云計(jì)算發(fā)展將近二十年,已然進(jìn)入了新的階段:云原生時(shí)代��。以容器、服務(wù)網(wǎng)格��、微服務(wù)等為代表的云原生技術(shù)�,正在影響各行各業(yè)的IT基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用系統(tǒng)���,也在滲透到如IT/OT融合的工業(yè)互聯(lián)網(wǎng)����、IT/CT融合的5G��、邊緣計(jì)算等新型基礎(chǔ)設(shè)施中�����。
理解云原生體系存在的新架構(gòu)�、新風(fēng)險(xiǎn)和新威脅,有助于構(gòu)建面向新型IT基礎(chǔ)設(shè)施的安全防護(hù)機(jī)制���;利用云原生的先進(jìn)技術(shù)�,融合到當(dāng)前的攻防體系中��,也有助于我們提升整體安全防護(hù)的彈性、適應(yīng)性����、敏捷性。
綠盟科技在2018年發(fā)布了《容器安全技術(shù)報(bào)告》��,報(bào)告詳細(xì)分析了容器技術(shù)所面臨的風(fēng)險(xiǎn)和安全挑戰(zhàn)�����,介紹了安全左移思路下的安全基線��、鏡像安全等內(nèi)容�����,給初建容器安全的機(jī)構(gòu)一些有益的建議�。近年隨著編排技術(shù)、無服務(wù)和服務(wù)網(wǎng)格等技術(shù)的快速發(fā)展����,綠盟科技將重點(diǎn)放在了整個(gè)云原生生態(tài)體系的安全研究上。
鑒于此����,綠盟科技發(fā)布《云原生安全技術(shù)報(bào)告》�,本報(bào)告較為全面地分析了云原生落地所面臨的安全風(fēng)險(xiǎn)和威脅����,進(jìn)而提出了云原生的防護(hù)思路和安全體系��。
本報(bào)告核心內(nèi)容如下:
1. 安全問題成為影響云原生落地的重要因素
隨著云原生越來越多的落地應(yīng)用���,其相關(guān)的安全風(fēng)險(xiǎn)與威脅也不斷的顯現(xiàn)出來�。Docker/Kubernetes等服務(wù)暴露問題���、特斯拉Kubernetes集群挖礦事件���、Docker Hub中的容器鏡像被“投毒”注入挖礦程序、微軟Azure安全中心檢測(cè)到大規(guī)模Kubernetes挖礦事件��、Graboid蠕蟲挖礦傳播事件等一系列針對(duì)云原生的安全攻擊事件層出不窮��。安全問題成為影響云原生落地的重要顧慮因素����。
2. 容器化基礎(chǔ)設(shè)施面臨的安全威脅和風(fēng)險(xiǎn)不會(huì)更少
容器作為一種“輕量的虛擬化”技術(shù),運(yùn)行于“宿主機(jī)”操作系統(tǒng)內(nèi)核之上�����,因此,傳統(tǒng)的主機(jī)安全����、網(wǎng)絡(luò)安全等安全問題依然存在。除此之外�,容器的逃逸風(fēng)險(xiǎn)、容器鏡像的風(fēng)險(xiǎn)��、虛擬化網(wǎng)絡(luò)風(fēng)險(xiǎn)��、配置風(fēng)險(xiǎn)等安全風(fēng)險(xiǎn)問題�����,還將成為容器化基礎(chǔ)設(shè)施所面臨的新的安全威脅���。
3. 安全左移���,更早的發(fā)現(xiàn)安全問題
在云原生架構(gòu)中,容器生命周期短����、業(yè)務(wù)復(fù)雜�、網(wǎng)絡(luò)復(fù)雜���,現(xiàn)有的物理或虛擬化的安全設(shè)備無法工作�,運(yùn)行時(shí)的安全檢測(cè)將會(huì)投入很高成本���。“安全前置”或者“安全左移”可以在軟件開發(fā)生命周期的更早階段,投入更多的安全資源�,嵌入安全動(dòng)作,來有效的收斂安全漏洞問題�,盡可能更早的確定其安全性。
4. 云原生安全一定是云原生的
云原生安全��,其目標(biāo)是防護(hù)云原生環(huán)境中的基礎(chǔ)設(shè)施�、編排系統(tǒng)和云原生應(yīng)用,確保業(yè)務(wù)系統(tǒng)云原生化后的安全性��。云原生架構(gòu)同時(shí)又有著其獨(dú)特的特性���,對(duì)傳統(tǒng)的安全防護(hù)手段提出了巨大的挑戰(zhàn)��。
云原生極大程度的實(shí)現(xiàn)了云的優(yōu)勢(shì)����,云原生安全一定是云原生的,也就是:使用具有云原生特性的安全技術(shù)去實(shí)現(xiàn)面向云原生環(huán)境的安全�。
5. 云原生的可觀測(cè)性助力實(shí)現(xiàn)安全可見、可防
云原生時(shí)代��,容器化的基礎(chǔ)設(shè)施使得應(yīng)用自身變的更快��、更輕���,一臺(tái)主機(jī)上可以快速部署運(yùn)行幾十個(gè)��、甚至上百個(gè)容器���。而Kubernetes等容器編排平臺(tái),又提供了良好的負(fù)載均衡��、任務(wù)調(diào)度���、容錯(cuò)等管理機(jī)制�。這樣���,在云原生中����,一臺(tái)主機(jī)上應(yīng)用的部署密度以及變化頻率,較傳統(tǒng)環(huán)境�,有著巨大的變化。
