某企業(yè)在2019年6月-2020年6年月遇到的云原生攻擊次數
構建安全的云原生服務�,可以從哪些方面入手����?真正實施DevSecOps又需要注意什么?本文我們站在技術視角��,從Dev開發(fā)階段和Ops運行時階段出發(fā)���,幫助你在成功實施云原生安全上邁出一大步。
一�、云原生環(huán)境下的安全挑戰(zhàn)
Gartner報告指出,2022年將有 75% 的全球化企業(yè)會在生產中使用云原生的容器化應用�����。云原生生態(tài)持續(xù)擴大,基本覆蓋云原生生命周期的全技術鏈��,比如容器編排�����、微服務架構����、不可變基礎設施、持續(xù)交付/持續(xù)集成�����、DevOps等在內的代表性技術����。
云原生的確具備著更大的靈活性、業(yè)務敏捷性和強擴展性�����,但也潛伏著一定的新安全“隱患”����。青藤聯(lián)合創(chuàng)始人���、產品副總裁胡俊認為,云原生在重塑整個應用生命周期的同時也帶來了技術和組織的雙重挑戰(zhàn):
青藤云安全聯(lián)合創(chuàng)始人���、產品副總裁胡俊
● 技術挑戰(zhàn)
新技術帶來的新挑戰(zhàn)�����。鑒于云原生技術所引入的新的安全防護對象���,比如宿主機、容器�、應用、編排工具等��,引發(fā)了一系列的新風險�����,編排風險�����、鏡像風險���、微服務風險�、運行時風險�、網絡安全風險等,使得安全工作者的理解難度增加�。云越來越像個黑盒,過往的安全工作重心多圍繞著核心業(yè)務的外圍轉�����,如何突破“黑盒”邊界成為一個挑戰(zhàn)����。
● 組織挑戰(zhàn)
組織模式帶來的安全挑戰(zhàn)。云原生安全建設和云基礎設施關系緊密����,導致安全職責需要重新考慮,安全組織的協(xié)作方式從“組織責任邊界����、產品迭代、業(yè)務設計到數據中心基礎設施”轉變,新的安全模式對組織���、流程�����、技術等都有了新的要求���。
傳統(tǒng)的邊界防護的安全防護理念,缺乏虛擬化的部署能力�,已經無法滿足網絡安全現(xiàn)狀,為了應對云原生安全挑戰(zhàn)�����,青藤創(chuàng)新云原生安全體系��,實現(xiàn)彈性敏捷開發(fā)���。
二�����、DevOps云原生安全實踐
云原生加速了應用開發(fā)和運維角色的融合��,使云原生的DevOps實踐成為趨勢�。想要充分發(fā)揮出DevOps的敏捷性和響應力���,務必要將安全防護融入到“從軟件開發(fā)到運營”的每個環(huán)節(jié)�����。
新一代“一二四”云原生安全體系
基于近年來對DevSecOps的系統(tǒng)研究��、創(chuàng)新的實戰(zhàn)化思想和實踐發(fā)現(xiàn)���,青藤云安全構建了“一二四”云原生安全體系,即“一個體系��、兩個方向��、四個環(huán)節(jié)”���,進行云原生安全全生命周期管理��,將安全能力融入整個DevOps流程當中���。
一個體系(DevOps):DevOps是全新的安全實踐戰(zhàn)略框架�,基于零信任架構的支持��,應用部署適配業(yè)務����,打破了開發(fā)、安全和運營之間的孤島�����,可有效管理各部門的負載與應用�����,改變了網絡安全傳統(tǒng)防護劣勢�����。
兩個方向(DEV-Build time�、OPS-Run time):在Dev開發(fā)階段和Ops運行時階段這兩個方向上分別要做到“安全左移,上線即安全”和“持續(xù)監(jiān)控和響應���,自適應安全”�����,實現(xiàn)全方位安全防御��。
四個環(huán)節(jié)(安全開發(fā)�����、安全測試����、安全管理�、安全運營):Dev開發(fā)階段涵蓋安全開發(fā)(威脅建模、代碼審計��、SCA�����、SAST)和安全測試(鏡像安全�����、DAST�����、合規(guī)檢查、安全驗證��、滲透測試)�����,Ops運行時階段涵蓋安全管理(資產清點�、微隔離、風險檢測����、安全策略)和安全運營(入侵檢測、安全響應���、溯源分析�����、威脅狩獵)�,在這四個環(huán)節(jié)通過各種工具和手段來落地安全實踐����。
1.Dev-Build Time開發(fā)階段安全
在軟件開發(fā)生命周期的早期即開始安全測試,提早感知識別網絡威脅���,阻斷攻擊線�����,從根源保護應用系統(tǒng)安全�,同時,通過鏡像掃描����,保護鏡像安全�����,把安全無縫的集成到敏捷開發(fā)中����。
>> 卡點安全左移
如何將安全嵌入,實現(xiàn)安全前置��?青藤蜂巢·云原生安全平臺��,基于“一二四”云原生安全體系�,通過安全左移為整個CI/CD管道提供安全防護。胡俊特別提到了 “通過卡點來落地安全流程”的理念:新的安全卡點貫穿整個開發(fā)環(huán)節(jié)���,運用“準入”�����、“準出”的模式進行管控����,其中“準入”是從開發(fā)到進入鏡像倉庫之前的階段,“準出”則是從鏡像倉庫到鏡像拉取��、再到運行時的階段�����。
