胡俊：金融行業雲原生化轉型中的安全新思路

近日，由中國資訊通訊研究院主辦的2023（第六屆）金融科技產業大會在北京國際會議中心召開。會上， 中國信通院雲大所與青藤雲安全達成戰略合作，護航金融雲穩健安全發展。 青藤雲安全聯合創始人&產品副總裁胡俊出席大會，並發表《金融行業雲原生化轉型中的安全新思路》主題演講，深入剖析了業務雲原生化轉型過程中安全挑戰，重點闡述了青藤先進雲安全方案-CNAPP的核心能力和應用價值。

金融行業雲原生化轉型的背景

根據中國人民銀行印發的《金融科技發展規劃(2022-2025年)》相關檔案，對打造新型數字基礎設施提出了更高目標， 要求加快雲端計算技術規範應用，穩妥推進資訊系統向多節點並行執行、資料分佈儲存、動態負載均衡的分散式架構轉型，實現敏態與穩態雙模並存、分散式與集中式互相融合 。

為更好響應和滿足該規劃的要求，各個金融機構都在積極進行雲原生化的轉型。基於雲原生技術進行應用開發，可以“無視”傳統硬體基礎設施的差異，提升資源利用率，同時，透過微服務來適應業務需求，也提升業務的敏捷變化，使得開發效率提升。

圖1 業務雲原生化的優勢和價值

雲原生給業務帶來便利性同時，也給安全帶來了全新的挑戰，新的技術引入了新的安全防護物件，例如在雲原生轉型過程中，會引入容器、微服務、宣告式API以及服務網格等一系列技術，這些新技術也會帶來新的安全挑戰。

在雲原生化的改造過程中，擺在組織面前的首要問題正是安全問題。企業在技術和組織上面臨著以下兩方面新的挑戰。

（ 1 ）技術挑戰

雲原生引入了大量新的基礎設施，安全防護物件發生了顛覆性變化，容器及容器雲逐漸成為工作負載的主流。容器還帶來了相關的新技術，比如映象使用和管理、新的應用執行時的環境配置、新的通用網路介面等。這些新技術會帶來新的安全問題，比如容器逃逸、基礎映象安全問題、微服務框架安全問題等等。

圖2 雲原生引入新的安全挑戰

雖然雲原生引入 了新的技術棧，但是傳統I T環境中很多 攻擊手段在雲環境中仍然適用。 因為容器本質上仍然只是一個程式，只不過採用了namespace、cgroup等輕量的虛擬化技術進行隔離。

總得來說，雲原生讓安全風險敞口更大，安全挑戰更大，既需要應對傳統攻擊手段，也需要應對一些雲原生場景特有的安全問題。

（ 2 ）組織挑戰

在雲原生時代，安全職責劃分需要重新考慮，同時責任主體也需要有所調整，從開發團隊、運維團隊、安全團隊的各司其職，轉變成責任共擔，並透過組織流程讓各責任主體協同起來。

圖3 安全組織模式待調整

在現代開發環境中，安全流程的自動化是關鍵。快速的 CI/CD 開發沒有為流程的人工審查留出時間，而是需要進行自動化安全測試。此外，開發人員不是安全專家，他們只有少量的時間用在安全流程上，因此需要有嵌入式的安全工具，輔助開發人員完成安全檢測。構建和執行安全工具並非易事，特別是在大型組織中，不同開發團隊的需求差別很大。為了提高自動化水平，一些組織建立了專門的安全工程團隊，專注於建立內部工具和整合外部工具。

先進雲安全方案-CNAPP

總得來說，雲原生環境下，面對這些技術挑戰和組織挑戰，大多數傳統安全工具根本無法解決這些挑戰。根據CSA聯盟釋出的《2022年度-雲端計算的11類定級威脅》報告，78%的組織確認傳統安全解決⽅案在其雲環境中根本不起作用或功能有限。

