：對主機和編排工具進行安全配置核查；檢測容器執行時產生的異常行為；透過容器網路策略實現訪問控制，隔離異常容器；阻斷異常容器執行；對微服務和API進行漏洞檢測。

本方案為容器提供從構建，到部署，到執行的全生命週期保護，最終實現應用系統的安全執行。

容器全生命週期保護

雲原生作為新型基礎設施，是支撐企業數字化轉型的重要技術。未來，綠盟科技會在雲原生安全領域持續加強研究投入，不斷提升安全能力，為企業的數字化轉型提供越來越完善的安全保障。