雲端計算發展將近二十年,已然進入了新的階段:雲原生時代。以容器、服務網格、微服務等為代表的雲原生技術,正在影響各行各業的IT基礎設施、平臺和應用系統,也在滲透到如IT/OT融合的工業網際網路、IT/CT融合的5G、邊緣計算等新型基礎設施中。
理解雲原生體系存在的新架構、新風險和新威脅,有助於構建面向新型IT基礎設施的安全防護機制;利用雲原生的先進技術,融合到當前的攻防體系中,也有助於我們提升整體安全防護的彈性、適應性、敏捷性。
綠盟科技在2018年釋出了《容器安全技術報告》,報告詳細分析了容器技術所面臨的風險和安全挑戰,介紹了安全左移思路下的安全基線、映象安全等內容,給初建容器安全的機構一些有益的建議。近年隨著編排技術、無服務和服務網格等技術的快速發展,綠盟科技將重點放在了整個雲原生生態體系的安全研究上。
鑑於此,綠盟科技釋出《雲原生安全技術報告》,本報告較為全面地分析了雲原生落地所面臨的安全風險和威脅,進而提出了雲原生的防護思路和安全體系。
本報告核心內容如下
1. 安全問題成為影響雲原生落地的重要因素
隨著雲原生越來越多的落地應用,其相關的安全風險與威脅也不斷的顯現出來。Docker/Kubernetes等服務暴露問題、特斯拉Kubernetes叢集挖礦事件、Docker Hub中的容器映象被“投毒”注入挖礦程式、微軟Azure安全中心檢測到大規模Kubernetes挖礦事件、Graboid蠕蟲挖礦傳播事件等一系列針對雲原生的安全攻擊事件層出不窮。安全問題成為影響雲原生落地的重要顧慮因素。
2. 容器化基礎設施面臨的安全威脅和風險不會更少
容器作為一種“輕量的虛擬化”技術,執行於“宿主機”作業系統核心之上,因此,傳統的主機安全、網路安全等安全問題依然存在。除此之外,容器的逃逸風險、容器映象的風險、虛擬化網路風險、配置風險等安全風險問題,還將成為容器化基礎設施所面臨的新的安全威脅。
3. 安全左移,更早的發現安全問題
在雲原生架構中,容器生命週期短、業務複雜、網路複雜,現有的物理或虛擬化的安全裝置無法工作,執行時的安全檢測將會投入很高成本。“安全前置”或者“安全左移”可以在軟體開發生命週期的更早階段,投入更多的安全資源,嵌入安全動作,來有效的收斂安全漏洞問題,儘可能更早的確定其安全性。
4. 雲原生安全一定是雲原生的
雲原生安全,其目標是防護雲原生環境中的基礎設施、編排系統和雲原生應用,確保業務系統雲原生化後的安全性。雲原生架構同時又有著其獨特的特性,對傳統的安全防護手段提出了巨大的挑戰。
雲原生極大程度的實現了雲的優勢,雲原生安全一定是雲原生的,也就是:使用具有云原生特性的安全技術去實現面向雲原生環境的安全。
5. 雲原生的可觀測性助力實現安全可見、可防
雲原生時代,容器化的基礎設施使得應用自身變的更快、更輕,一臺主機上可以快速部署執行幾十個、甚至上百個容器。而Kubernetes等容器編排平臺,又提供了良好的負載均衡、任務排程、容錯等管理機制。這樣,在雲原生中,一臺主機上應用的部署密度以及變化頻率,較傳統環境,有著巨大的變化。
正所謂“未知攻焉知防”,面對雲原生架構下的大規模叢集以及海量靈活的微服務應用,只有知道叢集中應用的具體操作、行為,才能夠進行高效的安全防護。
6. 微隔離實現零信任的雲原生網路安全
雲原生架構中,容器或者微服務的生命週期相比較傳統網路或者租戶網路,變的短了很多,其變化頻率要高很多。微服務之間有著複雜的業務訪問關係,尤其是當工作負載數量達到一定規模以後,這種訪問關係將會變得異常的龐大和複雜。
因此,在雲原生環境中,網路的隔離需求已經不僅僅是物理網路、租戶網路等資源層面的隔離,甚至需要服務之間應用層面的隔離。一方面需要能夠針對業務角色,從業務視角更細粒度的實現微服務之間的訪問隔離;另一方面,這種靈活快速的網路狀態變化,也需要隔離策略與訪問控制策略能夠完全自動化的適應業務和網路的快速變化,實現快速高效的管理、部署和生效。
7. Service Mesh可以有效支撐微服務安全
Service Mesh採用類似SDN的架構,透過邏輯上獨立的資料平面和控制平面實現微服務間網路通訊的管理。網格內服務傳送和接收的所有流量都經過代理,這讓控制網格內的流量變簡單,而且不需要對服務做任何的更改,再配合網格外部的控制平面,可以實現網路隔離、應用隔離、甚至是應用的API安全。
8. API安全和業務安全成為雲原生應用的重要安全威脅
雲原生應用基於微服務的架構設計,使得應用之間的互動模式轉向各類API的請求/響應,API通訊在雲原生應用互動中佔據了重要地位。API安全也成為了雲原生應用安全中尤為重要的一個部分。系統中存在哪些暴露的API服務,存在哪些API呼叫,這些呼叫是否全部是完成某個需求所必須發生的業務聯絡,是否存在API探測、API濫用,是否存在針對某個服務的拒絕服務攻擊,如何在海量的正常業務呼叫邏輯中,發現非法的異常呼叫請求。這些問題都直接影響著雲原生應用的安全性。
9. Serverless的安全風險同樣不容小覷
Serverless是雲原生架構下一種新的計算模式,在給開發者帶來便利的同時,其安全風險也備受關注。應用程式的程式碼安全、資料隱私、訪問許可權、不同服務間的隔離等,都是其面臨的重要安全挑戰。實現其安全建設,需要Serverless服務提供商、應用開發者等多方的共同努力。
10. 雲原生安全助力新基建落地安全
5G、邊緣計算、物聯網、工業網際網路等作為新基建的重要組成部分,其安全性將在一定程度上影響著新基建的落地實施。而云原生技術與架構正在成為包括5G核心網、邊緣雲等的重要實現方式之一。新基建安全不止雲原生安全,但是新基建的安全離不開雲原生安全。