圖4 傳統安全方案在雲環境中效果調查情況

傳統雲安全方案基於硬體產品虛擬化，僅解決了部分流量安全的問題。此外，雲安全資源池沒有利用雲端計算基礎設施的技術，還是傳統的閘道器技術，無法解決新型的雲端計算元件安全問題，主要問題可以概括為以下幾點：

• 難以適配雲和雲原生環境

• 高度碎片化導致效率低下

• 安全能力迭代演進緩慢

• 難以融合到業務全生命週期

為此，國際諮詢機構Gartner提出了一個全新概念 CNAPP（Cloud Native Application Protection Platforms），中文全稱“雲原生應用保護平臺”。根據其英文名字組合分析來看，有三個關鍵詞：

• Cloud ： 強調安全方案要能解決雲的威脅問題，要能適配雲環境本身動態變化。

• Native： 安全措施要實現原子化、原生化，真正嵌入到雲原生全生命週期中去。

• Application ： 安全防護在基礎設施之外，需要更加要強化對應用以及應用內流轉的資料的保護。

CNAPP框架在具體實踐過程中應該包括開發和執行時兩個階段。在雲原生時代，應該改變過去只重視執行時階段安全防護，將執行時安全和開發安全放在同等重視位置上，實現開發階段和運營階段安全能力雙向打通。例如，在執行時階段發現一個容器存在某個問題，可追溯該該問題是在開發階段什麼時候引入的，以及在開發階段如何修復等。當然在開發階段的IaC配置也將直接影響到執行時階段。CNAPP安全可以包括三個方面，如下圖所示：

• 向左看 ： 核心在於針對開發過程研發製品進行細粒度檢查和控制，確保上線即安全。

• 向右看 ： 適配新的雲原生安全架構，包括雲原生網路、雲原生工作負載、   雲原生應用、雲原生 A PI服務等 。

• 向下看： 在保留原有安全建設基礎上，需要重點強化雲配置管理。

圖5 CNAPP能力框架圖

安全左移，確保上線即安全

有資料顯示，如果在研發階段發現了一個安全問題，修復它的成本是1，到測試階段發現一個安全問題，修復它的成本到了10，到上線的時候，再去修復這個安全漏洞，同樣的安全漏洞修復成本是100，相當於擴大了100倍。

圖6 軟體不同階段漏洞修復成本

為此，必須將安全審查前置，以避免引入超出安全和運營團隊管理範圍的安全風險，最終實現“上線安全”。安全左移，要從組織（責任共擔）、流程（打通流程）、技術（安全工具鏈）等三個維度進行。

以技術為例，基於DevSecOps理念，安全團隊將執行各種型別的分析和安全測試融入到應用開發整個生命週期中，比如靜態應用程式安全測試(SAST)、軟體組成分析(SCA)、動態應用程式安全測試(DAST)、執行時應用程式自我保護 ( RASP )、映象掃描工具等。最終實現“安全往左走，上線即安全”。

圖7 安全左移管理平臺

雲原生基礎架構安全

針對映象安全、編排工具安全、雲原生網路安全防護、執行時安全等雲原生環境特有場景的安全防護是重中之重，也是確保雲原生基礎架構安全的關鍵。

首先，安全保護不了未知的資產，面對大量的編排工具、容器及容器上應用，看得清資產才能消除容器資產盲點。CNAPP方案要能夠看清工作負載本身，支援K8S、容器、映象、Registry、主機、軟體應用、資料庫、Web服務等容器資產的快速清點和實時上報，幫助運維和安全人員梳理業務及其複雜的關係，彌補安全與業務的鴻溝。

其次，容器業務依賴關係複雜，未知威脅可能在容器之間像病毒一樣感染蔓延，因此容器中需要細粒度的隔離控制。透過對訪問關係的梳理和學習，提供自適應的、自遷移的、自維護的網路隔離策略。一旦發現失陷容器的情況將採取一鍵隔離。

然後，面對眾多的容器執行時入侵行為，要能實時檢測容器中的已知威脅、惡意⾏為、異常事件。支援對容器內的檔案、程式碼、指令碼等進行已知特徵的檢測，也能夠透過對其程式行為、網路行為、檔案行為進行監控和學習，建立穩定的容器模型。只要對異常偏離的行為的進行分析，就能發現未知的入侵威脅，包括0day等gaoji攻擊。

