電網攻擊頻發，雲原生架構正在成為眾矢之的

2010-2022年，國際相繼發生了“伊朗震網事件”、“烏克蘭斷電事件”、“委內瑞拉國家電網攻擊事件”等多起重大資訊保安事件。

一系列安全事件均表明電網攻擊非常普遍，電力行業已成為網路安全新戰場，安全建設的重要性越發凸顯。我國是世界上最早重視電力網路安全並且大規模開展防護部署的國家之一，國家陸續 釋出了相關配套檔案，並組織開展網路安全實戰演習， 對電力行業安全建設提出了更高的要求。

圖1 電力行業網路安全相關法規

與此同時，電力企業作為國家關鍵基礎設施，在數字化轉型過程中，紛紛開啟了上雲步伐，雲原生憑藉其技術優勢和不斷擴充的應用場景，逐漸普及到電力行業的敏捷開發和業務創新中。可以說“雲原生正在吞噬一切”。然而，電力行業在享受雲原生所帶來的優勢的同時，也面臨著更多的網路安全風險，其中不乏一些新型的APT網路攻擊，因此 電力企業面臨的網路安全形勢更為嚴峻。

圖2 電力行業常見的網路攻擊

1、防護邊界和資產識別的變化，使得安全更復雜

與傳統架構相比，雲原生環境中網路邊界變得更加模糊。如圖3所示，在電力企業傳統的資料中心環境中，系統的邊界非常清晰，以網路裝置上的邊界為主。外部邊界由防火牆、路由器等實現。而內部邊界則透過虛擬區域網等措施來保證。但是在 雲原生環境下，資產視角變成了業務視角和應用視角，主要是透過名稱空間來分隔，而識別資產的方法主要是標籤，所以整個邊界變得模糊，使得安全控制和管理更加複雜。

圖3 不同資料中心環境防護邊界的變化

2、高度流程化、自動化，安全和效率需平衡

DevOps保證了雲原生應用的釋出效率，但安全建設往往與效率相沖突。在非全自動化流程中，傳統安全措施對效率的影響可能並不明顯。但是在雲原生環境中，DevOps是雲原生應用的生命週期管理過程，安全控制需要無縫嵌入到這個過程中，也就是目前比較流行的DevSecOps。DevSecOps作為一個大系統，除了程式碼安全測試，還應該包括產品庫安全管理、運營安全策略等。因此， 在DevOps流程中嵌入雲原生安全產品或工具成為必須，與此同時也帶來了安全和效率相互平衡的問題。

3、全新的攻擊手段，安全攻防不對等

目前針對雲原生的攻擊種類越來越多。無論是兩年前爆發的特斯拉叢集入侵，還是容器官方映象倉庫中毒，抑或是近幾年的攻防演練都是透過攻擊容器得分，這種趨勢已經被證實。2022年，針對雲原生系統的攻擊開始增多。目前， 電力行業的容器安全建設正在穩步推進，但針對容器安全領域的攻防不對等比其他架構嚴重得多。

在這樣的背景下，青藤基於多年實戰化攻防演練的經驗，不斷升級迭代方案，正式推出升級版 《容器安全實戰化解決方案V2.0》，感興趣的讀者可 掃碼領取電子版方案。

1、案例背景

某電力企業以電網建設、管理和運營為核心業務。隨著公司數字化轉型的推進，各類關鍵業務均採用容器技術進行構建，其中包括：新一代電力交易、供服指揮、新一代應急指揮、統一應用門戶等。底層IaaS提供的節點近千個，執行容器數萬個，涉及的叢集近百個，承載的資料庫業務應用數百個。

2、解決方案

接下來我們以該公司容器安全建設為例，看看電力企業雲原生應用領域安全場景方案。

該公司以青藤蜂巢·雲原生安全平臺作為整體技術解決方案， 從雲原生環境的工作負載可觀測、開發環節的安全左移、執行時持續監控和響應等全生命週期安全流程出發，全面保護企業業務安全穩定執行。整體安全方案如下所示：

