洞見RSA2022|實踐NIST網路安全框架，重塑容器安全

在當今雲原生及混合雲的大背景下，容器逐步成為了微服務架構最主流的載體。容器生態系統龐大且複雜，主要包括容器映象、容器映象倉庫、容器執行時、容器編排系統、容器所在宿主機等元件。企業憑藉貫穿在CI/CD和DevOps流水線中的這些元件，可以在雲上快速構建易於擴充套件的微服務架構應用。

容器生態元件

以容器為載體進行交付的雲原生應用，從程式碼開發到容器映象例項化並對外提供服務的整個生命週期中，容器生態元件面臨著大量的攻擊向量(Attack Vectors)，如存在惡意程式碼的容器映象檔案惡意程式碼注入、在映象倉庫中儲存挖礦等不安全映象、當映象拉起至容器編排環境過程中遭到篡改從而破壞其完整性、容器編排系統的不合規配置、敏感資訊滲透、容器逃逸及東西向攻擊橫移等多種威脅。

在前不久的RSA 2022大會上，安全工程師Birat Niraula進行了一場“NIST網路安全框架視角下的容器安全”主題演講，旨在藉助NIST網路安全框架（CSF）有效緩解企業在容器化業務中的風險。NIST CSF是一個自願性框架，包含用於管理網路安全相關風險的標準、指南和最佳實踐，框架涵蓋識別、保護、檢測、響應與恢復在內的五大過程。我們透過此演講重新審視容器生態下的安全威脅與防護手段，並從上述五大過程出發，將NIST CSF引入容器安全方案，為容器生態系統中的不同元件提供相應的安全能力，逐步提升容器安全成熟度，對企業容器化業務進行全方位風險監測與安全防護。

NIST網路安全框架

1、識別
在雲環境中，容器是PaaS服務模式下的工作負載，企業需要充分了解雲安全責任共擔模型中PaaS服務模式下的安全責任與義務。另外，我們需要建立與容器有關的資產清單，明確保護物件，同時企業需要根據風險的優先順序來選擇針對容器生態的安全控制手段。

綠盟科技雲原生容器安全產品CNSP（NSFOCUS Cloud-Native Security Platform，以下簡稱：綠盟科技CNSP）透過對接K8S的控制節點，可以識別主機、容器映象、容器、名稱空間、Pod、Service、Ingress等10餘種容器相關資產，以視覺化形式呈現容器生態下多維資產的全景態勢及互訪關係，大幅度提高企業對容器環境的可見性；同時綠盟科技CNSP的Dashboard可對Pod間威脅流量進行實時展示，支援容器叢集、名稱空間維度的篩選展示。

2、保護
本階段我們重點關注CI&CD階段容器映象和倉庫防護、執行時階段工作負載的加固、容器編排元件的脆弱性管理，以及對外提供服務的訪問控制。在映象安全方面，需要根據不同風險因素對映象進行漏洞評估並判斷其是否為可信映象。針對主機、容器（工作負載）、K8S（編排系統）、Docker（執行時）分別進行安全合規檢測。相同功能的容器拉起形成例項後，K8S將其抽象為Ingress對外提供服務，這部分需要實施控制手段，防止外部透過API形式進行入侵。

綠盟科技CNSP支援對接Jenkins等DevOps主流外掛，透過平臺內建的掃描引擎和豐富的漏洞庫，可以有效發現容器映象中存在的應用漏洞、病毒木馬、敏感資料等問題，同時採用侵入性更小的原生Hook機制來判斷能否允許映象進行例項化。在容器生態安全合規層面，綠盟科技CNSP以K8S和Docker CIS Benchmark為基線執行合規性檢查以識別未達標主機、YAML編排檔案和容器叢集。

3、檢測
容器生態下的檢測主要針對兩方面：一是容器執行時階段異常行為的檢測，檢測物件包括容器啟動的程式、容器的檔案掛載、容器網路連線，以及容器對主機系統呼叫等；二是容器環境下網路攻擊的檢測，檢測物件通常為容器叢集內網路流量情況、基礎設施和應用的日誌記錄等。

綠盟科技CNSP支援將安全容器以Pod形式彈性地部署在動態變化的工作節點上，獲取並自學習所在節點的容器映象例項執行，在檔案讀寫、系統呼叫、網路連線、程式啟停等方面建立安全基線，對容器異常行為進行監控，支援基線訓練週期的自定義配置。同時，綠盟科技CNSP創新性地內建容器流量威脅檢測引擎在容器叢集中，藉助分佈在每個工作節點上的安全容器，以映象方式獲取進出宿主機上敏感Pod的網路流量，以此實現對容器環境2-7層網路攻擊的分析與發現。

4、響應
由於容器生命週期短、系統呼叫多且容器間網路互動十分複雜，需要適當的技術，如事件關聯和趨勢分析來有效減少安全事件告警噪音，以便快速定位真正安全事故所在。當發生安全事故後，建議執行預置Playbooks執行自動化安全響應，同時與容器化業務的利益相關方及時溝通和彙報。

綠盟科技CNSP提供容器環境下的微隔離(Mircro-segmentation)功能，支援flannel、calico等主流網路外掛，可按照NameSpace、Service、Pod Label等配置策略型別，據此執行相應的放行或阻斷動作。綠盟科技CNSP的管理平面支援對不同時間內的事件、事件源等設定統一的響應策略，按照優先順序執行處理動作，包括對不安全容器進行隔離、暫停等處置。

5、恢復
這一階段側重點放在企業在經歷安全事故後，如何最大限度保證容器化業務的持續性上面。企業應結合自身業務特點，建立BCP和DRP文件並定期執行桌面演練或穿行測試以驗證其有效性。

定位於雲原生安全領域的綠盟科技CNSP，透過與容器編排工具整合，以容器化形式快速交付針對容器生態的安全能力，同時根據業務節點的變化實現自適應地安全能力擴容，助力企業在NIST網路安全框架下實現對容器化業務的安全風險管理，減少容器威脅暴露面，保障容器化應用的全生命週期安全。