正所謂“未知攻焉知防”�,面對(duì)云原生架構(gòu)下的大規(guī)模集群以及海量靈活的微服務(wù)應(yīng)用,只有知道集群中應(yīng)用的具體操作�����、行為����,才能夠進(jìn)行高效的安全防護(hù)�����。
6. 微隔離實(shí)現(xiàn)零信任的云原生網(wǎng)絡(luò)安全
云原生架構(gòu)中�,容器或者微服務(wù)的生命周期相比較傳統(tǒng)網(wǎng)絡(luò)或者租戶網(wǎng)絡(luò),變的短了很多����,其變化頻率要高很多。微服務(wù)之間有著復(fù)雜的業(yè)務(wù)訪問關(guān)系��,尤其是當(dāng)工作負(fù)載數(shù)量達(dá)到一定規(guī)模以后����,這種訪問關(guān)系將會(huì)變得異常的龐大和復(fù)雜���。
因此,在云原生環(huán)境中����,網(wǎng)絡(luò)的隔離需求已經(jīng)不僅僅是物理網(wǎng)絡(luò)、租戶網(wǎng)絡(luò)等資源層面的隔離����,甚至需要服務(wù)之間應(yīng)用層面的隔離。一方面需要能夠針對(duì)業(yè)務(wù)角色�����,從業(yè)務(wù)視角更細(xì)粒度的實(shí)現(xiàn)微服務(wù)之間的訪問隔離�����;另一方面�����,這種靈活快速的網(wǎng)絡(luò)狀態(tài)變化,也需要隔離策略與訪問控制策略能夠完全自動(dòng)化的適應(yīng)業(yè)務(wù)和網(wǎng)絡(luò)的快速變化�����,實(shí)現(xiàn)快速高效的管理��、部署和生效��。
7. Service Mesh可以有效支撐微服務(wù)安全
Service Mesh采用類似SDN的架構(gòu)�����,通過邏輯上獨(dú)立的數(shù)據(jù)平面和控制平面實(shí)現(xiàn)微服務(wù)間網(wǎng)絡(luò)通信的管理���。網(wǎng)格內(nèi)服務(wù)發(fā)送和接收的所有流量都經(jīng)過代理,這讓控制網(wǎng)格內(nèi)的流量變簡(jiǎn)單�,而且不需要對(duì)服務(wù)做任何的更改,再配合網(wǎng)格外部的控制平面��,可以實(shí)現(xiàn)網(wǎng)絡(luò)隔離�、應(yīng)用隔離、甚至是應(yīng)用的API安全�。
8. API安全和業(yè)務(wù)安全成為云原生應(yīng)用的重要安全威脅
云原生應(yīng)用基于微服務(wù)的架構(gòu)設(shè)計(jì),使得應(yīng)用之間的交互模式轉(zhuǎn)向各類API的請(qǐng)求/響應(yīng)���,API通信在云原生應(yīng)用交互中占據(jù)了重要地位�。API安全也成為了云原生應(yīng)用安全中尤為重要的一個(gè)部分。系統(tǒng)中存在哪些暴露的API服務(wù)�����,存在哪些API調(diào)用���,這些調(diào)用是否全部是完成某個(gè)需求所必須發(fā)生的業(yè)務(wù)聯(lián)系�,是否存在API探測(cè)��、API濫用����,是否存在針對(duì)某個(gè)服務(wù)的拒絕服務(wù)攻擊,如何在海量的正常業(yè)務(wù)調(diào)用邏輯中���,發(fā)現(xiàn)非法的異常調(diào)用請(qǐng)求�����。這些問題都直接影響著云原生應(yīng)用的安全性�����。
9. Serverless的安全風(fēng)險(xiǎn)同樣不容小覷
Serverless是云原生架構(gòu)下一種新的計(jì)算模式���,在給開發(fā)者帶來便利的同時(shí)�,其安全風(fēng)險(xiǎn)也備受關(guān)注�。應(yīng)用程序的代碼安全、數(shù)據(jù)隱私���、訪問權(quán)限���、不同服務(wù)間的隔離等,都是其面臨的重要安全挑戰(zhàn)����。實(shí)現(xiàn)其安全建設(shè),需要Serverless服務(wù)提供商���、應(yīng)用開發(fā)者等多方的共同努力。
10. 云原生安全助力新基建落地安全
5G�����、邊緣計(jì)算�����、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等作為新基建的重要組成部分�,其安全性將在一定程度上影響著新基建的落地實(shí)施。而云原生技術(shù)與架構(gòu)正在成為包括5G核心網(wǎng)����、邊緣云等的重要實(shí)現(xiàn)方式之一。新基建安全不止云原生安全���,但是新基建的安全離不開云原生安全�����。
獲取完整版報(bào)告內(nèi)容��,請(qǐng)關(guān)注綠盟科技公眾號(hào)后臺(tái)回復(fù)“云原生報(bào)告”即可
免責(zé)聲明:市場(chǎng)有風(fēng)險(xiǎn)���,選擇需謹(jǐn)慎!此文僅供參考��,不作買賣依據(jù)����。
[責(zé)任編輯:h001]