圖4 雲原生應用領域網路安全創新場景方案

（1）資產視覺化，做好風險防範和威脅定位

該方案可以保護所有涉及容器安全的物件，包括容器資產、程式埠資產、Kubernetes資產、應用資產等。在每個資產物件的保護方案中，考慮資產清點、加固、檢測、響應、預測的安全框架，形成安全執行的閉環。

在日常的安全運營中，透過清楚的梳理業務中有多少個叢集，叢集中有多少名稱空間和控制器，執行了多少容器，是由什麼映象執行起來的，容器具體跑了哪些程式，監聽了哪些埠。在遇到入侵事件的時候，就能夠很清晰的知道失陷位置，以及可能覆蓋的影響範圍。

（2）流程敏捷化，平衡安全建設和業務效率

基於安全向左移動的思想，該方案實現了DevSecOps。也就是說，在軟體研發階段，會同步介入敏捷化安全檢查。透過支援軟體全生命週期多個卡點，可以儘早暴露風險。安全卡點包括檔案掃描、映象安全掃描、映象構建入庫、映象操作攔截等。透過安全向左移動，實現映象問題檢查，這樣可以儘早發現問題，有助於降低運維成本。

圖5 安全左移解決方案

（3）監測智慧化，及時發現和解決安全威脅

該方案的獨特之處是將視角從瞭解駭客的攻擊方式，轉化成對內在指標的持續監控和分析，不但 能夠對已知特徵威脅進行檢測，也能對惡意行為進行檢測，還能進行異常檢測。透過結合系統規則、白名單、基準和行為建模， 可以自適應識別執行時容器環境中的威脅。同時，透過收集容器行為資料(程式啟動日誌、API呼叫行為日誌等)， 結合ATT&CK模型、大資料工具進行威脅分析，確定攻擊影響範圍和⼊侵路徑，快速響應處置威脅。

圖6 實時檢測容器中的已知威脅、惡意行為、異常事件

• 基於已知特徵的威脅檢測

可對容器內的檔案、程式碼、指令碼等進行已知特徵的檢測，可實時發現容器中的病毒、挖礦、webshell等已知威脅。

• 基於惡意行為的檢測

基於對惡意行為模式的定義，對容器及編排工具內的駭客攻擊行為進行實時檢測，檢測容器內無檔案攻擊、容器逃逸行為、K8S API惡意行為等。

• 基於異常行為的檢測

針對重要的容器靶機、叢集系統進行提前學習，形成穩定的模型，一旦發現異常程式啟動、異常埠監聽、異常網路連線和異常檔案操作就立即報警。

1、防禦能力的有效性

對於始終試圖破環我們的駭客來說，電力企業的安全建設必須更具主動性，如果你無法實時阻止攻擊，則需要對容器執行時進行監控，這可以有效處理未知威脅和已知威脅。並透過對齊MITRE的ATT&CK框架，增強安全事件分析能力，提高防禦能力的有效性。

2、安全的左移

在軟體生命週期中，安全左移的舉措是將更多的安全投入到開發階段。在電力企業雲原生環境中，業務需要頻繁調整和上線。安全左移的思想不僅能使DevOps團隊及早發現安全風險，還能減少安全投入，提高整體安全水平，確保及時解決安全威脅。

3、面向雲原生業務的全生命週期管理

電力企業在進行雲原生改造中，不應該把開發和運營看作兩個獨立的部分，應該轉變思維，將安全性和合規性視為跨越開發、運維和安全的連續統一體，形成整體的DevSecOps解決方案。透過在整個開發生命週期中綜合考慮漏洞及其執行環境，可以發現更多的風險。

在數字化建設過程中，以“電力+算力”帶動能源行業轉型升級，促進經濟社會高質量發展，已成為電力行業主要社會任務。在此過程中，電力行業的雲原生應用程式不斷提速。可預見，未來容器、容器叢集將成為電力行業最重要的IT基礎設施。電力行業不管是在真實網路實戰中，還是在相關的攻防演習中，以容器為代表雲原生基礎設施都將是攻防雙方必爭之地。因此加強電力行業雲原生安全防護顯得尤為重要。