圖8 雲原生基礎架構安全

最後，確保映象的安全是重中之重，能夠在開發、測試的各個階段快速發現映象中存在的漏洞、病毒木馬、webshell等映象風險。在開發環節，需要確保構建的映象是符合安全規定的，對映象的相關構建檔案進行深度檢查，包括Dockerfile 檔案、Yaml檔案等。在測試環節，需要確保映象執行起來後是安全的，發現那些在靜態的時候無法發現的安全問題，需要對執行時zuidi層元件的風險，應用的風險，微服務的風險進行全面檢查，整個動態檢測過程完全自動化，無需手動操作。在靜態檢測過程中，凡是不合格映象都“不準入”測試倉庫，而在動態檢測過程中，需對生產倉庫和節點的映象進行持續的安全檢查，凡是不合格映象都“不準出”生產倉庫進行部署執行。

雲安全態勢管理（CSPM）

CSPM 從當前的雲服務中獲取配置資料，並持續監控資料中的風險，幫助企業確定其雲應用程式和服務的配置是否安全，並持續監控其雲基礎設施是否符合法規和zuijia實踐的要求。強大的 CSPM 解決方案還能提供對雲資產的全面可見性。CSPM 透過提供以下功能支援合規性和雲配置zuijia實踐：

• 實現資產視覺化，以發現多雲工作負載和服務。

• 分析與配置錯誤的基礎架構相關的風險。

• 透過視覺化，讓客戶清晰瞭解網路互連、安全組和儲存資料訪問路徑，所有這些都可透過  API  閘道器訪問。

• 對活動使用情況或異常情況進行審計和視覺化，並提供可行的治理或補救措施，以降低這些漏洞或威脅帶來的風險。

• 根據法規和基準進行合規性審計和報告。

青藤提供雲場景下基於Agentless的技術對接雲API以獲取雲資產資訊，進行雲相關的資產盤點、配置檢查、風險評估等，並於基於工作負載的安全能力進行聯動，從雲的角度對安全進行管理。

圖9 CSPM方案架構圖

雲原生應用安全

安全左移是雲安全方案的關鍵部分，而執行時雲原生應用安全作為 D ev S ecOps的另一個重要階段，其安全性至關重要。 執行時經常會存在著不同的攻擊載體，例如勒索軟體攻擊、挖礦或其他攻擊等，這是透過安全左移階段的自動化測試與掃描無法解決的。此外，由於容器、serverless漏洞每天都會被發現，因此，即便今天看似安全，明天就可能成為新披露漏洞的潛在受害者。

圖10 雲原生應用安全

雲原生應用安全，主要包括兩個方面內容：應用內安全和應用間安全。一是指對雲原生應用自身的安全狀況進行監控，比如應用使用了哪些軟體包，應用調取了哪些函式，應用訪問了哪些資料庫等。二是應用間的安全監控和防護，比如內部東西向應用間的API訪問，以及應用對外提供的一些web服務。

（1）RASP（應用內安全）

RASP將安全功能嵌入到應用內部，允許實時收集應用程式資料並在其上下文中進行評估。 因為該工具是針對每個應用及其實際使用情況定製的，RASP提供了傳統工具無法匹敵的精確性和主動性。例如，針對應用0day攻擊，針對應用弱密碼攻擊，RASP都能提供很好防護服務。

（2）W AAP （應用間安全）

Web應用與API防護，即WAAP，是指旨在保護這些API和應用程式的雲服務。WAAP主要用於保護易受攻擊的API和Web應用的雲服務。基於雲原生技術棧的流量探針，在VM、K8S、Mesh、閘道器、硬體的關鍵節點形成流量採集+管控一體化安全解決方案。此外圍繞API全生命週期的API資產管理、風險評估、許可權控制、以及安全檢測&響應的安全閉環能力，覆蓋API相關的網路安全、業務安全以及資料安全。