“準入”和“準出”卡點流程可進一步分解為:基礎鏡像檢查(惡意文件����、敏感信息、應用漏洞)——保證基礎鏡像安全之后�����,通過本地靜態(tài)安全測試��,進入業(yè)務鏡像(業(yè)務鏡像涉及兩方面:一是鏡像的構建安全,一是業(yè)務鏡像的安全檢測)——真正進入測試環(huán)境�����,進行動態(tài)檢測(集群風險檢查����、應用風險檢查、微服務檢查等)——滲透測試環(huán)節(jié)��,正式上傳鏡像倉庫——完成部署上線����。
>> 鏡像安全檢查
鏡像的安全檢查是Dev開發(fā)階段的重中之重。如何在第一時間了解鏡像問題所在�?基礎的是通過集成安全能力�,集成到CI/CD工具中,發(fā)現(xiàn)鏡像安全問題和安全配置問題��,通過把檢查結果jenkins集成�����、harbor集成到安全工具當中����,來幫助開發(fā)人員發(fā)現(xiàn)鏡像問題���。
鏡像檢查的過程應用于Build、Test�、Release、Deploy等多個流程中:第一在Build階段���,要與CI工具相集成�,調用鏡像掃描的能力����,對鏡像進行相關掃描;第二是對鏡像倉庫中所有環(huán)節(jié)的鏡像進行持續(xù)性����、周期性的掃描(比如檢查病毒木馬、WebShell��、安全補丁��、應用組件漏洞等)�;第三是對宿主機本地鏡像進行掃描,保證實際運行中的鏡像是安全的�����。
除了鏡像掃描能力外,還需要加強鏡像構建���、檢測的能力:比如動態(tài)安全風險檢測����,對測試環(huán)境進行動態(tài)檢測��,對運行的應用是否存在漏洞�、木馬、敏感信息等進行檢測��,以及微服務的自動發(fā)現(xiàn)與漏洞掃描���。
2.Ops-Run Time運行時安全
自適應安全理念是一種以檢測為主的思路��,以“工作負載”進行持續(xù)的監(jiān)控和分析為核心�����,來完成運行時的安全閉環(huán)?���?梢暬墓ぷ髫撦d分為兩部分����,一是對云原生工作負載本身進行細粒度的清點��,幫助安全人員了解運行的容器��、容器內運行的WEB原理���、數據庫應用等���,二是對容器工作負載之間的訪問關系進行梳理,進一步了解業(yè)務間的調用關系���,鎖定攻擊范圍����,輔助策略生成�。
運行時階段中的微隔離、入侵檢測��、安全響應���、溯源分析和威脅狩獵是核心環(huán)節(jié)�,每個環(huán)節(jié)環(huán)環(huán)相扣。
>> 微隔離
保護關鍵資產����、用戶數據免受惡意攻擊最基礎有效的方法是微隔離。業(yè)務訪問關系愈加復雜����,工作負載數量加劇,更加智能的隔離系統(tǒng)隨之被引用����。微隔離技術是最早的一種對零信任的具體技術實現(xiàn),有別于傳統(tǒng)防火墻的隔離作用�����,微隔離主要梳理容器內東西向的網絡訪問關系�,使集群內的訪問可見、可控���,通過微隔離實現(xiàn)集群內部��、外部的網絡訪問控制�����,暨阻止攻擊者進入網絡中心����。
>> 入侵檢測
在微隔離技術的保護下���,第二輪防護來自于對風險的入侵檢測�����。入侵檢測分為三個層次�,即已知威脅檢測�、惡意行為檢測、異常檢測�。其中已知威脅檢測是針對容器內的文件、代碼��、腳本等進行已知特征的檢測����;惡意行為檢測是對于惡意行為模式的定義,對容器及編排工具內的黑客攻擊行為進行實時檢測��;異常檢測則是對容器內進程、網絡等行為進行學習建立模型�����,從而發(fā)現(xiàn)異常入侵行為�。
>> 安全響應
經過對異常事件的檢測發(fā)現(xiàn)失陷容器,從而快速進行安全響應���,把損失降到最低��。在青藤蜂巢·云原生安全平臺上�,在控制容器端采用隔離容器�����、暫停容器等方式���,在控制容器內行為端��,采用阻斷進程���、隔離文件、封禁IP等方式�,在控制容器的網絡訪問端�,不允許有問題的工作負載進行訪問和被訪問�����。
>> 溯源分析和威脅狩獵
通過持續(xù)的安全運營����,對失陷容器進行溯源分析�,找到受影響范圍和入侵路徑,不斷進行威脅狩獵����,主動發(fā)現(xiàn)網絡中的惡意數據及潛在的威脅行為?��;谌?�、工具和數據端三方面���,做到全面安全防御;再者���,收集容器的相關行為數據�����,以ATT&CK框架為模型�����,通過大數據工具來持續(xù)做安全威脅分析����。
三、結語
最后�����,總結來看���,隨著云原生技術的升級��,尋找到與云原生安全匹配的安全模式是關鍵���;在云原生安全全生命周期階段,都要建立系統(tǒng)性的防護體系����。
作為云原生安全領軍企業(yè)��,青藤云安全是云原生安全的堅定維護者��,青藤“一二四”云原生安全體系是新一代網絡安全防護架構��,打造出“事前防御”��、“事中監(jiān)測”、“事后溯源”全方位聯(lián)動的護城河����,做到了“看得清、管得了��、防得住�、能融合”,為行業(yè)用戶提供容器資產清點�����、鏡像掃描�����、入侵檢測、合規(guī)基線等安全服務�����,構筑云原生安全防護線�。
未來,青藤云安全將會繼續(xù)完善云原生安全產品線及解決方案�����,推動“一二四”云原生安全體系理念在多個行業(yè)的全面落地����,助推云原生生態(tài)升級。
